Nyligen släppte Riksrevisionen en ny granskning av informationssäkerhetsarbete i den svenska staten.
Denna gång är det nio myndigheter som har blivit granskade på området, däribland Arbetsförmedlingen, Migrationsverket och Försäkringskassan. Samtliga myndigheter står för viktiga samhällsfunktioner och hanterar en stor mängd integritetskänsliga och samhällskritiska data.
Frågan om säkerhet kring våra samhällsfunktioner är högaktuell på flera områden. Inte minst efter de nyliga sabotage vi bevittnat mot våra master eller för att inte tala om haverier av flyg- och järnvägssystem. Hotet mot våra samhällskritiska funktioner har blivit verkligt för allt fler.
Trots detta konstateras att samtliga myndigheter i Riksrevisionens rapport brister i sitt arbete med informationssäkerhet. Man har gjort djupare analyser av Arbetsförmedlingen, Migrationsverket och Försäkringskassans säkerhetsrutiner. Några av de allvarliga IT-relaterade säkerhetsbrister som tas upp i rapporten har vi sammanfattat i nedan punkter.
- Bristfällig hantering av interna användares behörigheter till information
- Otillräcklig lösenordspolicy
- Avsaknad av rutiner för att kontrollera åtkomst till verksamhetssystem
Något bättre är de djupgranskade myndigheterna på fjärranslutning av personalens arbetsverktyg. Alla tre myndigheter använder sig av VPN och tvåfaktorautentisering för att minska riskerna vid fjärranslutning. Man har också tillräckliga rutiner för backuper på åtminstone två av myndigheterna.
Givetvis är orsakerna till den bristade hanteringen många. På vissa myndigheter kan det handla om avsaknad av rätt kompetens eller ren okunnighet hos beslutsfattare. Men självklart är frågan om säkra IT-system också förknippat med kostnader och därför en prioriteringsfråga.