I rapporten sägs – ”Nästan sju av tio organisationer i offentlig förvaltning saknar de mest grundläggande delarna i ett systematiskt informations- och cybersäkerhetsarbete. Det visar undersökningen Infosäkkollen som MSB genomförde för andra gången maj-september 2023.”

Är det då så illa med säkerheten inom offentlig sektor?

Ja och nej därför att i rapporteringen så har många missat vad det är MSB har tittat närmare på och det har dragits felaktiga slutsatser i tron att MSB har granskat saker som inte ingår i rapporten.

Tolka nu inte detta som ett försök att sopa något under mattan eller förminska innehållet i rapporten. Det är illa, riktigt illa oavsett hur du än vrider och vänder på rapportens innehåll men likafullt – det finns anledning till viktiga nyanseringar för att landa rätt i slutsatserna.

Skydd

MSB har inte granskat eller analyserat de skydd som installerats.

Myndigheter har alltså inte kontrollerat kvaliteten på brandväggar, access-kontrollsystem, VPN-anslutningar eller liknande. Det är alltså inte skydden i sig där det konstaterats brister. Hur bra eller hur dåliga skydd offentliga myndigheter och organisationer har vet vi inte – inte utifrån den här rapporten i alla fall.

MSB har granskat hur ledningen och ansvariga fungerar – Informationssäkerhetsarbetet inte hur installerade skydd fungerar.

Nu ger det inte på minsta sätt någon anledning att vare sig tona ned innehållet i rapporten eller slutsatserna.

Engagemang

– Återigen konstaterar vi att förutsättningarna för att bedriva ett systematiskt och riskbaserat informations- och cybersäkerhetsarbete saknas utan ledningens löpande engagemang. För att kunna arbeta systematiskt över tid måste säkerhetsarbetet prioriteras och tilldelas resurser, säger Åke Holmgren, chef för avdelningen för cybersäkerhet och säkra kommunikationer vid MSB.

Trots alla attacker, trots att vi alla lever i en alltmera uppkopplad värld så är säkerhetsarbetet något som faller på IT-avdelningen, oavsett om det anslagits resurser eller om det finns rätt kompetens eller inte.

”Det där får IT sköta”

Myndigheten slår lam, någon annan tolkning kan inte göra utifrån rapporten:

För att informations- och cybersäkerhetsarbetet ska ta fart rekommenderar MSB

• en särskild satsning gällande finansiering till informations- och cybersäkerhetsarbetet. Det är mer ekonomiskt hållbart att förekomma incidenter genom att förebygga dem, än att städa upp efter dem.
• att säkerhetsarbetet bedrivs mer effektivt. Här finns en roll för näringslivet i att utveckla och tillhandahålla verktyg, teknologi och tjänster som kan bistå samhällsviktiga verksamheter i det systematiska informations- och cybersäkerhetsarbetet.
• en särskild satsning gällande finansiering för att stödja CISO, rollen som leder och samordnar informationssäkerhetsarbetet i en organisation. Pengarna rekommenderas gå till att utveckla samverkan med motsvarande funktioner i andra organisationer för gemensamt lärande och ökad förbättringstakt. Det måste paras med att ledningar ger CISO det mandat som krävs för att ha den styrande och samordnande roll som arbetet kräver.

MSB

– För ett motståndskraftigt samhälle, särskilt utifrån nuvarande säkerhetspolitiska läge, är det avgörande att det finns dedikerad personal som har det mandat och de resurser som krävs för att stärka informations- och cybersäkerhetsarbetet i samhällsviktiga verksamheter, säger Mathias Antonsson, senior analytiker med samordningsansvar för den strategiska cybersäkerhetsanalysen på MSB.

Skyddet

MSB har även tittat på skyddet, installationerna och det ser lite bättre ut. I den undersökningen deltog 267 offentliga organisationer i vad som kallas en självskattningsundersökningen. Slutsatsen som MSB nu drar är att it-säkerheten är bättre än informationssäkerheten vilket är ett kraftigt underbetyg för de som borde ta ett större ansvar – ledningen.