Riksrevisionen har under två års tid granskat elva myndigheters arbete med it-säkerhet. I den rapport som redovisar resultaten, och som offentliggjordes tidigare under fredagen, riktas tung kritik både mot regeringen och de granskade myndigheterna.

Det finns omfattande säkerhetsluckor i de it-system som används av bland annat Arbetsmarknadsverket, Försäkringskassan, Migrationsverket och Försvarsmakten, skriver Riksrevisionen. Vid flera fall har systemen lamslagits av allvarliga systemkrascher eller virusangrepp. Även känsliga personuppgifter och hemlig information har läckt ut på grund av bristande it-säkerhet.

Problemen hade enkelt kunnat förhindras om myndigheterna tagit frågan om it-säkerhet på större allvar och regeringen skött styrningen bättre, menar Riksrevisionen.

Just bristen på styrning och ordentliga krav från regeringen pekas ut som det stora problemet. Expertmyndigheter som Post- och telestyrelsen (PTS), Krisberedskapsmyndigheten (KBM) och Verva saknar mandat att på egen hand följa upp och rapportera om myndigheternas it-säkerhetsarbete, vilket betyder att regeringens passivitet gjort att arbetet i princip stått stilla.

– Det har inte funnits tydliga krav, myndigheterna har inte följt upp sitt arbete och har inte använt sig av den tillgängliga experthjälpen, säger riksrevisor Karin Lindell.

Men även myndigheternas eget arbete med att sköta och implementera ordentliga säkerhetslösningar kritiseras hårt:

– Myndigheterna måste ta ansvaret för att säkerheten fungerar praktiskt. Det gör man inte. Man har beslutat om flera saker som sen helt enkelt inte fungerat när vi varit och tittat på plats, säger Björn Undall.

Riksrevisionen efterlyser nu hårda tag från regeringen. Det behövs klara regler och stränga krav på myndigheterna för att få ordning i säkerhetsfrågan. Riksrevisionen anser också att regeringen bör ge Verva, PTS och KBM mandat att själva granska och rapportera om myndigheternas arbete med it-säkerhet.

– Regeringen måste tala om vad man vill att myndigheterna ska göra på det här området. Det menar vi att man inte har gjort. Det är också tydligt att frågor som rör personlig integritet överbetonas, på bekostnad av aspekter som tillgänglighet och skydd mot intrång, säger Björn Undall.

Bristen på ordentlig it-säkerhet kan komma att sätta ordentliga käppar i hjulen för regeringens planer om e-förvaltning och 24-timmarsmyndigheten, menar Riksrevisionen. Om inte säkerheten förbättras finns en stor risk att medborgarnas förtroende för myndigheternas e-tjänster skadas ordentligt.

– Vi förutsätter att man kommer att vidta åtgärder. Det är nödvändigt om det här ska bli en förvaltning som fungerar i praktiken, säger Karin Lindell.

Fakta

Elva myndigheters it-säkerhet har under två års tid granskats av Riksrevisionen. I samtliga fall hittades allvarliga säkerhetshål och problem.

De granskade myndigheterna är:

  • Arbetsmarknadsverket
  • Försäkringskassan
  • Lantmäteriverket
  • Migrationsverket
  • Statens Pensionsverk
  • Sjöfartsverket
  • Bolagsverket
  • Försvarsmakten
  • Post- och telestyrelsen
  • Räddningsverket
  • Svenska kraftnät

Sex av de granskade myndigheterna fick inledningsvis besvara en enkät med frågor rörande it-säkerhet. Samtliga ansåg att den egna it-säkerheten var tillräcklig och gav en positiv bild av sitt eget arbete i frågan. Enligt Riksrevisionens rapport så ”visade sig deras bedömningar inte överensstämma med Riksrevisionens iakttagelser och bedömningar”.

Ladda hem rapporten (pdf)