Återigen pekas de svenska kommunerna ut som ett sorgebarn i fråga om it-säkerhet. För ett drygt år sedan varnade Myndigheten för samhällsskydd och beredskap för att många kommuner inte arbetar systematiskt med de här frågorna – trots att flera hade utsatts för ddos-attacker.

Och nu när det utarbetats ett nytt index över it-säkerhetsmognaden i olika branscher visar det sig att kommunerna släpar efter rejält, medan bank och finans är bäst i klassen.

Detta index bygger på enkätsvar från framför allt cio:er, it-chefer och säkerhetsfolk, och sammanställningen sedan gjorts av it-säkerhetsföretaget Advenica tillsammans med tillsammans med Radar, Dataföreningen, Sig Security, Sacs och Stockholms universitet.

– Kommunerna är absolut sämst, och det gäller både att skydda sig mot cyberhot och informationsläckage, det vill säga hur man hanterar information. De har ett väldigt dåligt säkerhetsmedvetande, säger vd:n på Advenica Einar Lindquist.

Enligt de svar som ligger till grund för it-säkerhetsindex ligger kommunerna efter när det gäller en rad faktorer: De har dålig strategi och låg riskmedvetenhet. De ligger i botten när det gäller hur ofta sårbarhetsanalys görs och när det gäller om det finns personal med relevant kompetens inom it-säkerhet i organisationen (26 procent saknar den kompetensen).

Läs också: Få myndigheter anmäler it-incidenter trots nya krav – ”stort mörkertal”

Kanske kokar det ner till att bara 38 procent av de svarande inom kommunerna anser att det är en prioriterad fråga.

– När det gäller it-säkerhet så är det en ledningsfråga, som går uppifrån och ner. Därför är det en fråga som måste ligga hos fullmäktige och kommunledning, på samma sätt som det måste ligga hos ledningen i företagen. Tyvärr ser många it-säkerhet som en teknisk fråga, men det måste kompletteras med mjuka frågor och processer. Det handlar om hur vi hanterar information.

När det gäller det övergripande resultatet it-säkerhetsmognad hamnar kommunerna avgjort sist på 36 procent.

Ytterligare en aspekt i det här är EU:s nya dataskyddsförordning GDPR som träder i kraft i maj nästa år och som kommer att innebära att kraven på hur man handskas med information skärps ytterligare.

– Det kommer ju att beröra kommunerna i allra högsta grad, eftersom de sitter på väldigt många och väldigt känsliga personuppgifter. Det kommer att bli en jätteuppgift att hantera det. Många kommuner kommer naturligtvis inte att hinna, och då kan det komma att bli någon form av dispens, men förr eller senare måste de ju hitta en lösning.

Totalt har 266 personer besvarat enkätundersökningen.

Slutsatserna stämmer väl överens med en undersökning som Myndigheten för samhällsskydd och beredskap genomförde 2015. Då visade det sig att 170 av 241 kommuner som deltog i undersökningen inte arbetade systematiskt med informationssäkerhet. 102 kommuner saknade en informationssäkerhetsfunktion.

Richard Oehme som är chef över verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet på MSB säger att bristerna i kommunernas it-säkerhetsarbete är bekymmersamma eftersom de har hand om samhällsviktiga system och kritisk information – och därför har också MSB kommit med åtta rekommendationer till kommunerna (se faktaruta).

– Det rör allt från vattenförsörjning till omsorgen av äldre. Om de här systemen är osäkra och om de går ner – så försvinner ju samhällstjänster för medborgarna.

– Det ska sägas att det inte gäller alla kommuner, men flertalet har brister, och det gäller framför allt mindre kommuner, men även lite större. Det handlar ju framför allt om vilka resurser och kraft de har att satsa på de här frågorna.

Läs också: Sensorer från MSB ska varna för it-attacker i realtid

Jörgen Sandström som är sektionschef för avdelningen för digitalisering på Sveriges kommuner och landsting, säger att det finns ett förbättringsbehov vad gäller informationssäkerhet och att det är ett arbete som påbörjats, som en följd av MSB:s rekommendationer.

– Men det är svårt att jämföra kommuner med företag i andra branscher i sådana här undersökningar, eftersom kommuner fungerar på ett annat sätt. De som svarar kan sitta centralt i kommunen, men det behöver ju inte betyda att samma sak gäller för verksamheten ute i skolorna. Kommuner fungerar mer som en diversehandel.

– Generellt tror jag inte att it-säkerheten är något katastrofområde för kommunerna, men att det finns ett förbättringsbehov. Vi har ju fått rekommendationer från MSB, och de ställer vi oss bakom, och kommer att arbeta efter.

Fakta

Åtta punkter som ska förbättra säkerheten i kommunerna.

Detta är MSB:s rekommendationer till kommunerna:

  • Utse en funktion för informationssäkerhet.
  • Ta fram en analys av nuläget i kommunen.
  • Informera ledningen om hur nuläget ser ut.
  • Skapa en handlingsplan utifrån nuläget.
  • Klassa kommunens information.
  • Se till att höja säkerhetsmedvetandet inom kommunen.
  • Ta fram informationssäkerhetsrelaterade krav som sedan används vid upphandlingar.
  • Gör uppföljningar.