Ännu är det många akter kvar på dramat kring Transportstyrelsens havererade outsourcing. Men i skuggan av de allvarliga säkerhetsbristerna har det ändå haft det goda med sig att it-säkerheten hamnat i fokus.
– Det krävs ju ofta att det inträffar något för att säkerheten ska hamna i fokus. Exempelvis blev Estland utsatt för en stor cyberattack 2007 där över femtio internettjänster gick ner. Nu är de bland de bästa i världen på cybersäkerhet, säger Åsa Schwarz, säkerhetsexpert på Knowit.
Hon vill lyfta frågan från att enbart handla om Transportstyrelsen.
– Det här är inte bara deras problem – det är ett jätteproblem inom offentlig sektor. Ledningarna mäts inte på säkerhet, de får inte högre lön för att det blir säkrare. Det har kommit rapporter om bristande säkerhet i flera år men ingenting har gjorts, säger hon.
Nu gäller det att fokuset på säkerheten inte försvinner i det politiska efterspelet.
– Det är självklart viktigt med incidenthanteringen i regeringen men det är ännu viktigare att förbättra säkerheten ute på myndigheterna. Och att inte bara starta olika initiativ utan följa upp dem också, säger Åsa Schwarz.
Läs också: Därför hamnade Transportstyrelsens data utomlands
Säkerhetsexperten Marcus Murray på Truesec är också orolig att säkerhetsfokuset ska gå förlorat.
– Jag tror att den här medieuppmärksamheten är jätteviktig för att lyfta frågan. Men om bara den politiska dimensionen lyfts så ger det förstås inte den effekt som jag vill ha som säkerhetskonsult.
Han vill framför allt sätta ljuset på hur upphandlingar går till – hur svårt det är att kravställa på ett sätt som också gör att säkerheten tillgodoses.
– I dag har vi stora internationella bolag där det finns folk som har som sitt jobb att leta luckor i upphandlingsunderlagen. Och ibland landar det i att företag som inte egentligen kan leverera den tjänst man vill ha tar hem affären, säger han.
Inte så att upphandlingar inte fyller ett syfte för att motverka korruption framhåller han, men problemet är att det är så otroligt komplext.
– Det finns myndigheter som upphandlat it-säkerhetstjänster som det vinnande företaget inte kan leverera, säger han.
Att se till att hålla myndighetsdata i Sverige borde vara en prioritering anser Marcus Murray.
– Det är svårt att ha kontroll över vilka som kommer åt informationen när vi lämnar den till ett företag, och om den dessutom läggs i annat land blir det ännu svårare. Risken för att utländsk underrättelsetjänst ska komma åt informationen är trots allt lägre om svenska företag hanterar den.
Men det kan ju vara ett svårt krav att ställa om inte tillräckligt mycket av informationen är säkerhetsklassad – det kan strida mot EU:s konkurrensregler att inte tillåta utländska företag att delta?
– Ja, det är ju ytterligare en av många parametrar som gör upphandlingsprocessen så komplex. Men samtidigt är det ju så att när det gäller data så kan ju mängden i sig innebära en säkerhetsrisk. Om dina körkortsuppgifter lämnas ut kanske det inte är någon större säkerhetsrisk – men om någon får tillgång till allas körkortsuppgifter är det en säkerhetsrisk. Då går det att sätta ihop informationen på ett annat sätt.
Läs också: It-skandalen hos Transportstyrelsen snart i KU – detta har hänt
Åsa Schwarz tycker inte att man kan säga att det alltid är bäst att behålla data i Sverige – det beror på vilken information det är och var det läggs.
– Det måste man titta på i varje enskilt fall – ska allt ligga i Sverige riskerar det att bli jättedyrt. Men däremot ska man ha klart för sig att det finns ju en väldig obalans när offentlig sektor går in i upphandling med jättar som IBM, säger hon.
Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige, IIS, lyfter i första hand fram bristande styrning som det som lett fram till it-skandalen på Transportstyrelsen.
– Det här är en tydligt brist i ledningsfunktionen, det handlar inte om att enskilda medarbetare gjort fel. Det är ju inte helt ovanligt att det sker vissa avvikelser kring rutiner i upphandlingsprocesser – även om det inte brukar handla om att bryta lagen, säger hon.
Inte heller hon tycker att den politiska aspekten av affären är det som är intressant. Viktigare än hur kommunikationen gått på regeringskansliet är varför myndigheten inte tycks ha gjort en ordentlig riskanalys.
– Det är ju något som alla myndigheter bör göra så att de förstår var riskerna i deras verksamhet ligger.
Åsa Schwarz pekar på att en rapport från Myndigheten för samhällsskydd och beredskap som kom 2015 visar att 42 procent av de svenska myndigheterna inte vet när de ska göra en säkerhetsanalys.
– Det visar att det här mycket väl kan hända igen. Grundorsaken till problemen hos Transportstyrelsen är att de inte hade koll på riskerna vid upphandlingen.
Ingen av de tre ser outsourcingen i sig som ett problem – det går att outsourca myndigheters information säkert.
– Jag hoppas att alla inte bara tvärnitar. Det går att outsourca om det görs på rätt sätt, säger Anne-Marie Eklund Löwinder.
Och Åsa Schwarz tycker inte heller att det är outsourcingen som är det egentliga problemet med Transportstyrelsens it-haveri.
– Problemet är att organisationen inte följt experternas rekommendationer trots att de kämpat för att göra sig hörda.
Läs också: Ärligt talat – IBM brister i omdöme
Alla lyfter också behovet av att få in säkerhetsexperter i ledningar och styrelser. Anne-Marie Eklund Löwinder har själv just gått in i Trafikverkets styrelse.
– Det var bestämt redan i början av sommaren, säger hon.
– Men det är viktigt att få in kompetens för att bedöma risk och förstå cybersäkerhet och informationssäkerhet – det krävs för att kunna fatta rätt beslut. Även i ledningsfunktionen bör det finnas kompetens.
Hon pekar också på att informationssäkerheten inte ska hamna på it-avdelningen.
– Det hör inte hemma där, det är som att sätta bocken till trädgårdsmästare. It-avdelningens mål är ofta baserade på kostnader och effektivitet – då är det inte lätt för någon som ska hävda krav på informationsskydd att få sina åsikter respekterade om de kan överprövas av en it-chef.
Kruxet i det hela är – som vanligt – att säkerhetsexperterna i dag är få och att det är svårt att hitta kompetensen.
– Ja, det är ett stort problem, det saknas väldigt många i dag, säger Åsa Schwarz.
