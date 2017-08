Åsa Schwarz tycker inte att man kan säga att det alltid är bäst att behålla data i Sverige – det beror på vilken information det är och var det läggs.

– Det måste man titta på i varje enskilt fall – ska allt ligga i Sverige riskerar det att bli jättedyrt. Men däremot ska man ha klart för sig att det finns ju en väldig obalans när offentlig sektor går in i upphandling med jättar som IBM, säger hon.

Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige, IIS, lyfter i första hand fram bristande styrning som det som lett fram till it-skandalen på Transportstyrelsen.

– Det här är en tydligt brist i ledningsfunktionen, det handlar inte om att enskilda medarbetare gjort fel. Det är ju inte helt ovanligt att det sker vissa avvikelser kring rutiner i upphandlingsprocesser – även om det inte brukar handla om att bryta lagen, säger hon.

Inte heller hon tycker att den politiska aspekten av affären är det som är intressant. Viktigare än hur kommunikationen gått på regeringskansliet är varför myndigheten inte tycks ha gjort en ordentlig riskanalys.

– Det är ju något som alla myndigheter bör göra så att de förstår var riskerna i deras verksamhet ligger.

Åsa Schwarz pekar på att en rapport från Myndigheten för samhällsskydd och beredskap som kom 2015 visar att 42 procent av de svenska myndigheterna inte vet när de ska göra en säkerhetsanalys.

– Det visar att det här mycket väl kan hända igen. Grundorsaken till problemen hos Transportstyrelsen är att de inte hade koll på riskerna vid upphandlingen.

Ingen av de tre ser outsourcingen i sig som ett problem – det går att outsourca myndigheters information säkert.

– Jag hoppas att alla inte bara tvärnitar. Det går att outsourca om det görs på rätt sätt, säger Anne-Marie Eklund Löwinder.

Och Åsa Schwarz tycker inte heller att det är outsourcingen som är det egentliga problemet med Transportstyrelsens it-haveri.

– Problemet är att organisationen inte följt experternas rekommendationer trots att de kämpat. för att göra sig hörda.

Alla lyfter också behovet av att få in säkerhetsexperter i ledningar och styrelser. Anne-Marie Eklund Löwinder har själv just gått in i Trafikverkets styrelse.

– Det var bestämt redan i början av sommaren, säger hon.

– Men det är viktigt att få in kompetens för att bedöma risk och förstå cybersäkerhet och informationssäkerhet – det krävs för att kunna fatta rätt beslut. Även i ledningsfunktionen bör det finnas kompetens.

Hon pekar också på att informationssäkerheten inte ska hamna på it-avdelningen.

– Det hör inte hemma där, det är som att sätta bocken till trädgårdsmästare. It-avdelningens mål är ofta baserade på kostnader och effektivitet – då är det inte lätt för någon som ska hävda krav på informationsskydd att få sina åsikter respekterade om de kan överprövas av en it-chef.

Kruxet i det hela är – som vanligt – att säkerhetsexperterna i dag är få och att det är svårt att hitta kompetensen.

– Ja, det är ett stort problem, det saknas väldigt många i dag, säger Åsa Schwarz.