Transportstyrelseskandalen har satt sökljuset på it-säkerhet. När CS ringde runt till ett antal säkerhetsexperter i slutet av sommaren var huvudbudskapet att hålla blicken på säkerhetsfrågan och inte göra det till en politisk fråga.

Sedan dess har andra myndigheter nagelfarits och misstag synas. Men fortfarande är det oklart hur vägen framåt ser ut. Transportstyrelsen-skandalen har gjort myndigheter och kommuner medvetna om att säkerhetsfrågan måste tas på allvar – att det kan få konsekvenser annars. Att man kan bli av med jobbet.

Men något större siktdjup är det inte ännu – det är mer som att leran rörts om och gjort vattnet grumligt.

– Det luktar illa, det märker man, säger Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige, IIS.

Hon tycker egentligen inte att det gjorts särskilt mycket efter debaclet med Transportstyrelsens outsourcing ännu.

– Regeringen har inte tagit fram någon rapport som beskriver vad som faktiskt hände, var det gick snett och hur man ska undvika det i framtiden.

– I stället har de agerat mer som i panik, tycker jag.

Läs också: Efter Transportstyrelsen: Försäkringskassan tar hand om myndigheters it-drift

Som exempel lyfter hon fram hur Försäkringskassan fått i uppdrag att ta hand om andra myndigheters drift.

– Istället för att sätta sig ner och fundera kring hur man tar ett samlat grepp. Att lägga det hos Försäkringskassan är ju också som att sminka en gris. Vill andra myndigheter ligga där? Det är ju inte självklart. Vad händer exempelvis om systemen går ner? Hur prioriterar Försäkringskassan då? Hur regleras det?.

– Man har vidtagit åtgärder, men det har varit av karaktären gummisnodd, tejp och lim, säger Anne-Marie Eklund Löwinder.

Risken nu är att många reflexmässigt backar istället för att analysera situationen.

– Att pendeln slår tillbaka är i sig en risk. Outsourcing är inte nödvändigtvis dåligt, och det är inte heller ansvarsfullt att backa totalt, säger Anne-Marie Eklund Löwinder.

Hur har vi hamnat här? Har digitaliseringen i den offentliga sektorn drivits på för hårt från politiskt håll och säkerheten glömts bort? 

– Ja, vi kan inte stirra oss blinda på digitalisering utan att få med säkerhetsfrågan. Måste vi till varje pris ligga först? Får det kosta vad som helst? Jag tycker vi ska satsa på att istället ligga först ur ett kvalitetsperspektiv och ett säkerhetsperspektiv.

Säkerhetsexperten Marcus Murray på Truesec håller med om att framhastade lösningar lätt blir till problem.

– Ofta handlar det om uppdrag som ska genomföras på begränsad tid och med begränsad budget. Men när man skapar nya funktioner kommer också risker samtidigt som man inte har den förståelsen. På så sätt bygger man upp en skuld över tid. Har man med risktänkandet från början så hamnar man inte där.

Han trycker på att man måste ha ett helhetsperspektiv.

– Det finns nästan alltid en skuld för att arbete med processer och upphandlingsförfaranden inte kopplats till tekniska risker. Det är därför det ser ut som det gör, säger han.

Läs också: Efter Transportstyrelsen: Nu vill regeringen strama åt för myndigheters outsourcing

För att inte bygga upp den säkerhetsskulden ytterligare gäller det att koppla ihop affärsrisken och den tekniska risken – länka de berörda systemen till sårbarhet och risker så att man upptäcker håligheter där det kan uppstå incidenter som man inte ser om man bara tittar på affärsriskerna.

– Den förståelsen finns hos några få men inte de flesta.

I och med att det tekniska landskapet förändras så är det en ständigt pågående process, konstaterar han.

– Riskerna förändras hela tiden.

Även om det finns en rejäl skuld att arbeta bort så tycker han inte att någon ska misströsta. Visst kan det vara en utmaning att ha adekvat kompetens men det går att lösa genom att interagera med näringslivet och köpa rätt tjänster och genom att kommunerna samverkar.

– Det handlar om att få rätt rutiner och processer på plats. Det är ett tungt jobb att komma till rätta med skulden, men när man väl byggt upp en struktur och har det på plats är det inte lika tungt sen. I dag finns ju säkerhet på burk och molntjänster där man kan köpa olika funktioner. Det är en av de största styrkorna med it, säger Marcus Murray.

Arbetet med GDPR, den nya dataskyddslagen, ger också viss draghjälp.

– Då blir man tvungen att rapportera och visa hur det kommer sig att det blivit ett intrång. Det kräver att en del finns på plats så bara genom det kommer man en bit på väg.

Anne-Marie Eklund Löwinder efterlyser också en del åtgärder när det gäller ansvaret för it-säkerhetsfrågor på central nivå.

– Säkerhetsfrågan borde samordnas och skötas av ett departement och inte ligger utspritt.

Och hon hoppas också på att den nya Digitaliseringsmyndigheten kan få en roll.

– I dag har ett antal myndigheter frågan på sin agenda – MSB, FRA, Säpo ... Så det vore ju bra om det skulle ligga mer samlat så det var mindre förvirrat.