I april träder en ny skärpt säkerhetsskyddslag i kraft – en lag som ska stärka skyddet för Sveriges säkerhet och som omfattar inte bara myndigheter, kommuner och regioner utan också företag.
Det pågår också ett arbete med att komplettera lagen för att mer specifikt förebygga att säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse eller överlåtelse.
Men redan rätt snart efter outsourcingskandalen på Transportstyrelsen som briserade sommaren 2017 skärptes reglerna och tillsynsmyndigheterna Säpo och Must, den militära säkerhetstjänsten, fick då befogenhet att förelägga vilka åtgärder som en myndighet måste vidta för att leva upp till säkerhetsskyddet. Om myndigheten inte klarar kraven kan de stoppa myndigheten från att slutföra outsourcingen.
Medan Säpo är tillsynsmyndighet för de stora civila myndigheterna har Must tillsynen över de myndigheter som ligger under Försvarsdepartementet och dessutom Fortifikationsverket och Försvarshögskolan.
– Förordningen är ännu inte ett år gammal ännu men vi har redan fått en del erfarenheter, säger Jan Kinnander, chef för Musts säkerhetskontor som talade vid Cyberförsvarsdagen i förra veckan.
– Bland annat har vi sett att utkontrakteringarna blivit färre än vad vi beräknat. Tidigare har det legat på runt 300 stycken per år för oss och 200 för Säpo. Nu ser det ut att landa på 15–20 procent av det.
Kanske handlar det om en ketchupeffekt konstaterar han – att de kommer in senare till granskning.
– Eller så är det så att fler tar in konsulter inhouse i stället för att lämna ut uppgifter till leverantörer utanför. Det kan också vara så att de fortsätter använda sig av ramavtal som de haft innan – och det kan ju också ge en viss ketchupeffekt.
Fortfarande ser dock Jan Kinnander stora brister i myndigheternas säkerhetsanalyser, ofta saknas hotbild exempelvis.
– Det är konstigt för det är ingen raketforskning – man borde bli bättre på det. Att man bockar i rutan att man gjort en analys ger inte skyddet utan hur man arbetar med det i praktiken, säger han.
Många har inte kontroll på vilken skyddsvärd information man har i sina system, för vem den är skyddsvärd och när den är det.
– Det kan också handla om att man har information från andra myndigheter i systemen. Det finns också fler accesspunkter i nätverket än man tror – fler sätt att komma in i systemen. Och det finns en bristfällig kunskap om hur man skyddar sin information.
Dessutom, konstaterar han att många missbedömer den tid det tar att faktiskt gå igenom allt inför en upphandling.
– Det finns också en naiv syn på tidsförhållandena. Inte bara för upphandlingarna i sig men också för den tid det tar oss att gå igenom och se att säkerhetsanalyserna fyller kraven.
Jan Kinnander pekar också på att tiden är över då leverantörerna kan ha som säljargument att de fullt ansvar för det som läggs ut och att myndigheten inte behöver bry sig.
– Ansvaret kan inte outsourcas – myndigheten måste bibehålla kontrollen. Och det innebär att det finns ett kompetensbehov före, under och efter en utkontraktering.
Samtidigt handlar det inte om att det är slut med outsourcing för myndigheterna.
– Nej, alla kommer att vara beroende av leverantörer. Men det kommer att krävas mer transparens från dem – hur hanterar de informationen? Om de förstår vilka krav som ställs på dem kan de visa hur de uppfyller dem, säger Jan Kinnander.
Läs också:
Ygeman i stor intervju: ”Sverige ska flytta fram positionerna inom AI”
Snart skärps kraven på it-säkerhet – men många ligger efter inför ny lag
