Riksrevisionen fortsätter sitt arbete med att granska myndigheters informationssäkerhet och den här gången är det Arbetsmarknadsverket, Migrationsverket och Lantmäteriverket som satts under lupp. Alla tre har stora brister i sitt säkerhetsarbete, visar rapporterna.

Det handlar framför allt om brister på ledningsnivå – styrningen fungerar inte, kontrollerna brister och uppföljning av säkerhetsarbetet är i många fall dåligt.

Kritiken är inte ny. I tidigare rapporter har bland annat Statens Pensionsverk och Sjöfartsverket granskats och mycket av kritiken återkommer gång efter gång.

– Det är viktigt att myndigheternas ledningar engagerar sig i säkerhetsarbetet och där kan vi ju se att det lämnar en del övrigt att önska, säger Björn Undall, revisionsdirektör och projektledare för informationssäkerhetsgranskningarna.

Han konstaterar samtidigt att informationssäkerhet är ett mycket komplext område.

– Det gäller att lägga arbetet på rätt nivå i förhållande till verksamheten och det är en väldigt svår process. Och om den interna kontrollen inte är i ordning löper myndigheten en förhöjd risk för brister i sin informationssäkerhet, säger Björn Undall.

Arbetsmarknadsverket, AMV, och Migrationsverket får hård kritik just för den bristande styrningen. I granskningen av AMV slår revisorerna fast att den it-säkerhetsplan som fastslagits för drygt tre år sedan fortfarande inte fullt ut genomförts. Det innebär att en grundläggande förutsättning för säkerhetsarbetet saknas.

Eftersom ledningssystemen inte heller fungerar tillräckligt väl kan verksledningen inte heller avgöra om den säkerhetsnivå som eftersträvas verkligen uppnåtts. Konsekvenserna av bristerna kan bli allvarliga – bland annat kan sekretessbelagda personuppgifter röjas och underlag till a-kassa kan bli fel så att enskilda lider ekonomisk skada.

Migrationsverket får kritik för brister i genomförandet av den beslutade organisationen och för att regelverket inte efterlevs. Även här saknar ledningen de nädvändiga verktygen för att få en rättvisande överblick av säkerhetsriskerna. Bristerna kan i värsta fall leda till fel i handläggningen av asyl-, tillstånds- och medborgarskapsärenden och därmed göra att beslut tas på felaktiga grunder.

Lantmäteriverket har, enligt rapporten, flera fungerande delar av ett ledningssystem för informationssäkerhet. Men trots det finns även där finns vissa problem. Systemet är inte tillräckligt tydligt enligt rapporten och det gör det svårt för verksledningen att se om säkerhetsarbetet sker systematiskt. Brister i Lantmäteriverkets fastighetsregister skulle kunna påverka rättsförhållanden, kreditgivning, fastighetsbeskattning och folkbokföring.

Fakta

Många av de brister som Riksrevisionen pekar på i sina granskningar återkommer gång på gång i olika omfattning. Några av dem är:

  • Brister i styrning och kontroll av skyddet av sina informationstillgångar.
  • Beslut som gäller informationssäkerhetsarbetet har inte genomförts fullt ut.
  • Säkerhetsarbetet bedrivs inte systematiskt vilket gör det svårt för myndighetsledningarna att prioritera mellan olika risker och skyddsåtgärder och att följa upp säkerheten.