ST efterlyser starkare fokus på it-säkerhet
Staten måste ha bättre kontroll över digitala funktioner och data, menar både experter och fackliga företrädare efter hackerattacken mot Tietoevry. ”Staten fokuserar alldeles för mycket på effektivitet och kostnadsjakt när man utformar it-system, och alltför lite på risken för sårbarhet”, säger STs ordförande Britta Lejon.
Den attack som bland annat lamslagit lönehanteringen på många av landets myndigheter får STs ordförande Britta Lejon att dra en parallell med it-skandalen på Transportstyrelsen 2018, där it-drift lades på entreprenad och bland annat körkortsregistret blev tillgängligt för icke säkerhetsklassad personal i utlandet.
– Vi vet inte allt ännu om den här händelsen. Men man kan ändå säga att detta visar att staten fokuserar alldeles för mycket på effektivitet och kostnadsjakt när man utformar it-system, och alltför lite på risken för sårbarhet, säger hon.
Under senare år har även riskerna med att lagra myndighetsdata i molntjänster hos stora utländska företag diskuterats. Flertalet myndigheter använder amerikanska företag, och dessa kan enligt amerikansk lag tvingas lämna över data till domstolar i USA.
– Det är jätteviktigt att staten har kontroll över sin egen data och att inte andra aktörer kan använda den för egna syften. Det är inte per automatik riskfritt med egna molntjänster och system, men i dag är det inte ens med i kalkylerna vem som har tillgång till data, säger Britta Lejon.
En god civil beredskap är viktig för många statliga verksamheter, men även för medlemmarnas arbetsmiljö, säger Britta Lejon. Exempelvis kan ett längre stopp i lönesystemet efter en cyberattack leda till att löner inte kan betalas ut.
Efter hackerattacken mot Tietoevry kan för närvarande inga uppgifter lämnas i eller hämtas från det löneadministrativa systemet Primula. Det påverkar runt 60 000 statsanställda på 120 myndigheter som får sina löner via Statens servicecenter. De kan till exempel inte lägga in semester eller vård av barn. Om stoppet fortsätter i flera veckor finns risk att februarilönen inte kan betalas ut i tid.
– Staten har ett ansvar som arbetsgivare att se till man får sin lön korrekt. Det kan man inte vara säker på nu. Vi kommer att följa konsekvenserna av den här attacken och bedöma vilka fackliga krav vi behöver ställa, säger Britta Lejon.
Statens servicecenter har fått kritik, bland annat i en granskning utförd av myndighetens internrevision 2022, för brister i kravställningen gentemot leverantörer. Peter Stöckel, avdelningschef för lönetjänster, säger att Statens servicecenter arbetat med förbättringar i kravställningen och även stärkt kompetensen inom den egna organisationen.
– Men vi kan ännu inte utvärdera fullt ut om de krav som ställts på Tietoevry följts. Vi måste vänta tills de kommer tillbaka till oss och berättar vad som hänt, vilka åtgärder som vidtagits och när, säger han.
I en statlig utredning om de löneadministrativa tjänsterna inom Statens servicecenter som presenterades förra året konstaterades att det råder en ”oligopolliknande situation” inom den kommersiella marknaden för lönesystem, alltså att det bara finns ett fåtal leverantörer på marknaden. Detta gör det enligt utredningen svårt att ställa krav på leverantörerna.
Peter Stöckel säger att han inte vill använda begreppet oligopol.
– Men jag motsäger det inte, marknaden är väldigt begränsad. Och ju hårdare säkerhetsmässiga krav man ställer, desto fler leverantörer faller ifrån.
Finns det säkerhetsskyddsskäl för att staten ska bygga ett eget lönesystem?
– På sätt och vis vore det önskvärt. Då skulle man verkligen kunna säkerställa att man tillgodoser alla säkerhetskrav, både nu och på sikt. Men det är förknippat med en väldigt stor prislapp och kanske inte är realistiskt. Å andra sidan är den generella hotbilden vad gäller it-attacker sådan att man möjligen från politiskt håll vill börja utvärdera kostnaden i förhållande till situationen.
Ett forum där it-säkerhet och sårbarhet diskuteras är eSam, där 38 myndigheter samverkar för det man kallar tillgängliga och rättssäkra digitala lösningar. Där är datalagring i utländska molntjänster en stor fråga, berättar Erik Enocksson, ansvarig för it-säkerhet på eSam.
– Myndigheterna inom eSam använder mycket i amerikanska moln, men med viss eftertänksamhet. De flesta molntjänstleverantörer vill att man beställer tjänster djupt in i deras system. Om du nyttjar alla it-tjänster hos dem med din myndighetsinformation får du ett mervärde, du maximerar din licens. Problemet är att inte all information är lämplig att dela med en leverantör, säger han.
Trenden att använda privata molntjänster har varit stark, men pendeln håller på att svänga, menar Erik Enocksson. En annan aktuell fråga är de skärpta gemensamma reglerna inom EU för cybersäkerhet, direktivet NIS2. Där ska regeringens utredare lämna förslag i mars om hur den svenska implementeringen.
– Det kommer att handla mycket om egen rådighet över infrastrukturen och bättre beredskap mot attacker i det svenska samhället.
Danmark, Storbritannien och Kanada hör till de länder som utvecklat statlig it-drift. Deras erfarenheter är positiva, bedömer Erik Enocksson.
– I Storbritannien har kostnaderna minskat med 25 procent, och de har fått en bättre förmåga att integrera system.
I Sverige har Försäkringskassan sedan flera år i uppdrag att erbjuda samordnad och säker statlig it-drift till andra myndigheter. I en delredovisning till regeringen i mars 2023 skriver myndigheten att ”staten måste i alla lägen kunna råda över nödvändiga system, tjänster och funktioner”.
När det gäller lönesystemet Primula och Statens servicecenter har det uppenbarligen inte varit fallet. Enligt Försäkringskassans it-chef Peter Haglind går det dock inte att säkert säga att ett statligt system skulle ha varit mer motståndskraftigt.
– Men om statlig drift görs på ett intelligent sätt hade vi haft bättre förutsättningar. Att attacken fick så omfattande konsekvenser beror bland annat på att så många ägg placerats i samma korg, säger han.
Och i valet av korg har kostnadsbilden vägt tungt, menar Peter Haglind.
– Jakten på kostnader har varit styrande till stor del. Det är alltid en avvägning mellan kostnader och risk. Och vi kan konstatera att vi ser ett ökat hot under senare år, då stiger risken. Ska man minska den ökar kostnaderna.
I sin rapport till regeringen för snart ett år sedan föreslog Försäkringskassan att även Trafikverket, Lantmäteriet och Skatteverket skulle få i uppdrag att erbjuda samordnad och säker statlig it-drift. Motivet var att, med Peter Haglinds ord, staten inte skulle lägga alla ägg i samma korg. Regeringen har ännu inte svarat.
En av de tjänster Försäkringskassan tillhandahåller är en samarbetsplattform, Safos, som möjliggör videomöten, chatt och delning av dokument.
– Safos är ett alternativ till exempelvis Teams, Zoom och Google Meet som uppfyller de krav som finns när man delar känslig information, berättar Peter Haglind.
Safos tillhandahålls ”molnlikt”, och all data ligger i Försäkringskassans datacenter och hanteras av säkerhetsklassad personal. Intresset för tjänsten är stort. Ett drygt fyrtiotal myndigheter är anslutna, men över femtio andra har anmält att de vill använda tjänsten.
– Det är ett visst arbete med att ansluta fler, och vi har i dagsläget inte resurser att öka takten, säger Peter Haglind.
Internt har Försäkringskassan arbetat länge med att öka förmågan att återställa it-miljön efter en attack. Innan man använder sig av externa leverantörer måste man noggrant analysera hot, risker och möjligheter och hur man därmed ska kravställa, understryker Peter Haglind.
– Det handlar om vilken information som kommer att hanteras och vilket skydd den behöver, driftsäkerhet, it-skydd och hur backuper hanteras. Man kan också välja att ha backupen hos en annan leverantör för att minska riskexponeringen. När det går åt fanders måste man snabbt och utan dataförlust komma upp igen.
Detta är en nyhetsartikel. Publikts nyhetsrapportering ska vara saklig och korrekt. Tidningen har en fri och självständig ställning gentemot sin ägare, Fackförbundet ST, och utformas enligt journalistiska principer samt enligt spelreglerna för press, radio och TV.
