Många kommuner brister i it-säkerhet: ”Vi har varit naiva”

Några av de känsligaste uppgifterna om kommuninvånares liv finns i socialtjänstens system. Det kan handla om var våldsutsatta kvinnor eller omhändertagna barn placerats. Vem som vill hoppa av ett kriminellt gäng, eller vilka flickor som söker stöd mot hedersförtryck. Människor vars liv kan vara i direkt livsfara om uppgifterna blir offentliga. Det får bara inte hända. Ändå är det just det som riskerar att ske.

– Vi har haft en alltför naiv och avspänd uppfattning om att vi kan hantera attacker, men ju mer digitaliserade vi blir desto svårare blir det att skydda information. I synnerhet om man inte gör vad som behövs för att skydda den, vilket jag inte tycker att man gör, säger Anne-Marie Eklund Löwinder, en av Sveriges främsta it-säkerhetsexperter.

LÄS OCKSÅ >>> Experten: ”Det kan vara livsfarligt om socialtjänstens data läcker”

Frågan är hur dålig en kommun får vara på att skydda personuppgifter och sekretessbelagd information, innan det rent av är brottsligt? För att få svar på frågan vänder vi oss till Integritetsskyddsmyndigheten, IMY, som arbetar med att skydda personuppgifter så att de hanteras korrekt och inte hamnar i orätta händer. Men, ska det visa sig, deras hemsida ligger nere.

Varför ligger er hemsida nere?

– Vad jag förstått är det en konfigurering av en brandvägg som strulat, säger Per Lövgren, pressansvarig vid IMY.

Ni är inte utsatta för en överbelastningsattack?

– Nej, det är ingen information jag fått till mig.

LÄS OCKSÅ >>> Hackerattacken ett dråpslag för socialtjänsten i Vellinge

Knappt tre timmar efter vårt samtal framkommer det att ryssvänliga hackare på meddelandetjänsten Telegram gått ut med att de attackerat IMY:s och flera andra myndigheters hemsidor. Vi ringer upp Per Lövgren igen.

– Det var den information jag hade fått då, men sedan har det visat sig att vi är utsatta för en överbelastningsattack.

Det visste ni, eller du, inte när vi ställde frågan tidigare?

– Jag visste inte det, nej. Informationsläget har förändrats.

Vi ska återkomma till IMY och frågan om hur dåliga kommuner egentligen får vara på it-säkerhet. Innan dess djupdyker vi i hur dåliga de faktiskt är, något som Myndigheten för samhällsskydd och beredskap, MSB, undersökt.

I mars släppte MSB en rapport där 291 myndigheter, regioner och kommuners informations- och cybersäkerhet granskats. Totalt deltog omkring hälften av landets kommuner, och resultatet var nedslående. En majoritet, 76,5 procent, av kommunerna nådde inte upp till den mest grundläggande nivån av systematiskt informations- och cybersäkerhetsarbete.

– Vi tycker att det är allvarligt, det är underkänt. För att få godkänt måste man nå upp till nivå tre i modellen, det är exempelvis endast fyra av de 120 statliga myndigheter som deltog som klarar det, säger Mathias Antonsson som är senior analytiker och samordnare för den strategiska cybersäkerhetsanalysen på MSB.

I granskningen stack kommunernas arbete ut: de hade färre anställda som arbetade med it-säkerhet, resurserna för arbetet var mindre och organisationsledningarna engagerade sig i lägre grad.

– Vi kan se ett orsakssamband att där organisationsledningen engagerar sig i de här frågorna, där får man också bättre resultat. Man har i lägre utsträckning prioriterat det här arbetet i kommunerna och lägger generellt mindre resurser på detta.

Samtidigt svarade nästan tre fjärdedelar att de saknar den budget som krävs för att förbättra informations- och cybersäkerhetsarbetet. Men att bristerna är många betyder inte att kommunerna helt saknar kapacitet att bedriva ett professionellt arbete på området.

– Många kommuner har kompetensen. De kan ha bra och kunnig personal trots bristerna som framkommer av våra undersökningar, men brister innebär att mycket lämnas åt slumpen och man arbetar inte systematiskt och riskbaserat. Om man gjort det skulle många incidenter kunna förhindras, oavsett om det beror på nätfiske, överbelastningsangrepp, systemfel eller misstag, säger Mathias Antonsson.

LÄS OCKSÅ >>> Panelen: Det här har vi lärt oss efter hackerattackerna

IT-säkerhetsexperten Anne-Marie Eklund Löwinder menar att bristande it-säkerhet skadar förtroendet till kommuner och myndigheter.

– Det är ganska illa. Det naggar förtroendet ju längre tiden går och ju oftare attacker sker och det påverkar vår självuppfattning som svenskar. Vi har alltid varit stolta över våra institutioner och litat på myndigheterna.

Kan man vara trygg med att vända sig till en kommun?

– Det är en svår fråga, men man har inte så mycket val. Däremot är det är rimligt att man som kommuninvånare ställer frågor och krav på att informationen hanteras på ett bra sätt.

Har vi som land inte förstått allvaret?

– Vi har varit naiva, men vi börjar bli bättre. Det finns politiker som verkar förstå och ställer krav på myndigheter, men det måste skjutas till medel. Det räcker inte med ord. Säkerhet kostar och det måste få kosta. Inte hur mycket som helst, men tillräckligt mycket för att motverka de enklaste angreppen.

LÄS OCKSÅ >>> Socialchefen och gisslandramat i Kalix

I många fall har attacker möjliggjorts av att kommuner inte gjort vad de borde.

– Många av de attacker som skett har inte varit riktade. Man har använt sig av det faktum att vi är dåliga på att uppdatera våra system vilket gör att de innehåller sårbarheter som kan utnyttjas. Vi är dåliga på att ha kontroll på behörigheter och övervakning av vad som händer i systemet i ett tidigt skeende, säger Anne-Marie och fortsätter:

– Sen när det gäller statsaktörer med stora resurser som utför riktade attacker – vill de in, så kommer de in.

En av många aktörer som växlat upp sitt arbete den senaste tiden är Sveriges Kommuner och Regioner (SKR), vars avdelning för it-säkerhet startade för bara ett år sedan.

– SKR har insett att vi behöver stödja medlemmarna mer kopplat till informations- och cybersäkerhet. Vi tycker att staten har ett stort ansvar och anser inte att det tas fullt ut. Stödet som erbjuds är inte anpassat för våra medlemmar. Alla hål ska inte SKR fylla igen, men det finns saker som vi kan stödja medlemmar med, säger Johan Thulin, cybersäkerhetsstrateg vid SKR.

Är det rimligt att en liten kommun ska klara detta på egen hand?

– Nej, frågan är hur många experter en liten kommun kan förväntas ha. Det är jättesvårt för kommuner att rekrytera experter, och kommuners ekonomi är samtidigt ansträngd. Jag är inte säker på att det är en effektiv användning av skattemedel för en liten kommun. Vi måste fråga oss vad som skulle kunna lösas av staten eller i olika samarbetsformer.

Oavsett hur mycket goda råd en kommun får, så hjälper det föga om ansvariga i kommunerna inte förstår, har tid eller råd att följa råden.

– Förr eller senare kommer alla kommuner att drabbas, då måste man redan innan arbeta för att minimera hur stor skadan kan bli, säger Johan Thulin.

Så till den spetsigt formulerade frågan om hur dålig en kommun får vara på att skydda personuppgifter och sekretessbelagd information. Efter att överbelastningsattacken mot IMY:s hemsida är över för den här gången får vi svar.

– Det finns inga specifika gränser för hur till exempel en kommun ska skydda de personuppgifter som kommunen hanterar. Alltså inga uttryckliga krav på brandvägg, antivirusprogram med mera i dataskyddsförordningen, men de åtgärderna är nästan alltid lämpliga. Vilka åtgärder som är lämpliga beror på risken, skriver Magnus Bergström som är senior it- och informationssäkerhetsspecialist vid IMY i ett mejl.

Samtidigt är en kommun personuppgiftsansvarig enligt dataskyddsförordningen, GDPR. Det innebär att kommunen är skyldig att skydda personuppgifter från obehörig åtkomst och obehörigt röjande. Ju känsligare personuppgifter som en verksamhet hanterar, desto mer ”krut” behöver läggas på säkerhetsåtgärderna, betonar Magnus Bergström.

– Saknas en basnivå av it-hygien och it-säkerhet är det bara en tidsfråga om när och hur allvarligt man drabbas, skriver han.