8 oktober, 2018

Ny granskning av bevakningsansvariga myndigheters säkerhetsarbete

Myndigheten för samhällsskydd och beredskap (MSB) har på uppdrag av regeringen kartlagt bevakningsansvariga myndigheters informations- och cybersäkerhetsarbete. Bland annat konstaterar man att det skiljer sig mycket mellan organisationernas säkerhetsmognad och att säkerhetsfrågorna behöver ta en större plats i verksamhetsledningarna.

MSB har tillsammans med Försvarsmakten och Säkerhetspolisen granskat Sveriges 46 bevakningsansvariga myndigheters informations- och cybersäkerhet. Bevakningsansvariga myndigheter bedriver samhällsviktig verksamhet och omfattar bland annat Polismyndigheten, Finansinspektionen och MSB själva.

- Att höja lägstanivån på informations- och cybersäkerheten hos aktörer som bedriver verksamhet som är viktig för samhällets funktionalitet är en prioriterad fråga för MSB, säger Åke Holmgren, chef för Avdelningen för cybersäkerhet och skydd av samhällsviktig verksamhet.

Redovisningen lyfter bland annat fram variationen av säkerhetsmognad bland myndigheterna. Mogna organisationer har förmågan att identifiera och åtgärda relevanta risker, medan mindre mogna organisationer identifierar färre risker, och inte alltid de som är mest verksamhetskritiska. De har generellt sett även en sämre förmåga att åtgärda bristerna på adekvata sätt.

Säkerhetsarbetet behöver förankras högre upp i organisationen

Bland förbättringsförslagen finns bland annat att öka engagemanget och förankra informationssäkerhetsarbetet i ledningen, som enligt MSB, är ansvariga för att avgöra vilka risker verksamheten står inför och vilka åtgärder som ska vidtas. Ansvaret för informations- och cybersäkerhetsarbetet bör vara en naturlig del i verksamhetsansvaret, även för myndighetsledningar. Vidare fastslår de att informationssäkerhetsarbetet kräver kunskap och resurser, vilket det också är ledningens ansvar att se till att det finns på plats.

MSB drar bland annat följande övergripande slutsatser av redovisningarna:

  • Det finns brister i kopplingen mellan verksamhetsansvar och informations- och cybersäkerhetsansvar.
  • Få myndigheter följer MSB:s föreskrifter i sin helhet.
  • Underlaget från bevakningsansvariga myndigheter kan förbättras gällande både omfattning och kvalitet.
  • Arbetet med information- och cybersäkerhet samt säkerhetsskydd är inte tillräckligt integrerat.

Här kan du läsa mer om rapporten!