Riksrevisionen larmar om myndigheters bristfälliga informationssäkerhet

Riksrevisionen som är en myndighet under riskdagen har i uppdrag att granska effektiviteten i statliga myndigheters arbete. I den rapport som släpptes i veckan har Riksrevisionen undersökt hur nio myndigheter arbetar med informationssäkerhet. Bland myndigheterna som granskats finns Arbetsförmedlingen, Affärsverket svenska kraftnät, Bolagsverket, Försäkringskassan, Lantmäteriet, Migrationsverket, Post- och telestyrelsen, Sjöfartsverket samt Statens tjänstepensionsverk. Även regeringen, Regeringskansliet och Ekonomistyrningsverket har granskats.

Bakgrunden är att dessa myndigheter hanterar information som betecknas som skyddsvärd och granskningen syftar till se över ifall information är tillgänglig, riktig, konfidentiell och spårbar. Konsekvenser av bristfällig informationssäkerhet som Riksrevisionen nämner, kan vara uteblivna transfereringar och störningar i el- eller vattenförsörjning.

Resultatet av granskningen visar att säkerhetsnivån är för låg

Riksrevisionen samlade slutsats är att informationssäkerhetsarbetet på de granskade myndigheterna inte håller måttet. Förståelsen för vikten av god informationssäkerhet är för låg, något som gör att arbetet inte prioriteras. Riksrevisionen menar även att regeringen bär ett ansvar som inte tydligare pekat myndigheternas ledningar i rätt riktning för att komma till rätta med problemet.

Baserat på granskningen av de nio myndigheterna drar Riksrevisionen även slutsatsen att det finns anledning att anta att den bild som framträder även gör sig gällande för andra svenska myndigheter.

Ingen myndighet lever upp till MSB:s föreskrifter

Enligt Riksrevisionen uppges ingen av de granskade myndigheterna ha ett systematiskt informationssäkerhetsarbete som motsvarar de krav som Myndigheten för samhällsskydd och beredskap (MSB) satt upp.

En punkt där Riksrevisionen riktar stark kritik mot myndigheterna rör tillämpningen av ett ledningssystem för informationssäkerhet; som omfattar upprättande av en policy för informationssäkerhet, informationsklassning m.m.

Ledningen har delegerat ansvar för informationssäkerhet

Något som också framgår i granskningen är myndigheternas ledning och deras bristande engagemang för informationssäkerhet. Ansvaret har ledningarna delegerat men utan att ge de som ansvarar för frågorna tillräckliga mandat och tillräckliga resurser för att utföra sina uppgifter. Ansvariga för informationssäkerhet har svårt att göra sig gällande på grund av en bristande förståelse från ledningen som gärna låter informationssäkerhetsarbetet stå tillbaka för andra frågor som är närmare kopplade till kärnverksamheten.

Riksrevisionen ger därför följande fyra rekommendationer till regeringen

• Myndigheterna har inte lyckats med att skapa ett informationssäkerhetsarbete som uppfyller kraven i MSB:s föreskrifter och därmed i den standard som ligger till grund för arbetet (ISO 27000). För att öka förutsättningarna att klara kraven rekommenderar Riksrevisionen regeringen att öka tydligheten i sin myndighetsstyrning, så att var och en av myndigheterna i statsförvaltningen uppnår god informationssäkerhet inom rimlig tid.
• Det finns ett behov av att komplettera MSB:s metodstöd vid riskanalyser för att bättre kunna ta till vara på resultaten av de olika processerna och ställa samman dem till en övergripande enhet, så att allt nedlagt riskhanteringsarbete kommer till bästa nytta. Regeringen bör därför överväga att ge MSB i uppdrag att ta fram en modell eller ett metodstöd för hur myndigheterna på ett effektivt sätt kan samordna resultat och processer. Denna modell bör, så långt det är möjligt, stödja myndigheternas arbete med risker och med att ställa samman dem på ett hanterbart sätt. Det är också viktigt att regeringen genom sin myndighetsstyrning ser till att myndigheterna också tillämpar modellen.
• För att få ett effektivt skydd av informationstillgångarna i staten är det väsentligt att kunna göra avvägningar mellan kostnader och nytta. Det är inte möjligt i dag, eftersom kostnaderna för myndigheternas insatser för informationssäkerhet är okända. Det vore även angeläget att undersöka hur beslut om investeringar i informationssäkerhet sker i praktiken och vilka organisatoriska faktorer som påverkar synen på investeringar i informationssäkerhet. Regeringen bör därför låta utreda förutsättningarna för att visa samtliga kostnader förenade med informationssäkerhet för verksamheten i staten.
• Var och en av myndigheterna har att på egen hand pröva sig fram till hur de ska bedriva sitt informationssäkerhetsarbete. MSB:s vägledningar är bra, men det som fattas myndigheterna är ett operativt stöd. Riksrevisionen rekommenderar därför regeringen att överväga att låta utreda behovet av att inrätta en central funktion som skulle kunna få i uppdrag att lämna operativt stöd till myndigheterna.