– Vi tycker att det är anmärkningsvärt att så få rapporter om allvarliga it-incidenter kommer in till oss samtidigt som handhavandefelen ökar. Med tanke på att vi är mitt uppe i en digitalisering av samhället är det något vi borde ta ett samlat grepp kring, säger Samuel Taub, ansvarig för analysprogrammet på avdelningen för cybersäkerhet på MSB.
Blixten slog ner
Årsrapporten visar att 296 allvarliga it-incidenter i fjol ägde rum på de 251 myndigheter, som är skyldiga att rapportera in incidenterna till MSB. Bland annat slogs en dator ut på en myndighets samhällskritiska verksamhet i nästan ett dygn. Ingen reservdator fanns på plats, utan en tekniker var tvungen att ta med sig en dator från en annan ort och konfigurera den.
MSB konstaterar att bristande rutiner förvärrade konsekvenserna av incidenten.
– Slutsatsen av rapporten och den här incidenten är att ett bra systematiskt riskbaserat informationssäkerhetsarbete i botten höjer lägstanivån väldigt mycket och incidenter som denna skulle få mildare konsekvenser, eller inte få sådana konsekvenser över huvud taget, säger Samuel Taub.
Målet är att antalet it-incidenter ska minska.
– Vi vill ha upp rapporteringsgraden för att vi vill veta vad som händer. Vi vill få en bättre bild för att kunna och stötta myndigheterna att arbeta på ett hållbart och säkert sätt, säger han.
Snabb digitalisering
I rapporten konstateras bland annat att handhavandefelen ökar.
– Det kan bero på att digitaliseringen går snabbt och då är det lätt att digitalisera på ett sätt som varken är säkert eller hållbart. Det beror inte på att personer som jobbar med it på myndigheterna är dåliga, utan på att de inte alltid har rätt förutsättningar och att man på ledningsnivå inte prioriterar de här frågorna, säger Samuel Taub.
Han pekar på att en viktig lärdom efter skandalen på Transportstyrelsen då känslig information ur bland annat körkortsregistret blev tillgänglig för personal utomlands som inte var säkerhetskontrollerad.
– Det som hände på Transportstyrelsen är ett ankare när man talar om informationssäkerhet i Sverige. Det är det man återkommer till. Men allvarliga it-incidenter kommer inte att upphöra, utan det är snarare är önskvärt att man drar lärdom av konsekvenserna för att de positiva effekterna av digitaliseringen inte ska förstöras av att inneboende svagheter byggs in, säger Samuel Taub.