Gustaf Westerholm: Datasäkerhetsprojektet i kommunerna behandlar symptomen – inte sjukdomen
Finansministeriet presenterade i april sitt nya datasäkerhetsprojekt Haukka 2023. Intentionerna är goda och det visar att staten tar datasäkerhetsfrågorna i kommunerna på allvar. Problemet är bara att projektet inte verkar fokusera på grundproblemet, nämligen att ingen har tillräckligt med tid att fundera på datasäkerhet i de mindre kommunerna.
Haukka 2023 eller Genomförandeplanen för digital säkerhet inom den offentliga förvaltningen 2020–2023, har bland annat följande mål: man ska skapa arbetsgrupper med kommunala representanter som ska utreda utvecklingsbehovet av kommunernas digitala säkerhet och förbättra kommunernas reaktionsförmåga vid dataintrång.
Projektet är bra men innehåller en fallgrop. Vem ska sitta med i arbetsgrupperna?
Men vilka kommuner har sådana personer anställda?
Som experter påpekat tidigare så kan datasäkerhet inte skötas med vänstra handen. De som ska representera kommunerna i dessa frågor måste därför ha en helhetsbild och få jobba med datasäkerheten på heltid. Allt från teori ner till praktisk nivå.
Men vilka kommuner har sådana personer anställda? Jag har ingen exakt siffra men om man frågar alla kommuner under 30 000 invånare (de är dryga 270 stycken) så tror jag inte många räcker upp handen.
Allt efter att dataintrången, nätfisket och diverse bluffsamtal har blivit mer avancerade så har kommunerna reagerat. Saknas expertisen inom organisationen så köper man den av privata aktörer. Politiskt har det även varit att föredra framom dyra nyanställningar. Detta har lett till att pannorna vid Skyddspolisen och Cybersäkerhetscentret har lagts i djupa veck.
I en intervju med Svenska Yle 16.10 uttrycker sig Skyddspolisens stabschef Jyri Rantala enligt följande: ”Trenden som har oroat oss redan under en längre tid är att man lägger ut samhällskritiska funktioner på entreprenad”.
Det behövs helhetskoll och tydliga personalresurser om datasäkerheten ska fungera och kunna utvecklas. Men vem står för notan?
I samma artikel säger Cybersäkerhetscentrets informationssäkerhetsexpert Jan Wikholm att de externa it-leverantörerna ofta inte har någon helhetsbild av kommunens it-system. Därför vet de inte nödvändigtvis vilka risker som finns och vilka system och uppdateringar som behöver prioriteras.
Experterna är eniga. Det behövs helhetskoll och tydliga personalresurser om datasäkerheten ska fungera och kunna utvecklas. Men vem står för notan?
Det som Finansministeriet kunde göra är att tilldela kommunerna delfinansiering för att anställa en datasäkerhetsexpert.
Den tjänsteman som stegar in på höstens budgetbehandling och föreslår en heltidsanställd datasäkerhetsexpert i nästa års budget kan hälsa hem. Kommunernas ekonomi håller knappt ihop i år trots de relativt stora corona-statsandelarna som tilldelats. 2021 börjar vi se de stora följderna av coronakrisen och där finns inte utrymme för dyra nyanställningar.
Det som Finansministeriet kunde göra är att tilldela kommunerna delfinansiering för att anställa en datasäkerhetsexpert. Denna expert ska skapa sig en helhetsbild av kommunen och sedan rapportera till kommunens ledning. Experten fungerar även som kommunens representant i diverse utredningar under Haukka eller motsvarande projekt.
Med lite tur kanske även kommunen och dess förtroendevalda vaknar upp till datasäkerhetsverkligheten och anställer experten efter projektets slut.
De som leder Hukka 2023 behöver nämligen minnas att en undersökning eller kartläggning inte är mer trovärdig än kvaliteten på svaren. På fältet finns just nu inte resurser att höja den kvaliteten.