Möller Insights - vecka 37

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på McAfee i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om den bristande IT-säkerheten hos svenska myndigheter.

Bristande säkerhet hos myndigheter – okunskap eller ointresse?
Jag har i många gånger belyst det bristande säkerhetstänket hos myndigheter i Sverige. I maj skrev jag till exempel om socialnämnder i tre kommuner som inte hade gjort någon form av risk- eller säkerhetsbedömning innan de implementerade Ipads i verksamheten. En granskning från Datainspektionen visade tydliga brister i såväl själva integrationen som hur plattorna faktiskt används. Det fanns inga klara instruktioner för hur anställda får använda surfplattan vilket lätt leder till att de anställda använder den såväl privat som i arbetet.

Jag har tidigare skrivit gott om Datainspektionen och jag anser att de gör ett bra arbete. Problemet är att Datainspektionens resurser är knappa och att deras arbete av naturliga skäl är reaktivt. Det proaktiva säkerhetsansvaret ligger idag på själva myndigheten – och i den offentliga sektorn måste det ansvaret tas på ett bättre sätt och ribban för de egna kravställningarna på säkerhet läggas högre.

I slutet av augusti publicerade IPnett en undersökning där 210 organisationer inom offentlig sektor utfrågades om  IT-vanor och attityder till IT-säkerhet. Undersökningen visade att hela 24 procent av de tillfrågade organisationerna inte infört någon som helst säkerhetsåtgärd för att skydda verksamheten mot säkerhetsrisker som uppstår när anställda använder sina privata enheter (mobil, surfplatta, dator) på jobbet. Detta trots att 44 procent av de tillfrågade anser att det största säkerhetshotet är att anställda ska bryta mot säkerhetspolicyn.

Undersökningen visade även på att en stor del av myndigheterna fortfarande saknar ett skydd mot ddos-attacker, trots att vi sett många fall av den typen av attacker tidigare. IPnett drog även slutsatsen att myndigheter i stor utsträckning misslyckas med att ta ett helhetsbegrepp på nätverkens samtliga delar, vilket enkelt leder till brister i säkerheten. Hela 22 procent av de tillfrågade visste inte om deras verksamhet hade varit med om någon säkerhetsincident under det senaste året.

Missförstå mig rätt nu, det här är absolut inte någon form av attack mot IT-ansvariga och IT-chefer inom offentlig sektor generellt, det finns en enorm kunskap och kompetens att utnyttja där. Problemet är snarare glappet mellan IT-avdelningen och själva verksamheten. IT-ansvariga utför ett konsultativt arbete medan myndigheten äger såväl beslutsrätt som budgeten. Väggarna mellan de som gör beslut och de sakkunniga måste bli färre och tunnare och IT-ansvariga måste släppas in i diskussionerna om förnyelse och inköp av ny teknik i ett så tidigt skede som möjligt.

Myndigheter betraktas ofta som ett gigantiskt skepp med ett väldigt litet roder. Det är bångstyrigt och svårt att behandla frågor, och alla inköp och investeringar tar extremt lång tid att genomföra, och valet går ofta till slut till det billigaste alternativet. Vilket av naturliga skäl ofta inte är det bästa alternativet.

Min uppmaning till beslutsfattare att på allvar lyfta frågan om IT-säkerhet – och lyssna på sina egna experter. Det kan behövas rätt drastiska förändringar och investeringar innan våra myndigheter drivs på ett säkert och tryggt sätt.

Fredrik Möller är vd på McAfee i Norden och Baltikum. För mer nyheter följ Fredrik på twitter:@MollerFredrik