Riksrevisionen har släppt en rapport om hur föråldrade myndigheternas IT-system är, med följdresultat som dålig effektivitet och säkerhet. Det är egentligen ingen nyhet för oss i branschen. Däremot är det ett direkt resultat av dålig styrning. Låt oss ändra på det.
För många som är födda på 70-talet och senare är IT en del av vårt dagliga liv. Det mesta som har att göra med vårt liv och hur vi lever har i många decennier blivit registrerat, behandlats, och beslutats om med digitalt arkiverade resultat. Många av systemen kopplade till detta togs fram under 70- och 80-talet och har framgångsrikt hjälpt oss i snart 50 år utan uppehåll.
Många av dessa system finns hos våra myndigheter. Riksrevisionen har denna månad uppmärksammat dessa föråldrade IT-system i sin granskningsrapport ”Föråldrade it-system – hinder för en effektiv digitalisering”, RIR 2019:28. Det som har överraskat Riksrevisionen är den stora omfattningen av föråldrade IT-system som är verksamhetskritiska och finns hos ett 60-tal myndigheter. Problemen som listas är många. Det har observerats att de gamla IT-systemen gör det svårt att upprätthålla eftersträvad säkerhetsnivå - så mycket som 80% av myndigheterna uppgav detta problem. Underhållskostnaderna är höga (19 miljarder kr årligen) jämfört med moderna system. Orsaken är att IT-miljön är heterogen, arkitekturen spretig och komplex samt att kompetensen numera är svåråtkomlig då det är få som kan deras urgamla programspråk. Inte heller systemdokumentation var något som ursprungligen prioriterades. Dessa problem bidrar till att utförandet av säkra integrationer mellan olika system minst sagt är en utmaning.
Oavsett om system finns på en myndighet eller inom det privata så förändras både de funktionella kraven och informations- och cybersäkerhetskraven över tid. Begrepp som cyberhot, snabbt internet och pålitlig dygnet runt-access för medborgare, till aktuell sammanställd information, var så sent som för 40 år sedan bara en akademisk artikel - om de ens existerade.
Regeringen har som mål att Sverige ska vara världsbäst i digitalisering. Men från rapporten framgår att IT-skulden försvårar myndigheternas fortsatta digitalisering i ganska stor eller mycket stor utsträckning . Överlagrat på detta tillkommer den cybersäkerhetsskuld som finns; att säkerhet inte har varit den mest prioriterade verksamheten i etableringen av nya IT-system.
Som professionell i cybersäkerhetsbranschen ställer även jag frågor om hur framtiden ser ut. I fortsättningen förväntar jag mig att riskanalyser och periodisk granskning av dessa system, som omfattar de funktionella kraven och informations- och cybersäkerhetskraven, sker. Jag förväntar mig även att dessa kopplas mot respektive myndighets förvaltningsplaner under systemens hela livscykel. Men ur ett centralt styrningsperspektiv, dvs regeringen, så behöver även de ta sitt ansvar. Regleringsbrevet och myndighetsinstruktionen är de centralt styrande instrumenten för regeringen. En rimlig utveckling, med Riksrevisionens rapport som utgångspunkt, borde vara att regeringen till att börja med inför en tydligare styrning och krav på informations- och cybersäkerhet för alla myndigheter i regleringsbrevet. På lite längre sikt bör dessa krav även föras in relevanta lagar och förordningar för den offentliga sektorn, och då inte bara för myndigheter utan även för landsting- och den kommunala verksamheten.
Max Korkkinen är seniorkonsult inom säkerhet på Knowit och har mer än 30 års erfarenhet som revisor av IT-organisationer. Max tog civilingenjörsexamen 1981 och har därefter kompletterat sin examen med en MBA samt certifieringar inom Informationssäkerhetsrevision, ISO 27001 Lead Auditor, IT-säkerhet, CISSP, och säkerhet för kortdata, QSA. Idag är han engagerad med utbildningar och granskningar för att visa överensstämmelse med lagar, avtal och standarder inom området informationssäkerhet (GDPR, ISO 27001 och PCI DSS).