Vilka av kommunens uppgifter är lämpliga att ha i molnet? Hur uppnås den säkerhet som krävs? I en tid av mycket osäkerhet när det gäller reglerna för hanteringen är det extra nödvändigt att ha kartlagt, analyserat, och klassificerat all information kopplat till de olika förvaltningarna.
Karlskrona kommun
Karlskrona
Kartläggning och klassificering av all information kopplat till de olika förvaltningarna.
”Genomgången gav oss ett bra utgångsläge inför arbetet att se över hur vi ska jobba säkert med molntjänster framöver.”
— Per Jonsson, informationssäkerhetsansvarig i Karlskrona kommun.
Den digitala transformationen präglas av stor osäkerhet i många kommuner. Den statliga utredningen ”Säker och kostnadseffektiv it-drift”, även känd som regeringens molnutredning, uppmärksammade tidigare i år ett stort dilemma:
Offentlig sektor har ett behov av att kunna använda externa drifttjänster – men under nuvarande lagar är utlokalisering ett potentiellt röjande av uppgifter som omfattas av offentlighets- och sekretesslagen. Exempelvis nyttjandet av amerikanskägda tjänster via molnet är utmanande med rådande regler, eftersom amerikanska FBI eller NSA under vissa förutsättningar har rätt att kräva tillgång till uppgifter som hanteras av dessa tjänster.
Utredningen har föreslagit ett tillägg till sekretessreglerna för att lösa det så kallade röjandeproblemet. I väntan på uppdaterade regler har kommuner som Karlskrona hamnat i ett vakuum.
Å ena sidan ska kommunen utvecklas in i framtiden, där bland annat molntjänster kan göra information mycket mer tillgänglig för både medarbetare och invånare – å andra sidan måste utvecklingen ske utan att bryta mot några regler eller att information hamnar i fel händer.
CloudTrack Security - Få en leverantörsoberoende och objektiv säkerhetsgenomgång av ert molnprojekt. Vid avslut har du en kundunik analys som möjliggör riskmedvetna beslut, redo att användas som beslutsunderlag inför verksamhetens fortsatta förflyttning.
”Vi upptäckte saker i molnet som inte borde ha varit där”
– När vi gjorde genomgången av förvaltningarnas information, upptäckte vi bland annat att vi hade saker i molnet som hanterades av en amerikansk leverantör. De borde aldrig ha varit där, säger Per Jonsson på Karlskrona kommun.
Han valde att göra översynen av kommunens informationshantering efter att ha tillträtt på sin tjänst som informationssäkerhetsansvarig. Översynen har bidragit till att kommunen kan jobba säkert med molntjänster, oavsett hur reglerna ändras framöver.
– Tidigare saknade vi både kunskap om vilka informationsmängder som förvaltningarna hanterar, och tydliga rutiner för hanteringen. Så det här var helt nödvändigt att ta tag i. Inte bara för att förhindra att känsliga uppgifter eller skyddsklassad information hamnar fel, utan även för att undvika att det uppstår fel, eller att uppgifter går förlorade.
Klassificering av informationen
Kartläggningen synliggjorde både känslig och mindre känslig information. Det var alltifrån mötesprotokoll, bygglov och elnätskartor till rehabplaner och personregister för sjukintyg.
– Atea hjälpte oss genom processen med 3-4 workshops för varje förvaltning, och uppgifterna klassificerades också efter konfidentialitet, riktighet och tillgänglighet. Även riskbedömningar gjordes, exempelvis vilka skador som skulle kunna uppstå om något går fel.
Oavsett hur reglerna kommer att se ut när det gäller molntjänster framöver, så är det helt avgörande att göra den analysen.
Processen ingår som en del i Ateas ramverk CloudTrack som hjälper organisationer att strukturerat planera för sin molnanvändning och skapa sin strategi framåt.
– Cheferna och medarbetarna från de olika förvaltningarna upplevde det som nyttigt och värdefullt. Det var mycket värt att Atea tidigare hjälpt flera andra kommuner genom processen och delade med sig av den erfarenheten.
Behov av utbildning
Under kartläggningen blev ett stort utbildningsbehov uppenbart.
– Det är viktigt att alla våra drygt 6 000 medarbetare i kommunen är medvetna om riskerna i sin hantering av information. Det är så lätt hänt att det blir fel. Det kan räcka med att man jobbar på äldreomsorgen och skickar iväg ett mejl som tar upp ett problem med en brukare. Jag skriver min chef som mottagare, Kalle Karlsson, men råkar stava med ”C” i stället, så att uppgifterna om brukaren hamnar hos en helt annan person i organisationen.
Strax före årsskiftet hade kommunen en digital utbildning i digital säkerhet för alla anställda.
– Vi behöver fortsätta göra utbildningsinsatser för att hålla medvetenheten levande. Nästa steg är att utbilda chefer lite mer ingående.
Då mycket är osäkert om vilka regler som ska gälla framöver, har Karlskrona valt en försiktig väg i sin molnresa framåt, medan andra kommuner väljer att satsa mer offensivt.
– Den digitala tekniken kan förbättra vårt sätt att arbeta och ta kommunens tjänster till nästa nivå, så det är klart att vi ska ta vara på det. Frågan är hur det ska gå till. Där har vi inte riktigt landat än. Det viktigaste är att våra invånare har förtroende för oss.
Exempel på kommunernas utmaningar
Utvecklingen i samhället. Kommuninvånarna och medarbetarna förväntar sig att verksamheten hänger med i den tekniska utvecklingen, med allt bättre och smidigare lösningar och tillgänglighet dygnet runt.
Okunskap om riskerna. Många anställda är medvetna om sekretessregler och hur uppgifter måste hanteras i det digitala landskapet, men alla är inte det.
Mänskliga misstag. Som Per Jonsson, informationssäkerhetsansvarig i Karlskrona, påpekar i artikeln är det lätt hänt att någon medarbetare gör ett misstag, som att skicka ett mejl med känsliga uppgifter till fel person.
Identitetsstölder. Om en anställd blir av med sitt användarnamn och lösenord kan vem som helst logga in med det varifrån som helst om inte it-säkerheten sätter stopp för det – genom exempelvis med app-verifiering för inloggning och andra åtgärder.
Tillgångsrisker. Förlust eller förvrängning av data. Stölder, sabotage, spionage, naturkatastrofer, misstag av människan eller buggar i något program.
Åtgärder som en kommun kan göra
Utbildning. Så att medarbetare får ett moget säkerhetstänk i hantering av känsliga uppgifter, i molnet och utanför.
Informationsklassificering. Ligger till grund för hur information kan hanteras, exempelvis vad som kan läggas i molnet och vad som behöver stanna utanför.
Intelligenta it-system som söker och upptäcker säkerhetsrisker.Ett enkelt exempel: En dialogruta i mejlprogrammet som varnar, ”Bilagan innehåller känsliga personuppgifter. Har du kontrollerat att mottagarens mejladress är korrekt?”
Rätt balans mellan molnet och lokala lösningar. Användning av molnet med dess många fördelar, men bara där det är möjligt, och utan att äventyra kraven på säkerhet.
Backup. Få molntjänster innehåller backup från start, det behöver läggas till om man vill kunna återställa raderad information.
Automatisk hantering av identiteter och behörigheter i system. Dels behörighetsstyrning i allmänhet baserat på behov, inte ha tillgång till allt "för att det är bra att ha”. När någon byter tjänst så ska den inte bara få ny åtkomst utan den gamla ska sannolikt plockas bort. Avslut av identiteter när någon slutar.
Systemförvaltning. Vilka säkerhetsåtgärder bör man aktivera för att möta dagsaktuella hot då omvärlden förändras?
Vill du veta mer om hur du säkrar din information? Kontakta Carl-Johan
