Stora brister i statens arbete med informationssäkerhet
Det finns omfattande brister i regeringens och myndigheternas arbete med informationssäkerhet. Regeringen har inte någon samlad bild av vilka hoten är, i vilken omfattning de realiseras och vilka skyddsåtgärder myndigheterna vidtar.
Riksrevisionen har granskat om regeringens styrning av informationssäkerheten i den civila statsförvaltningen är effektiv. Den övergripande slutsatsen är att arbetet med informationssäkerhet inte är ändamålsenligt i förhållande till de hot och risker som finns.
En stor del av den information som skapas och lagras i samhället är både viktig och känslig. Det kan få allvarliga följder om informationen förloras, stjäls, manipuleras eller sprids till obehöriga. Om informationssäkerheten brister finns en risk att myndigheter och statliga bolag inte kan uppfylla sina skyldigheter, till exempel att betala ut ersättningar, hantera trafikledning av tåg eller förse samhället med elektricitet. Både enskilda och hela samhällsfunktioner kan drabbas.
Riksrevisionens granskning visar att regeringen saknar en samlad bild av läget för informationssäkerheten i statsförvaltningen, och därmed saknas möjligheten att styra effektivt. Inte heller stödmyndigheterna Myndigheten för samhällsskydd och beredskap, MSB, Försvarets radioanstalt, FRA, och Säkerhetspolisen har en samlad bild. Det råder en osäkerhet om hur starkt skyddet är, vilka händelser som har ägt rum och hur hoten utvecklas. Det är därför svårt att värdera riskerna och veta hur omfattande skyddet behöver vara.
Granskningen visar att det finns brister inom flera områden, till exempel kompetens, upphandling, tillsyn, uppföljning samt styrning och samordning. 38 procent av myndigheterna bedömer till exempel att kompetens, mandat eller resurser inte räcker.
– Det är allvarligt att det finns en så stor brist på kunskap när det gäller läget för informationssäkerheten i statsförvaltningen. Regeringen bör ställa tydligare krav på myndigheterna och följa upp om de lever upp till kraven, säger riksrevisor Claes Norgren.
Regeringen bör utöka tillsynen och utreda om ansvaret för denna kan samlas och koordineras på ett bättre sätt. Regeringen bör även överväga att låta den myndighet som ska utöva tillsynen få mandat att utfärda sanktioner mot myndigheter som inte vidtar nödvändiga åtgärder samt snarast införa en obligatorisk incidentrapportering för alla myndigheter. Stödmyndigheterna bör också göra mer när det gäller att öka kunskapen om säkerhetsläget och lämna stöd till den övriga statsförvaltningen.
Kontakt
Riksrevisor Claes Norgren
Projektledare: Per Dackenberg, tfn 08-5171 42 72
Pressekreterare: Pernilla Eldblom, tfn 08-5171 42 00
Ladda ned eller beställ rapporten
Rapporten Informationssäkerheten i den civila statsförvaltningen kan laddas ned eller beställas från Riksrevisionens webbplats. Här finns även pressmaterial, högupplösta bilder, figurer och diagram.
http://www.riksrevisionen.se/2014_23_nyhet
Taggar: