Resultat

Riksrevisionens samlade slutsats av denna granskning är att arbetet med
informationssäkerheten inte är ändamålsenligt, sett till de hot och risker som finns. Den tekniska utvecklingen har accelererat och de risker en organisation utsätts för ökar och kan förväntas fortsätta öka framöver. Som framgår av underlag i granskningen har vissa av riskerna förverkligats, och konsekvenserna har varit allvarliga. Detta understryker vikten av en god kännedom om beredskapen för att förebygga och hantera liknande och andra händelser. Ett riskbaserat tillvägagångssätt i arbetet med informationssäkerheten är en förutsättning för att på ett samlat sätt kunna värdera sannolikheten för att olika händelser ska inträffa och vilka konsekvenser som kan bli följden. Det finns flera riskområden inom statsförvaltningen när det gäller informationssäkerheten, såsom exempelvis kompetensbrist, upphandling, tillsyn/uppföljning/återrapportering samt styrning/omreglering/samordning.

En stor del av den information som skapas och lagras i samhället är viktig och samtidigt känslig. Är informationen förlorad, stulen, manipulerad eller spridd till obehöriga kan det få allvarliga följder. Konsekvenserna spänner från att det kan drabba hela samhällsfunktioner till att drabba enskilda. Granskningen har visat på omfattande brister i statsförvaltningen. Av underlaget till granskningen framgår att 84 procent av myndigheterna som själva administrerar sina IT-system uppger att de har en informationssäkerhetspolicy. Samtidigt framgår att 38 procent av
myndigheterna bedömer att kompetens, mandat eller resurser är otillräckliga för att utföra informationssäkerhetsarbetet på ett tillfredsställande sätt. Vidare uppger 42 procent av myndigheterna att det saknas regler för vad en riskanalys, som ska göras i ett systematiskt informationssäkerhetsarbete, ska omfatta eller när den ska ske. Slutligen
uppger 65 procent av myndigheterna att de saknar en kontinuitetsplan. Riksrevisionens bedömning är därför att en stor andel myndigheter inte har centrala delar av ett systematiskt informationssäkerhetsarbete på plats.

Regeringen har inte någon samlad lägesbild som inkluderar hot, i vilken omfattning och mot vilka hoten realiseras samt vilka skyddsåtgärder myndigheterna vidtar. En sådan lägesbild har inte heller någon av regeringens stöd- och tillsynsmyndigheter. Det innebär att den samlade förmågan att kunna hantera de konsekvenser som kan bli följden av en allvarlig incident till stora delar är okänd. Av det skälet är det nödvändigt
att regeringen och dessa myndigheter vidtar åtgärder, så att det går att få en samlad bild av läget och utifrån detta anpassar kraven på säkerheten till de behov som finns.

Riksrevisionens granskning har visat att

• regeringen inte utövat en effektiv styrning av informationssäkerheten i den civila statsförvaltningen och
• regeringens stöd- och tillsynsmyndigheter endast delvis har vidtagit nödvändiga åtgärder för att informera sig och regeringen om vilka hot som finns mot den civila statsförvaltningen, i vilken omfattning de realiseras och vilka skyddsåtgärder som vidtas.

Riksrevisionen drar denna slutsats mot följande bakgrund. Riksrevisionen har som ett led i granskningen uppdragit åt MSB, FRA och Säkerhetspolisen att analysera uppgifter om läget för informationssäkerheten i statsförvaltningen. Redovisningen av dessa
uppdrag innebär väsentlig, ny information om läget. Vart och ett av myndigheternas yttranden pekar dessutom entydigt i samma riktning.

Regelsystemet för informationssäkerhet ser i huvudsak likadant ut i dag som det gjorde 2007 när Riksrevisionen senast granskade området. De brister som påpekades då kvarstår i stora drag även i dag, vilket innebär brister i regeringens styrning. Ett tydligt och väl anpassat regelverk är en förutsättning för att uppnå effektivitet i arbetet med informationssäkerhet. Riksrevisionen drar därför slutsatsen att det regelverk som styr myndigheternas arbete med informationssäkerhet bättre kan behöva anpassas till olika typer av statlig verksamhet för att kunna nå önskvärda mål.

Det saknas en samlad avvägning för staten hur mycket resurser som behöver satsas på skyddsåtgärder sett till de risker som finns. Som det nu är finns inte en samlad riskvärdering; i stället råder osäkerhet om hur starkt skyddet är, vilka händelser som ägt rum och hur hoten utvecklas. Om det hade funnits en samlad lägesbild hade det gett förutsättningar för en samlad värdering av riskerna och sannolikheten att hot realiseras. Detta hade i sin tur kunnat vägas mot hur omfattande stödet behöver vara. Inträffade händelser (se kapitel 2) har visat att kostnaderna kan bli betydande, dels för att hantera händelsen, dels för att ställa till rätta efteråt. Risker för informationssäkerheten kan således potentiellt leda till omfattande skada, inte minst i form av extra kostnader och minskat förtroende för statsförvaltningen. Därför är det angeläget att åtgärder vidtas och prioriteras för att kontrollera dessa risker.

I dag har varje myndighet ett eget ansvar för hela sin verksamhet i såväl normalläge som i krisläge, vilket självfallet är helt nödvändigt för att verksamheten ska kunna bedrivas effektivt. Det är dock sannolikt inte tillräckligt; de flesta myndigheter har svårt att rekrytera och upprätthålla den kompetens som behövs för att möta behoven av säker informationshantering. De av regeringen utpekade stödmyndigheterna har begränsade resurser och saknar möjlighet att lämna operativt stöd till enskilda myndigheter i någon större utsträckning. Det finns alltså behov av ett bättre utbyggt stöd som riktar sig till hela statsförvaltningen, och som kompletterar de enskilda myndigheternas
egen kompetens. Om så vore fallet skulle det kunna leda till en bättre säkerhet totalt i statsförvaltningen, samtidigt som den totala kostnaden för informationssäkerhet borde bli väsentligt lägre än om varje myndighet håller sig med specialistkompetens.