20 kommuner om säkerhetsläget: Komplext och behov av samverkan

Sveriges kommuner och regioner, SKR, sa nyligen i en intervju med Dagens Nyheter att de ser att kurvan över attacker mot sina medlemmar går upp. I samma intervju uppgav Johan Tuhlin, cybersäkerhetsexpert på SKR, att resurser, kunskap och kapacitet skiftar mellan verksamheterna.

– Vi stärker vårt civilförsvar i Sverige och jag kan se att den frågan prioriteras upp. Många medlemmar är väldigt duktiga, andra har en bit kvar.

Denna bild delas av de kommuner i olika storlek runtom i landet som Voister varit i kontakt med. På en skala 1–10, över hur väl förberedda kommunerna är på ett ökat hot i samband med Natointrädet, skiljer sig siffrorna åt. Även om de flesta kommunerna skattar sig någonstans mellan sex och sju i beredskap, anger vissa kommuner att de befinner sig någonstans mellan tre och fem på en tiogradig skala. Endast en kommun svarar en nia.

Anders Olsson, it- och utvecklingsdirektör i Gävle kommun, sammanfattar utmaningarna så här:

– Kommuner är ju komplexa organisationer med väldigt många användare och olika typer av it-lösningar vilket innebär att det är svårt att ha koll på eventuella sårbarheter i miljön. Vi jobbar aktivt för att hantera olika typer av hot och intrångsförsök, men om en kraftfull och ibland statsunderstödd aktör vill skada oss är det sannolikt svårt att stå emot.

Inte om utan när

Flera av respondenterna pekar på att det är svårt att hänga med i tempot som krävs för att känna sig säker och att det snarare blivit viktigt att se över reservrutiner och att känna sig trygg i att man vet hur man ska göra under en pågående attack.

– Vi kan inte skydda oss till hundra procent, vilket gör att tanken om cyber resilience är aktuell, det vill säga hur vi ska agera under en incident. Öva, ha rutiner på plats, förbereda sig tekniskt så långt det går, säkra data, utbilda personal och försöka hitta proaktivitet i arbetet. Det gäller att inte tänka om det sker utan när, och agera därefter, säger Mia Hagström it-chef i Malung-Sälen.

Denna bild har också Per Wikström, it-chef i Jönköpings kommun, som menar att det både handlar om att förebygga och förbereda sig för det värsta tänkbara scenariot.

– Det är ett väldigt oroligt läge där mycket tid går åt att förklara vikten av kontinuitetsplaner, och till förberedelser för att upprätthålla samhällsviktiga tjänster utan it-stöd. Samtidigt vill man förmedla att vi som it-avdelning lägger ner ett stort arbete både på att förebygga it-attacker och på att minska konsekvenserna om en sådan sker.

Kostnader och tidspress utmanar

Skälen till att det är svårt att vara helt förberedd är många, uppger de kommuner som Voister varit i kontakt med. Det handlar dels om tidspress, dels om kostnaderna som tillkommer och om organisationernas komplexitet. En anonym kommun beskriver tidsutmaningen så här:

– Det tar lång tid och går långsamt att göra cybersäkerhetsrelaterade förändringar. De som blir angripna gör sedan allt på en gång. Det är en utmaning att vara tillräckligt snabb på området innan något händer, i stället för att riskera att vara efterklok.

Detta tempo, ihop med att säkerhetsläget förvärrats samtidigt som det ekonomiska läget är tufft, medför en rad avvägningar för flera kommuner, däribland Lessebo.

– Vi jobbar hårt för att öka säkerheten och har kommit en bra bit. Trots det finns det alltid mer att göra och det är en svår avvägning hur mycket säkerheten får kosta, säger Viktor Ojansivu, it-chef.

Henrik Linde, enhetschef för it-infrastruktur, Gislaveds kommun, lyfter även han de ekonomiska förutsättningarna som en av utmaningarna.

– Läget innebär stora kostnader som tyvärr infaller under svåra ekonomiska år för kommuner generellt, vilket är problematiskt. Detta då det är satsningar som inte ger våra medborgare direkt valuta för sina skattepengar, utan snarare bygger på en komplexitet för det egna arbetet men som jag ser som helt nödvändiga för att hantera det nya världsläget.

Han poängterar också att det både handlar om mjuka och hårda investeringar:

– Att det inte finns statliga bidrag över tid är problematiskt då det är ökade driftkostnader vi pratar om och inte enskilda investeringar. Sedan tror jag att den stora utmaningen ligger utanför it, i mjuka värden för verksamheten, i form av förändrade arbetssätt som är svårare än tekniska förändringar.

Just interna risker jobbar bland annat Uppsala kommun mycket med.

– Styrningen av slutanvändare behöver bli mycket hårdare utan att för den skull tappa i funktionalitet. Löpande utbildning krävs för att så långt som möjligt undvika fel från insidan, säger Tomas Ekvall, CIO.

Samverkan pågår

18 av de 20 kommuner som Voister pratat med har försökt tackla utmaningarna genom någon form av samverkan med andra kommuner. I Mora kommun hör man till exempel aktivt av sig till drabbade verksamheter för att snabbt kunna lära av dem.

– Vi når ut till påverkade organisationer inom offentlig sektor för att ta del av modus operandi, och därefter göra agila förändringar baserade på hotbilden, berättar Matthias Grahn, it-chef.

Andra samverkansområden bland kommunerna handlar om att gemensamt kartlägga nya hot, löpande diskutera säkerhetsfrågor som kommit upp på de enskilda it-chefernas bord, och i vissa fall till och med om att införa gemensamma säkerhetssystem eller dela med sig av leverantörsinformation.

Många kommuner tittar också på rådande rekommendationer och råd från Myndigheten för Samhällsskydd och Beredskap, MSB samt från Säpo och SKR.

– Vi har ett samarbete i länet som kommunerna tog initiativ till för många år sedan. Vi kör veckomöten med vår leverantör och får information om aktuella hotbilder på flera nivåer; strategiskt, taktiskt och operationellt. På dessa möten diskuterar vi också tekniker och it-cheferna lyfter olika scenarion och utbyter erfarenheter. Vi följer såklart också rekommendationer och information från MSB (Cert-SE) och andra myndigheter, berättar Tomas Hellquist, it-chef i Gagnef kommun.

Nationella initiativ efterfrågas

När MSB nyligen presenterade en lägesbild av cybersäkerhetsnivån hos myndigheter, kommuner och regioner skrev Carl-Oskar Bohlin, Sveriges minister för civilt försvar, på Linkedin att resultatet var mycket otillfredsställande och att inte bara myndigheter utan även kommuner och regioner måste ta sitt cybersäkerhetsarbete på mycket stort allvar.

Samtliga kommuner som Voister varit i kontakt med har pågående aktiviteter för att löpande höja sin säkerhetsnivå, och vissa har dessutom tidigarelagt aktiviteter som låg längre fram i tiden för att stärka upp.

Bohlin pekade i sitt inlägg på att engagemanget för cyber- och informationssäkerhet måste genomsyra hela organisationerna, och inte bara kan läggas på en perifer it-avdelning.

Bland de kommuner som Voister pratat med, oavsett storlek eller geografisk placering, önskar sig flera ytterligare nationell samverkan i frågorna. Mia Hagström lyfter att när kraven från Myndighetssverige kan komma att öka, finns det många områden där styrning och stöd kan behövas:

– Jag tror att kraven kommer att skärpas vilket kommer att påverka stora som små aktörer. Det vore önskvärt med mer samordnad styrning och stöd nationellt kring flertalet frågor som tenderar att bli komplexa, som säkerhetsskydd, it-säkerhet, cybersäkerhet, informationssäkerhet, NIS2 med mera.

Lars Nilsander, it-chef i Halmstad kommun, ser nationell samverkan som en stor möjlighet.

– Aldrig tidigare har komplexiteten varit så hög. Det ställer höga krav på kompetens och förmåga inom området vilket naturligtvis ger att vi behöver bli mycket bättre på att samarbeta på riktigt. Nationella initiativ kan ge stora samverkansvinster.

Har du egna reflektioner du vill dela med dig av? Kontakta gärna redaktionen på nyheter@voister.se.