Vi försökte skydda känslig information
Inrikesminister Anders Ygeman fick avgå när it-säkerhetsskandalen på Transportstyrelsen blev känd.
Dammet efter it-säkerhetsskandalen på Transportstyrelsen har knappt lagt sig men för avgående CISO Tobias Ander och hans kollegor har den långa resan fram till de första tidningsrubrikerna inneburit många tvära kast mellan hopp och förtvivlan.
– Från säkerhetsorganisationens sida hade vi lämnat underlag inför upphandlingen av outsourcing och jag trodde aldrig att ledningen skulle godkänna konsekvenserna, säger Tobias Ander, Transportstyrelsens avgående CISO, chief information security officer, om beslutet från 2015 vars innebörd slog ner som en bomb i media i somras och bland annat har resulterat i omfattande KU-förhör och att två statsråd lämnat regeringen.
Läs mer: Sorglig rapport från Transportstyrelsen
Läs mer: Efter Transportstyrelsen: Nu ändras lagen
I det läget fattade Tobias Ander ett av sitt yrkeslivs svåraste beslut.
– Jag frågade mig hur jag skulle kunna gå vidare efter detta och om det skulle vara bättre att jag lämnade Transportstyrelsen. Men jag insåg att det bästa jag kunde göra i det läget var att förhålla mig lojal till mitt uppdrag och försöka skydda den känsliga informationen så gott jag och mina kollegor inom säkerhetsområdet kunde.
Tobias Ander är Transportstyrelsens avgående CISO.
Sanningen skulle fram
Beslutet om att stanna kvar föddes också ur vetskapen om att han och kollegorna hela tiden skött sitt uppdrag.
– Från upphandlingen 2013 och framåt har vi gått så långt vi har kunnat enligt vårt mandat. Jag hade en fast tro på att vi inom säkerhetsområdet gjorde rätt saker men att vi inte kunde styra över de felaktiga besluten. Under de senaste två åren har vi hela tiden kastats mellan hopp och förtvivlan.
I detta vacuum av osäkerhet utvecklade Tobias Ander och hans kollegor med ansvar för informations- och it-säkerheten ett starkt och nära samarbete.
– Vi ansvarade för olika delar, där jag jobbade mer internt på Transportstyrelsen. Bland annat med att ta fram förslag på interna riktlinjer och regelverk som beslutsunderlag för ledningen. Vi försökte agera taktiskt och anpassa oss efter var det gick att jobba och där motståndet var mindre både internt och gentemot underleverantören. Förutom övertygelsen om att vi gjorde vad vi kunde har vi haft en bra och öppen diskussion med stor respekt för vår gemensamma målbild för hur detta kan och ska fungera.
Prisad sammanhållning
Den sammansvetsade arbetsgruppen med Tobias Ander, internrevisionschef Annette Olofsson, Johan Eriksson,
Vi som jobbade med säkerhet hade hela tiden trott att det som hänt skulle komma ut men vi visste såklart inte när eller hur.
tobias ander
tidigare Chief IT Security Officer, och Jens Johanson, Chief Security Officer, har nyligen uppmärksammats med GRC-priset för hur de ”under händelserna på Transportstyrelsen samarbetat för att stärka och skydda sin organisation och för att skydda landets och skattebetalarnas intressen”. Priset är ett uppskattat erkännande.
– Det betyder mycket att människor utanför organisationen tycker att det vi gjort är bra, säger Tobias Ander.
Många ovetande
I januari 2017 fick så organisationen den första signalen om något höll på att hända.
– När GD fick sparken kunde vi ana vad det berodde på. Vi som jobbade med säkerhet hade hela tiden trott att det som hänt skulle komma ut men vi visste såklart inte när eller hur. Samtidigt fanns det många i organisationen, också bland de som jobbade med it-säkerhet, som inte hade en aning om vad som pågått. Bland annat för att problemen med upphandling hemlighållits för många. För många medarbetare har det som hänt varit ett hårt slag.
Strategi säkerhet 2018
Strategi säkerhet äger rum för första gången den 19 april i Epicenter i Stockholm.
Eventet beskrivs som en mötesplats där säkerhet står i fokus, och som samlar beslutsfattare från samhällets alla aktörer. Det anordnas för att kraftsamla och ta ett strategiskt nästa kliv för ett säkrare Sverige.
Tobias Ander är en av många talare tillsammans med bland andra Mikko Hyppönen, F-Secure, Predrag Mitrovic, Microsoft, Christoffer Callender, McAfee och Johan Jarl, Trend Micro.
Anmäl dig till dagen här.
Credd inte kritik
Såväl Transportstyrelsens egen som regeringens granskning av händelserna som ledde fram till it-säkerhetsskandalen visar på en lång kedja av orsak och verkan. Tobias Ander har själv inte hunnit smälta alla tankar, erfarenheter och intryck från de senaste åren men han framhåller att informationssäkerhet måste vara en del av kulturen i alla organisationer.
– Det är i första hand en fråga om styrning och ledning, om att lyssna på medarbetarna och uppmuntra dem att dra sitt strå till stacken. Den medarbetare som rapporterar att han eller hon gjort en säkerhetsmiss ska få credd och hjälp, absolut inte kritik för det. När det gäller säkerhet kan ingen någonsin luta sig tillbaka och ta läget för givet. Det gäller att hela tiden gå tillbaka, utvärdera och lära till exempel av tidigare upphandlingar. Transportstyrelsen hade med stor sannolikhet valt att outsourca driften men hade informationssäkerhetsfrågorna funnits med från början hade beslutet och genomförandet kunnat vara mer genomtänkt.
Årets GRC-profil
Tävlingen uppmärksammar individer som genomfört enastående insatser inom GRC, governance, risk och compliance. GRC är samlingstermen för organisationers arbete inom ledning/styrning, riskhantering samt efterlevnad av interna och externa regelverk.
Att hantera dessa discipliner som en enhet höjer förmågan att undvika konflikter, överlappningar och luckor. Därför verkar Årets GRC-profil för att öka förståelsen för GRC.
Finns det någon förklaring i att Transportstyrelsen är en politiskt styrd organisation?
– Det är svårt för mig att avgöra hur det fungerar i andra politiskt styrda organisationer. Men i en privat organisation är det ägarna som styr och då kan det också hända att målet blir viktigare än de givna förutsättningarna. På så sätt är nog styrningen i politiken lik den i andra organisationer och det finns alltid stora risker med snabba beslut och bristande kompetens.
Nu blir Tobias Ander CISO på Örebro kommun.
Läs mer om ämnet: