Infosäkkollen har tagits fram i två syften. För att skapa en nationell lägesbild över det systematiska informationssäkerhetsarbetet i svensk offentlig förvaltning, samt för att stödja offentlig förvaltning att kartlägga den egna säkerhetssituationen, identifiera utvecklingsbehov och få tips och stöd om förbättringar. Den första mätningen är nu genomförd. MSB har gjort en samlad bedömning av läget och vad som behöver förbättras.
– Den första mätningen visar att offentlig förvaltning behöver höja nivån på det systematiska informationssäkerhetsarbetet. Sverige är bra på digitalisering, men behöver satsa mer på informationssäkerhet, och den allvarliga säkerhetspolitiska utvecklingen gör det ännu mer aktuellt under kommande år. MSB satsar på att bistå med mera stöd. Nu är det viktigt att många tar chansen att förbättra informations- och cybersäkerheten, genom att säkerställa att det finns personal som kan driva arbetet och att informations- och cybersäkerhet görs till en ledningsfråga, säger Charlotte Petri Gornitzka, GD på MSB.
Att så många organisationer har så låga resultat i Infosäkkollen är bekymmersamt. Resultatet av mätningen visar också att det fortfarande är många statliga myndigheter som inte lever upp till MSB:s föreskrifter, som infördes redan 2009. Resursbrist uppges ofta som ett hinder, pandemin och omställningen den har medfört har också påverkat informationssäkerhetsarbetet. Det är dock glädjande att över 300 organisationer frivilligt svarat på Infosäkkollen och MSB tolkar det som att frågorna tas på allt mer allvar.
MSB bedömer att arbetet behöver prioriteras från ledningsnivå och tilldelas mer resurser. Bara genom att upprätthålla de resultat som redan uppnåtts, och göra förbättringar inom några få arbetsområden, skulle en tredjedel av organisationerna kunna höja sin övergripande nivå till nästa mätning under 2023.
– Vår slutsats är att stora delar av den offentliga förvaltningen inte arbetar systematiskt med informationssäkerhet. I synnerhet ser vi att arbetet med uppföljning och kontinuitetshantering brister. De områdena är viktiga att satsa på för alla organisationer, för att veta om arbetet man gör är effektivt, och för att kunna hantera incidenter. Många kan höja sin nivå med relativt små åtgärder och här ser vi behov av en tydligare viljeinriktning från organisationernas ledningar, säger Åke Holmgren, chef för avdelningen för cybersäkerhet och säkra kommunikationer.
