Hård kritik från Riksrevisionen av myndigheters hantering av it-säkerheten

Elva myndigheters säkerhetsarbete har granskats av Riksrevisionen och resultatet har just offentliggjorts i en rapport. Stora brister har framkommit vad det gäller hur säkerhetsarbetet styrs och allvarliga säkerhetsluckor har påvisats i systemen.

Läs Riksrevisionens rapport.

Brister i informationssäkerheten påtalas, incidenter rapporteras - ingenting händer - följt av nya rapporter om att ingen gör något åt saken. Varför är det så svårt att komma ur denna cirkelgång av att inte åstadkomma något?

Orsaker	Hur hjälper PAPAI?
Komplexitet säkerhetsfrågorna upplevs så komplexa att man inte vet i vilken ände man skall börja. Detta kan leda till desperata försök att köpa sig säkerhet genom ännu mer komplexa säkerhetsprodukter i hopp om att i alla fall någon av dess funktioner skall lösa problemen. Detta är nästan alltid bortkastade pengar. Innan man kan investera i säkerhetslösningar måste man veta vad som skall skyddas, varför och på vilket sätt.	Strukturen i PAPAI bryter ner komplexiteten till mindre delar som kan förstås och bemästras. Riskanalysen i PAPAI ger en överblick av säkerhetsläget och fokuserar säkerhetsinsatserna till de verksamhetskritiska områdena.
Delegering utan kontroll säkerhetsfrågor ses som ett tekniskt problem och skjuts därför nedåt i organisationen. I ledningen finns ofta en föreställning om att informationssäkerhetsfrågor är av teknisk natur och detta medför en mycket långtgående delegering. Detta är inte ett problem i sig om bara ledningen såg till att följa upp de delegerade uppgifterna. Att detta inte blir gjort beror i sin tur på att ledningen är osäker på vilka uppgifter den har i informationssäkerhetsarbetet och hur dessa uppgifter ska utföras.	En av de allvarligaste bristerna som påvisas i rapporten är avsaknaden av ledningssystem för informationssäkerheten. PAPAI ger ett färdigt ramverk för ledningssystemet, återför styrningen till organisationens ledning och ser till att man får kontinuitet och uppföljning av säkerhetsarbetet.
Händelsestyrd uppföljning Inställningen till säkerhet är reaktiv i stället för proaktiv. Informationssäkerhetsarbetet består av en serie brandkårsutryckningar vilket gör att man aldrig får tid och inte orkar höja sig ovanför den tekniska nivån och se hur informationssäkerhetsarbetet borde organiseras och var de proaktiva åtgärderna skall sättas in. Åtgärderna blir kvar på den tekniska nivån och man upplever en maktlöshet när man är utlämnad åt och styrd av händelser i omvärlden.	PAPAI höjer nivån på säkerhetsarbetet så att man kommer bort från lösryckta tekniska punktinsatser och kan koncentrera sig på det långsiktiga skyddet av de verksamhetskritiska tillgångarna.