Riksrevisionen har granskat om regeringens styrning av informationssäkerheten i den civila statsförvaltningen är effektiv. Den övergripande slutsatsen är att arbetet med informationssäkerhet inte är ändamålsenligt i förhållande till de hot och risker som finns.
”En stor del av den information som skapas och lagras i samhället är både viktig och känslig. Det kan få allvarliga följder om informationen förloras, stjäls, manipuleras eller sprids till obehöriga. Om informationssäkerheten brister finns en risk att myndigheter och statliga bolag inte kan uppfylla sina skyldigheter, till exempel att betala ut ersättningar, hantera trafikledning av tåg eller förse samhället med elektricitet. Både enskilda och hela samhällsfunktioner kan drabbas”, skriver Riksrevisionen i ett pressmeddelande.
Riksrevisionens granskning visar att regeringen saknar en samlad bild av läget för informationssäkerheten i statsförvaltningen, och därmed saknas möjligheten att styra effektivt.
Inte heller stödmyndigheterna Myndigheten för samhällsskydd och beredskap, MSB, Försvarets radioanstalt, FRA, och Säkerhetspolisen har en samlad bild, enligt granskningen.
Det råder, konstaterar Riksrevisionen, en osäkerhet om hur starkt skyddet är, vilka händelser som har ägt rum och hur hoten utvecklas. Det är därför svårt att värdera riskerna och veta hur omfattande skyddet behöver vara, menar Riksrevisionen.
Granskningen visar att det finns brister inom flera områden, till exempel kompetens, upphandling, tillsyn, uppföljning samt styrning och samordning. 38 procent av myndigheterna bedömer till exempel att kompetens, mandat eller resurser inte räcker, enligt granskningen.
– Det är allvarligt att det finns en så stor brist på kunskap när det gäller läget för informationssäkerheten i statsförvaltningen. Regeringen bör ställa tydligare krav på myndigheterna och följa upp om de lever upp till kraven, säger riksrevisor Claes Norgren i ett pressmeddelande.
Regeringen bör enligt Riksrevisionen utöka tillsynen och utreda om ansvaret för denna kan samlas och koordineras på ett bättre sätt.
”Regeringen bör även överväga att låta den myndighet som ska utöva tillsynen få mandat att utfärda sanktioner mot myndigheter som inte vidtar nödvändiga åtgärder samt snarast införa en obligatorisk incidentrapportering för alla myndigheter”, skriver Riksrevisionen i ett pressmeddelande.
Stödmyndigheterna bör också göra mer när det gäller att öka kunskapen om säkerhetsläget och lämna stöd till den övriga statsförvaltningen, anser Riksrevisionen.
Foto: Peter Hoelstad
