Vi har under uppsatsens gång upptäckt ett par intressanta iakttagelser som inte rört vår fråge-ställning. En av de mer intressanta saker vi fått reda på var när en av respondenterna nämnde att i en tidigare kommun hen jobbade i så fanns det ingen behörighet att själv installera program på sin arbetsdator. Det fanns dock en möjlighet att betala en summa till kommunens avdel-ning för att låsa upp denna behörighet för enskilda personer. När respondenten frågade IT-avdelningen varför de hade en avgift för detta så fick hen som svar att det var för att täcka upp kostnaderna för de eventuella skador och problem som användaren skulle orsaka. Denna modell med förskottsbetalning är för oss tidigare okänd och ur ett säkerhetsperspektiv väldigt konstig. Anledningen till miljöförvaltningens nej till att medverka i uppsatsen var för oss inte helt ovän-tat. Anledningen var som tidigare nämnt att man misstänkte att resultatet skulle påvisa att för-valtningens arbete inte var så informationssäkert som man skulle vilja, och man ville inte att förvaltningen skulle framstå i dålig dager. Det väckte samtidigt en intressant frågeställning om hur ofta som beslut som detta tas. Det vill säga att man väljer att inte delta i undersökningar för att man inte vill framstå i dålig dager men också hur ofta dessa föreställningar av den egna verksamhetens kompetens stämmer? Det här skulle kunna vara intressanta frågor att forska vi-dare på även om alla kanske inte faller under ämnet informationssystem.
Källförteckning
Ajzen, I. (1991). The theory of planned behavior. Organizational Behavior and Human Decis-ion Processes, 50(2), pp.179-211.
Andersson, Helena., Andersson, Jan-Olof., Björck, Fredrik., Eriksson, Martin., Eriksson, Re-becca., Lundberg, Robert., Patrickson, Michael., Starkerud, Kristina. 2011a. https://www.in- formationssakerhet.se/siteassets/gamla-metodstodet-for-lis/3.-utforma/utforma-policy-och-styrdokument.pdf (hämtad 2019-04-12)
Andersson, Helena., Andersson, Jan-Olof., Björck, Fredrik., Eriksson, Martin., Eriksson, Re-becca., Lundberg, Robert., Patrickson, Michael., Starkerud, Kristina. 2011b. https://www.in- formationssakerhet.se/siteassets/gamla-metodstodet-for-lis/1.-forbereda/introduktion-till-me-todstodet.pdf (hämtad 2019-05-03)
Bakesgård, Jörgen. 2017.
http://www.xn--fretagsverksamhet-zzb.se/kvalitetssakring/informationssakerhet-en-fraga-for-ledningen (hämtad 2019-05-02)
Björk, Evalis. 2017. Brister i informationssäkerheten hos Göteborg stad: “Det är dålig ordning och reda”. 14 december.
http://www.gp.se/nyheter/g%C3%B6teborg/brister-i-informationss%C3%A4kerheten-hos-g%C3%B6teborg-stad-det-%C3%A4r-d%C3%A5lig-ordning-och-reda-1.4929124 (hämtad 2019-02-05)
Bryman, A. (2011). Samhällsvetenskapliga metoder. Johanneshov: TPB
Budzak, D. (2016) ‘Information security – The people issue’, Business Information Review, 33(2), pp. 85–89. doi: 10.1177/0266382116650792.
Bulgurcu, B., Cavusoglu, H. and Benbasat, I. (2010). Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness. MIS Quarterly, 34(3), p.523.
Curtis W. Dukes. 2015. Committee on National Security Systems (CNSS) Glossary. CNSS https://rmf.org/wp-content/uploads/2017/10/CNSSI-4009.pdf (hämtad 2019-02-05)
Eisenhardt, K. M. (1989) Agency Theory: An Assessment and Review, The Academy of Ma-nagement Review, 14, 1, 57-74.
Gartner Inc. 2018
https://www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-forecasts-world-wide-information-security-spending-to-exceed-124-billion-in-2019 (hämtad 2019-04-04) Ifinedo, P. (2012). Understanding information systems security policy compliance: An integ-ration of the theory of planned behavior and the protection motivation theory. Computers & Security, 31(1), pp.83-95.
Kajtazi, M., Bulgurcu, B. (2013). Information Security Policy Compliance: An Empirical Study on Escalation of Commitment. Proceedings of the Nineteenth Americas Conference on Inform-ation Systems, Chicago, Illinois, August 15-17, 2013.
Lille, Lotta. 2019. Svidande kritik av kommunal IT-säkerhet. Femte februari.
https://www.unt.se/nyheter/enkoping/svidande-kritik-av-kommunal-it-sakerhet-5207261.aspx (hämtad 2019-02-05)
Mavetera, N., Dinah Moroke, N. and Sebetlele, A. (2015). AN EMPIRICAL STUDY OF STAFF COMPLIANCE TO INFORMATION SECURITY POLICY IN A SOUTH AFRICAN MUNICIPALITY. Corporate Ownership and Control, 13(1).
MSB, 2015 https://www.informationssakerhet.se/Om-informationssakerhet-kon/vad_ar_in-formationssakerhet/ (hämtad 2019-04-01) MSB, 2017 https://www.msb.se/nya-rekommendationer-till-kommuners-arbete-med-informationssakerhet (hämtad 2019-04-12) Nationalencyklopedin,policy. http://www.ne.se.ezproxy.its.uu.se/uppslagsverk/ord-bok/svensk/policy (hämtad 2019-02-15)
Oates, Briony J., Researching information systems and computing, SAGE, London, 2006
Pahnila, S., Siponen, M. and Mahmood, A. (2007). Employees' Behavior towards IS Security Policy Compliance. 2007 40th Annual Hawaii International Conference on System Sciences (HICSS'07).
PwC (2019) https://www.pwc.se/sv/cyber-security.html (hämtad 2019-05-02)
Sohrabi Safa, N., Von Solms, R. and Furnell, S. (2016). Information security policy compliance model in organizations. Computers & Security, 56, pp.70-82.
Sommestad, T. and Hallberg, J. (2013). A Review of the Theory of Planned Behaviour in the Context of Information Security Policy Compliance. Security and Privacy Protection in In-formation Processing Systems, pp.257-271.
Whitman, Michael E. & Mattord, Herbert J. (red.) (2016[2012]). Principles of information security. Fifth edition. Boston, MA: Cengage Learning
Bilagor
Bilaga 1
Intervjuguide Forskningsfrågor
• Hur efterlevs informationssäkerhetspolicyn inom kommunal verksamhet?
• Hur kommer anställda i kontakt med informationssäkerhetspolicydokumentet och hur motiveras de att följa dem?
Teori
• Attityden mot beteendet, innebär i vilken grad en individ har en gynnsam respektive
ogynnsam utvärdering eller bedömning av beteendet.
• Subjektiv norm, denna faktor hänvisar till den uppfattade sociala pressen att utföra
respektive inte utföra beteendet.
• Upplevda kontrollen av det egna beteendet, vilket som tidigare nämnt är enkelheten
respektive svårigheten att utföra beteendet.
Intervjufrågor
Beskriv din befattning inom organisationen?
Har du en personlig arbetsdator?
Om ja: hur använder du datorn i dina arbetsuppgifter? Använder du din arbetsdator till privata ärenden under arbetsdagen?
Vad är enligt dig den generella uppfattningen att man får använda datorn till privata ändamål?
Kan du beskriva vad en informationssäkerhetspolicy är?
Kan du beskriva vad som ingår i en informationssäkerhetspolicy?
Om ja: hur blev du introducerad till den? I vilken form?
Om nej: fick du på något annat sätt information om hur hanteringen av information ska ske och vad som är tillåtet respektive inte tillåtet?
Vilken typ av information hanterar du i ditt dagliga arbete?
Funderar du någonsin på hur känslig informationen är när du arbetar med den?
Erhåller ni som personal någon form av utbildning i informationssäkerhet?
Om ja: vad för utbildning? Beskriv gärna.
Vet du vem som är ansvarig för informationssäkerhetspolicyn?
Finns det någon uppföljning av hur informationssäkerhetspolicyn efterlevs?
Hur motiveras ni att följa informationssäkerhetspolicyn?
Kan du beskriva hur du och dina kollegor arbetar för att följa informationssäkerhetspolicyn?
Hur tycker du att du själv efterlever den policyn?
Finns det något med informationssäkerheten du upplever som svårt att efterleva?
Vad tycker du att du saknar i relation till informationssäkerhet? Instruktioner, manualer, ut-bildning, systemstöd etc.
Bilaga 2
Informationssäkerhet för dig som är chef eller verksamhetsansvarig
Du som är chef eller har en roll som verksamhetsansvarig eller objektägare har ett sär-skilt ansvar för informationssäkerhet i din verksamhet.
Informationssäkerhet handlar om ett systematiskt arbete med att minimera risker för att lyckas med genomförandet av uppdraget.
Arbetet med informationssäkerhet underlättas om det går att svara på frågor som syfte, varför, vem, med vad, på vilket sätt och hur. Det kan göras genom att det finns processbeskrivningar för verksamheten.
Ett annat perspektiv är att kunna svara på om det blev som vi tänkte, genom att följa upp och identifiera avvikelser och incidenter.
Exempel på stöd och verktyg för dig som verksamhetsansvarig: - Processbeskrivningar
- Informationshanteringsplaner
- Förteckning över personuppgiftsbehandling
Bilaga 3
Ditt ansvar för informationssäkerhet
Du är viktig. Även om vi har infört många skyddsåtgärder för informationen så är det till sist ditt handlande och ansvarstagande som avgör.
Du bör till exempel tänka på hur du hanterar dina lösenord, att du är försiktig med vilka länkar du klickar på och hur du använder datorn eller din mobiltelefon i tjänsten.
Det handlar också om att du är medveten om vilken information du skickar på e-post, lagrar på G:\ eller pratar om när du är bland okända.
Du bör vara restriktiv med hur du använder din e-postadress du fått genom anställningen. E-postadressen kan användas för att skicka skadliga meddelanden till dig (SPAM, phishing etc.) samtidigt som posten kan begäras ut som allmän handling. Skaffa därför gärna en privat e-postadress för privata syften.
I en värld av ständig uppkoppling och en allt mer diffus gräns mellan privat och jobb kan det kännas utmanande att du själv har ett så stort ansvar kring informationssäkerheten. I bästa fall är arbetsuppgifterna och IT-stöden utformade så att det är lätt att göra rätt men ofta är det till sist ditt omdöme som avgör.
Mer information
På MSB:s webbplats finns en e-utbildning där du kan lära dig mer om informationssäkerhet och testa dina kunskaper:
Datorstödd informationssäkerhetsutbildning för användare (DISA) Läs mer på MSB:s webbplats för privatpersoner om risker och säkerhet
På Insidan, under ämnet IT, telefoni och digitalisering, finns information om vad som gäller inom kommunen:
Bilaga 4
Regler för lösenord
Lösenordet är en metod för att verifiera att användaren är behörig att använda system och få tillgång till information.
Hantera ditt lösenord
· Ditt lösenord är personligt och får inte lämnas över till annan person. · Skriv inte ner lösenordet om du inte kan förvara det säkert.
· Ändra lösenord direkt om du tror att lösenordssäkerheten äventyrats. Välja lösenord
· Välj lösenord som du lätt kommer ihåg.
· Välj lösenord som inte har samband med dig eller som andra lätt kan gissa sig till. · Historiken för ditt lösenord sparas i 11 generationer. Det innebär att du inte kan återan-vända de 11 senaste lösenorden.
Lösenordets längd och sammansättning
Det finns regler i kommunen för lösenordets längd och sammansättning.
Ditt lösenord måsta vara minst 8 tecken långt och uppfylla minst tre av de fyra kraven: 1. Minst en liten bokstav (a till z) å, ä och ö är ej godkända.
2. Minst en stor bokstav (A till Z) Å, Ä och Ö är ej godkända. 3. Minst en siffra (0 till 9)
4. Minst ett specialtecken (t.ex !, $, #, %)
Bilaga 5
Phishing eller nätfiske
Phishing eller nätfiske är namn på ett bedrägeri som går ut på att "fiska" efter konto- eller kort-information genom att man säger sig mejla/ringa eller SMS:a från ett företag, myndighet eller en bank. Meddelandet innehåller ofta ett brådskande budskap om återbetalning av pengar, fel på tjänsten eller att man måste verifiera sina kunduppgifter.
Uppsala kommun eller företag som Microsoft, Apple, Telia, PostNord eller banker ber aldrig om kortuppgifter genom att mejla, skicka SMS eller ringa upp.
Om du skulle få ett mejl, SMS eller blir uppringd:
där man hänvisar till en återbetalning eller verifiering av dina annonser eller ditt konto där man bifogat en klickbar länk till sida där du uppmanas lämna ifrån dig kontouppgifter, kortnummer, CCV kod och andra kortuppgifter så är detta ett bedrägeriförsök.
Kontakta Teleteknik på 018-726 00 30, Val 1 om du är osäker.
Exempel, OBS! Se den underliga avsändaradressen, ta bort ett sådant mejl direkt utan att klicka på några länkar eller svara på meddelandet.
Bilaga 6
Arbeta med informationssäkerhet
Arbetet med informationssäkerhet behöver så långt som möjligt ta sig uttryck och ske integrerat i de dagliga rutinerna inom såväl kärnprocesserna som i lednings- och stödprocesser.
Det är när vi får stöd i att göra rätt i vardagen som möjligheterna till säker informationshantering blir som bäst. Informationssäkerhet behöver från första början ingå som en del i all verksam-hetsutveckling. Det blir mest kostnadseffektivt och minskar risken för oförutsedda problem. Ett exempel är i GDPR där uttrycket "privacy-by-design" används för att inkludera frågan om in-tegritet vid behandling av personuppgifter.
Arbetet med informationssäkerhet utgår från en internationell standard (ISO/IEC 27001:2017, ledningssystem för informationssäkerhet) som är vedertagen inom offentlig verksamhet i Sve-rige. Lagar och förordningar hänvisar till denna där krav ställs på systematiskt informationssä-kerhetsarbete.
Nedan följer några länkar till metoder, verktyg och områden som på ett eller annat sätt påverkar eller hjälper oss att utforma informationssäkerheten i vår verksamhet.
Stöd för att beskriva verksamheten
Följande verktyg och metoder kan du använda för att beskriva verksamheten och därigenom kunna identifiera risker och åtgärder:
· Processbeskrivningar
Är ett stöd för att beskriva vilken information som hanteras och därigenom identifiera till ex-empel rättslig grund för behandlingen av personuppgifter enligt GDPR och krav från andra interna och externa regelverk.
· Informationshanteringsplaner
Kopplar ihop bland annat verksamhetsprocessen, handlingar och var informationen lagras. · Förteckning över personuppgiftsbehandling
Förteckningen utgör grunden för att kartlägga och bedöma behov av skyddsåtgärder. · KLASSA
SKL:s verktyg för att ta fram krav som bör uppfyllas av det IT-stöd som behandlar informat-ionen, utifrån värderingen av informationens skyddsbehov.
· Riskhantering
Metodik som är kommungemensam.
Systematik och rutiner för ständiga förbättringar · Förvaltningsobjekt
I förvaltningsmodellen pm3 ingår ett systematiskt arbete med IT-stöden. Till exempel att hålla registerförteckningar uppdaterade, utvärdera risker och ta fram förbättringsåtgärder.
· Verksamhetsplanering och uppföljning
Identifiera risker som kan påverka uppdraget och aktiviteter för att hantera riskerna. · Avvikelser/incidenter PU-incidenter
Stöd för att hantera incidenter när de uppstår, för lärande och ständiga förbättringar.
Anmäla personuppgiftsincident
· Verksamhetsutveckling
Informationssäkerhet och juridik behöver ingå som en del i all verksamhetsutveckling. · Projektstyrning
Inom projekt behöver risker både med avseende på själva genomförandet av projektet och pro-jektets resultat hanteras. Informationssäkerheten berör såväl det IT-stöd som ska levereras som det arbetssätt som ska införas i verksamheten.
· Upphandling
Viktigt att få med informationssäkerhetskrav när vi upphandlar. Behov av personbiträdesavtal behöver identifieras tidigt i upphandlingsprocessen.
Bilaga 7
Regler för användande av Internet och Uppsala kommuns intranät
Syftet med kommungemensamma regler för användande av Internet och kommunens intranät är att användandet ska ske på ett säkert och effektivt sätt. Reglerna gäller för alla som använder kommunens datorer och nätverk. Internet är ett arbetsverktyg som får användas för privat bruk endast om det inte inkräktar på arbetet eller medför kostnader för arbetsgivaren.
Det är förbjudet att:
• förolämpa, förtala eller på annat sätt orsaka problem för personer, verksamheter/organisationer eller företag via Internet
• försöka få tillgång till information som man inte har behörighet till • göra massutskick som belastar nätverket
• medverka till att sprida virus
• försöka manipulera eller förstöra information
• försöka dölja sin användaridentitet (utom när det är tillåtet)
• ladda ner upphovsrättsskyddat material, till exempel musik, bilder och film.
Det är heller inte tillåtet att, om det inte har direkt anknytning till arbetsuppgifterna eller har givits
tillstånd av lägst avdelningschef, via kommunens arbetsstationer och nät ta fram eller söka efter sidor med pornografi, våld, droger, rasism eller spel och dobbel.
Kenneth Holmstedt Stadsdirektör
Bilaga 8
Regler och riktlinjer för användning av
e-post
Postadress: Uppsala kommun, kommunledningskontoret, 753 75 Uppsala Telefon: 018-727 00 00 (växel)
E-post: kommunledningskontoret@uppsala.se www.uppsala.se
2 (6)
Innehållsförteckning
Allmänt ... 3
Känsliga uppgifter ... 4
Allmän handling och diarieföring ... 4
Handlingar som ska registreras ... 4
Postöppning vid semester eller annan längre frånvaro ... 5
Vidarebefordran ... 5
E-postsignatur ... 5
Massutskick och kopior ... 5
E-postbegränsningar ... 5
Falska mejl - virus ... 6
Skräppost ... 6
Hot eller trakasserier via e-post ... 6
E-postloggar och raderade mail ... 6
3 (6)
Allmänt
Vid användning av e-post gäller samma lagar och regler som för pappershandlingar när det gäller vad som är allmän handling samt registrering, diarieföring och arkivering.
All elektronisk sänd information kan läcka till andra än den tänkta mottagaren, därför ska inte sekretessbelagd information sändas som e-post.
E-postadressen är ett arbetsverktyg som används i tjänsten. E-postadressen representerar Uppsala kom-mun och påverkar därmed komkom-munens rykte och varumärke. E-postadressen är personlig, vilket inne-bär att personligt ansvar för att e-post hanteras i enlighet med exempelvis det regelverk som gäller för allmän handling.
4 (6)
Känsliga uppgifter
Innehållet i dokumentationen eller kommunikationen får inte vara av känslig eller integritetskänslig ka-raktär. Detta innefattar bland annat känsliga- och integritetskänsliga personuppgifter
Känsliga personuppgifter För att få en beskrivning av vad som betraktas som känsliga personuppgifter hänvisas till Datainspektionens webbsida
https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/kansliga-personuppgifter/
Integritetskänsliga uppgifter handlar om någons personliga förhållanden, t.ex. uppgifter som finns i omdömen och utvärderingar om dennes kunskapsmässiga och sociala utveckling, beskrivningar av hemförhållanden, relationer mellan olika personer eller uppgifter som omfattas av sekretess.
Allmän handling och diarieföring
I Sverige har alla rätt till insyn i offentlig verksamhet och rätt att ta del av allmänna handlingar hos dessa verksamheter. Enligt tryckfrihetsförordningen är en handling allmän om den förvaras hos en myndighet och den ska dessutom vara antingen inkommen till eller upprättad hos myndigheten (TF §2:3, 6-7).
Eftersom mycket av dagens kommunikation sker digitalt så är det viktigt att veta att mejl som du tar emot eller skickar är att förstå som allmänna handlingar. Dessa kan bli begärda att lämnas ut av allmän-heten och vi är då skyldiga att ta fram handlingarna/mejlen och göra en sekretessprövning. Som med-arbetare har du alltid ett eget ansvar att se till att allmänna handlingar som du hanterar blir bevarade på ett korrekt sätt.
För att uppnå en bra informationsförvaltning så ska allmänna handlingar hållas ordnade och ofta regi-streras/diarieföras i ett ärendehanteringssystem hos respektive nämnd. Det kommungemensamma ärendehanteringssystemet heter DokÄ, men vissa nämnder har andra system för att hantera sina hand-lingar. Om du är osäker på om ett e-postmeddelande ska registreras så kontakta din förvaltnings regi-strator.
Handlingar som ska registreras
Exempel på handlingar som ofta ska registreras: • Ansökningar
• Beslut, delegationsbeslut • Avtal, kontrakt
• Projekthandlingar
• Klagomål och synpunkter
• Inkommande eller utgående handlingar som kräver handläggning • Remisser med svar
• Överklaganden och domslut • Svar på från oss utskickade enkäter
Handlingar som inkommer endast för kännedom och är av tillfällig betydelse behöver normalt inte registreras. Exempel på sådana handlingar är reklam, kursinbjudningar samt handlingar av ringa och tillfällig betydelse och som inte hör samman med ett ärende.
5 (6)
Postöppning vid semester eller annan längre frånvaro
Alla anställda uppmanas att läsa igenom och fylla i en fullmakt för öppnande av post. Den innehåller viktig information och underlättar hanteringen av allmänna handlingar.
Fullmakt för öppnande av post
Du som anställd måste vid frånvaro från arbetet se till att arbetsgivaren har möjlighet att ta del av de handlingar som inkommer under tiden. Här gäller samma regler för e-post som för vanliga pappers-försändelser som rör verksamheten och har adresserats till dig personligen.
Du kan lösa det genom att:
• Ge fullmakt åt en kollega som går in och läser e-posten och kan besvara den eller skicka vidare posten.
• Vidarebefordra e-posten till en kollega.
Du bör även skapa ett autosvar där du ger avsändaren information om hur du hanterar din post under din semester.
Vidarebefordran
Det är inte tillåtet att sätta upp regler som innebär att du automatiskt vidarebefordrar din inkommande e-post till mottagare utanför Uppsala kommun.