Analys och slutsatser

It-drift inom den statliga förvaltningen har under de senaste åren gått från att vara en teknisk fråga för en myndighets it-avdelning till att bli en strategisk fråga för myndigheten. Det finns flera faktorer som ligger bakom detta, som ökade krav på digitalisering, ett större fokus på data- och säkerhetsskydd generellt men också enskilda myndighetsexempel som visat på behovet av att balansera både kost- nadseffektivitet och säkerhet i valet av it-driftslösningar. Utkon- traktering av it-drift och användning av molntjänster har också ställts mot nya hotbilder och ökade krav på dataskydd och säkerhet.

Statliga myndigheter har krav på sig att välja kostnadseffektiva lösningar i sin verksamhet. Kraven på säkerhet påverkas av en myn- dighets verksamhet och tillämpliga verksamhetskrav samt vilken typ av uppgifter som myndigheten hanterar. Samhällskritisk verksamhet och myndigheter som hanterar särskilt skyddsvärda uppgifter har störst behov av säkra it-driftslösningar. Men även myndigheter som hanterar olika typer av sekretessreglerade uppgifter eller känsliga per- sonuppgifter måste göra säkerhetsavvägningar för sin it-drift. Balansen mellan säkerhet och kostnadseffektivitet är inte alltid enkel att hitta. Ett systematiskt informationssäkerhetsarbete och informationsklassi- ficering är grunden för att kunna göra rätt avvägningar.

Verksamhet och informationshantering påverkar myndigheters behov av it-drift

Vår kartläggning visar att de allra flesta myndigheter (90 procent) som besvarat vår enkät hanterar någon form av skyddsvärd infor- mation i sin verksamhet. Även om enkäten inte ger svar på omfatt- ningen av skyddsvärd information i respektive myndighet så är det tydligt att så gott som samtliga myndigheter har att ta ställning till olika grad av säkerhetsaspekter i valet av it-driftslösningar. Vanligast är att myndigheter hanterar olika typer av känsliga personuppgifter eller uppgifter som regleras av sekretess med rakt skaderekvisit. 40 procent av myndigheterna hanterar säkerhetsskyddsklassificerade

SOU 2021:1 Kartläggning av statliga myndigheters it-drift

uppgifter. Större myndigheter hanterar i högre grad säkerhetsskydds- klassificerade uppgifter än vad mindre myndigheter gör. Det är dock viktigt att poängtera att det inte är faktorer som myndighetsstorlek som påverkar säkerhetskraven, utan snarare verksamhetens karaktär och vilken typ av uppgifter som myndigheten hanterar. Även mindre myndigheter bedriver samhällsviktig verksamhet och hanterar upp- gifter som ställer höga krav på säkra it-driftslösningar. Detta bekräf- tas också i våra fallstudier.

Myndigheterna behöver fortsätta att utveckla sitt systematiska informationssäkerhetsarbete

Att ha kunskap om vilka uppgifter myndigheten hanterar och vilka krav som ställs på uppgiftshanteringen är viktigt för att kunna göra rätt avvägningar när det gäller it-drift. Informationsklassificering som en del i ett systematiskt informationssäkerhetsarbete är av central betydelse. Vår enkätundersökning visar att ungefär hälften av myndigheterna bedömer att de arbetar med informationssäkerhet och har genomfört informationsklassning i hela eller delar av verk- samheten. Hälften av myndigheterna har påbörjat ett informations- säkerhetsarbete på myndigheten men har inte klassat sin informa- tion. Ett fåtal myndigheter har inte gjort något alls på området. Denna bild bekräftas av Digg:s kartläggning från 2019. Små och medelsmå myndigheter har i regel inte kommit lika långt i sitt informations- säkerhetsarbete som medelstora och stora myndigheter.

Att säkerställa informationssäkerhetskrav i samband med it-upp- handling är också viktigt för en säker it-drift. Drygt hälften av myn- digheterna i enkätundersökningen har påbörjat ett arbete med säker- hetskrav i olika skeden av en it-upphandling. Var femte myndighet har ett etablerat arbetssätt för att verifiera säkerhetskrav hela vägen – från kravkatalog och verifiering av säkerhetskrav i anbudssvar och leverans till att följa upp säkerhetskraven under avtalets gång. En ungefär lika stor andel av myndigheterna har inte reflekterat över frågan. Även här framkommer att större myndigheter har kommit längre i sitt arbete än mindre myndigheter. Det får anses naturligt eftersom större myndigheter gör fler och större upphandlingar och därmed behöver ha rutiner för detta på plats. Flera stora myndig- heter behöver dock utveckla sitt arbete med att verifiera säkerhets- kraven under avtalets giltighetstid.

Kartläggning av statliga myndigheters it-drift SOU 2021:1

114

Det återstår med andra ord en del arbete med att få informa- tionssäkerheten på plats bland de statliga myndigheterna som grund för säkra it-driftslösningar. MSB:s nya föreskrifter på området stärker kraven, men det saknas sanktioner om en myndighet inte genomför systematiska informationssäkerhetsåtgärder. Det finns inte heller någon tillsynsmyndighet på området.

Kompetensbrist är en riskfaktor för säker it-drift

Enkätundersökningen visar att såväl stora som små myndigheter ser bristande informationsklassificering och avsaknad av relevant kom- petens som de största hindren för säker it-drift. Kompetensfrågan lyfts fram som en orsak till brister i informationsklassificeringen, men är ett mer generellt problem. Myndigheterna saknar kompetens inom både it och säkerhet och beställarkompetens lyfts fram som ett särskilt problem. För små myndigheter är kompetensbristen i mångt och mycket en resursfråga, medan det för stora myndigheter handlar om hård konkurrens om kunnig och erfaren personal. Det kan vara svårt att ersättningsrekrytera när nyckelpersoner slutar. Detta be- kräftas också av fallstudiemyndigheterna. För att kunna översätta lagkrav och informationsklassificering till konkreta krav på säker och kostnadseffektiv it-drift måste olika kompetenser i verksamheten dessutom samverka och förstå varandra. Flera myndigheter pekar på att det är en utmaning. Ett oklart rättsläge vad gäller användning av molntjänster bidrar ytterligare till svårigheterna. Sammantaget fram- står kompetensbristen som en stor riskfaktor för säker it-drift i myn- digheterna.

Höga krav på säkerhet och inlåsningseffekter utgör hinder mot kostnadseffektiv it-drift

De största hindren för kostnadseffektiv it-drift är enligt enkätunder- sökningen höga krav på säkerhet och olika typer av inlåsningseffekter. Myndigheterna beskriver det som att säkerhetskrav utöver standard är dyrare och att det därför är viktigt att kunna kravställa på rätt säkerhetsnivå. Särskilt större myndigheter framhåller detta. För små myndigheter är kompetensfaktorn viktig även här. Hinder i form av inlåsningseffekter (t.ex. leverantörsberoende) kan ta sig olika uttryck.

SOU 2021:1 Kartläggning av statliga myndigheters it-drift

Flera myndigheter lyfter fram att de sitter fast i enskilda privata tjänsteleverantörers lösningar och att de har investerat i såväl kom- petens som licenser som är kopplade till leverantören. Byte av tjänste- leverantör kan i sig vara både komplext och kostsamt. Är en myndig- het nöjd med den befintliga lösningen kan det ta emot att genomföra ett omfattande arbete för att hitta en ny leverantör. Oavsett situation så ställs även här krav på förmåga att kravställa och på beställar- kompetens.

Myndigheterna har likartade behov av it-driftslösningar för grundläggande funktioner

Enkätundersökningen och fallstudierna visar både på olikheter och likheter mellan myndigheternas it-miljöer och deras behov. Även om specifika lösningar och system skiljer sig åt mellan statliga verk- samheter är deras behov på en övergripande nivå förhållandevis lika. Många myndigheter behöver, utöver it-arbetsplatser till sina med- arbetare, it-drift av olika system och applikationer för sina verksam- heter. Dessa system och applikationer kan i sin tur delas in utifrån målgrupp i de som är ämnade för internt bruk alternativt externt (i de fall målgruppen är enskilda eller andra myndigheter). Vidare finns det oftast integrationer mellan system som gör att de kan ut- byta information.

För att möta behoven har många myndigheter en blandning av it- drift de själva hanterar (dvs. drift där myndigheten själv äger hård- vara och mjukvara) och drift de utkontrakterat till en privat tjänste- leverantör eller samordnat med annan myndighet (dvs. it-drift som tjänst). Faktorer som påverkar myndigheters val av driftsform är enligt fallstudierna

– myndighetens uppfattning om vilka krav som uppställs i olika regelverk (dataskydd, sekretess, säkerhetsskydd, etc.) på uppgifts- hanteringen och i vilken utsträckning dessa krav uppfylls vid anlit- andet av en privat tjänsteleverantör,

– om myndigheten har tillgång till nödvändig kompetens för att själva hantera driften av en specifik funktion,

Kartläggning av statliga myndigheters it-drift SOU 2021:1

116

– marknadens utbud och villkor för de system och applikationer myndigheten har behov av (exempelvis om de säljs som licens eller enbart som tjänst), och

– om det finns kostnadsmässiga fördelar med en driftsform framför en annan.

Av intervjuerna med fallstudiemyndigheterna framgår att även mer praktiska omständigheter kan vara styrande. Det kan t.ex. vara möj- ligheten att samordna sig med en annan myndighet eller om en drifts- form gör att det går snabbare att implementera en ny funktion.

Myndigheterna kommer även fortsättningsvis ha visst behov av drift i egen regi

För de två tredjedelar av myndigheter som har egna datacenter bör enkätresultatet ses i ljuset av hur myndigheternas it-verksamhet växt fram över tid. Historiskt har det varit nödvändigt för många myn- digheter att ha en egen it-driftsmiljö varför de inrättat utrymmen i sina egna lokaler för servrar och annan hårdvara. I takt med förvalt- ningens digitalisering har vissa myndigheter med större kapacitets- behov etablerat egna datacenter eller upphandlat samlokalisering. Sammantaget har de myndigheter som svarat på vår enkät 220 data- center vilket kan jämföras med 206 när SSC ställde en liknande fråga i sin enkätundersökning från 2016. Även om det finns viss effektivi- seringspotential i att konsolidera lokalanvändningen för datacenter i statsförvaltningen är det viktigt att notera att en del av utrymmen för servrar och hårdvara ingår i myndigheternas lokaler på ett sätt som kan göra dem svåra att rationalisera bort med mindre än att hyreskontrakt omförhandlas. Några av fallstudiemyndigheterna fram- håller dock att de övergått till samlokalisering eftersom de bedömt att det varken är nödvändigt eller effektivt att ha egna datacenter. Även om det är möjligt att antalet serverutrymmen och mindre data- center i statsförvaltningen på sikt kommer minska som en konsekvens av effektiviseringstryck och större möjligheter till utkontraktering framgår det att myndigheter även i fortsättningen har behov av it- drift i egen regi.

SOU 2021:1 Kartläggning av statliga myndigheters it-drift

Enligt myndigheterna beror det på att

– behovet av kontroll över de uppgifter som behandlas, eller den funktion som tillhandahålls, är så stort att det är mest praktiskt att hantera driften i egna lokaler och på egen utrustning,

– myndigheten inte har klassificerat eller separerat sin data i till- räcklig utsträckning för att det ska vara utan risk eller ens möjligt att utkontraktera driften,

– myndigheten har en teknikskuld (legacy) i form av gamla system och applikationer (eller integrationer mot sådana) som gör det svårt att migrera till extern drift, och

– myndigheten är tillräckligt stor och har tillräckligt förutsägbara kapacitetsbehov för att kunna producera sin drift själv på ett kost- nadseffektivt sätt.

Myndigheternas användning av molntjänster från privata tjänsteleverantörer är utbredd och drift i egen regi är inte alltid ett alternativ

När det gäller kommersiella molntjänster är användningen inom statsförvaltningen i dag utbredd. Vanligast är SaaS-tjänster följt av IaaS- och PaaS-tjänster. Pensionsmyndigheten genomförde år 2015 en enkät där 30, 23 och 78 procent av respondenterna uppgav att de använde IaaS, PaaS respektive SaaS-tjänster. Det förefaller därmed som att användningen av PaaS- och SaaS-tjänster ökat något enligt vår enkät där motsvarande andel användare av IaaS-, PaaS- och SaaS- tjänster är 33, 32 respektive 95 procent. Jämförelse bör göras med viss försiktighet givet att inte exakt samma myndigheter svarat på enkäterna även om båda enkäterna haft hög svarsfrekvens. Från enkät- resultaten framgår att myndigheterna använder SaaS-tjänster till många olika funktioner och ändamål. Som vi nämnt ovan finns även tecken på att andelen myndigheter som använder någon slags SaaS- tjänst ökat över tid. Användningen av SaaS-tjänster har potential att påverka dynamiken mellan verksamheter och it-avdelningar på myn- digheter i den utsträckning verksamheterna själva kan upphandla de verktyg och stöd de behöver utan att involvera sina it-avdelningar. Denna möjlighet gör att verksamheter på ett flexibelt sätt kan intro- ducera nya it-stöd för medarbetare utan längre ledtider. Men den kan

Kartläggning av statliga myndigheters it-drift SOU 2021:1

118

även skapa utmaningar i de fall det blir svårare att samordna krav- ställning och förvaltning av de många it-lösningar verksamheterna använder.

Det framgår av enkätundersökningen och från intervjuerna med fallstudiemyndigheterna att många myndigheter både bedriver it-drift i egen regi och använder kommersiella molntjänster för att tillhanda- hålla nödvändig it-drift till sina verksamheter. Utkontrakterad it- drift inklusive molntjänster bör därmed inte alltid betraktas som ett likvärdigt och utbytbart alternativ till it-drift i egen regi. Om dessa driftsformer kan ses som likvärdiga alternativ till varandra eller inte beror i slutändan på om myndigheten i fråga har samma möjlighet att välja endera för att möta ett specifikt behov. I praktiken finns det ofta hinder som omöjliggör någon driftsform, t.ex. att den mjukvara som krävs för en viss funktion endast säljs som SaaS-tjänst, eller att det saknas resurser eller kompetens på myndigheten för att sköta driften i egen regi. Sekretess eller säkerhetsskydd kan också ställa krav som gör det olämpligt att använda vissa kommersiella moln- tjänster. Sett till respektive driftsform finns det oftast många olika sätt att möta samma behov och det är därför viktigt att poängtera att alla dessa sätt är förknippade med myndigheternas egna avvägningar avseende säkerhet, kostnad och funktion. Det innebär sammanfatt- ningsvis att myndigheter tar hänsyn både till de hinder som nämns ovan (bland annat säkerhet), samt gör avvägningar avseende kostnad och funktion, vid val av driftsform och den specifika it-driftslösningen.

Samordningen av it-drift inom statsförvaltningen har vuxit fram successivt och ser ut på många olika sätt

Beträffande samordningen av it-drift inom statsförvaltningen tyder både enkätresultatet och fallstudierna på att det är relativt vanligt att myndigheter får eller tillhandahåller it-tjänster av eller till varandra. Det handlar om allt från att tillhandahålla driften av en specifik tjänst eller applikation, till att tillhandahålla samtliga funktioner hos en normal it-avdelning åt en annan myndighet. Ofta har dessa sam- arbeten mellan myndigheter vuxit fram successivt utan formell styr- ning på departementsnivå. I vissa fall förekommer dock formell styr- ning, som exempelvis i fallet med Försäkringskassans uppdrag att tillhandahålla säker och samordnad it-drift, samt i fallet med SSC:s HR- och ekonomirelaterade tjänster. Den decentraliserade förvaltnings-

SOU 2021:1 Kartläggning av statliga myndigheters it-drift

modellen har gett myndigheterna möjlighet att själva etablera sam- arbeten om it-drift utifrån sina behov. Denna situation skapar förutsättningar, åtminstone i teorin, för myndigheter att gå in i och ut ur samarbeten på ett flexibelt sätt. Samtidigt har det genom fallstudierna framkommit att vissa myndigheter som köper it-tjänster från andra myndigheter ibland upplever det som svårt att få inflyt- ande över valet av it-lösningar och hur dessa utformas. En kompli- cerande omständighet i sammanhanget är att det råder osäkerhet avseende vad myndigheterna kan och bör reglera i de överenskom- melser de ingår sinsemellan. Vi återkommer till denna fråga i vårt slutbetänkande.

Myndigheter med samhällsviktig verksamhet har högre kostnader för it-drift än andra myndigheter

Kostnaderna för it-drift avseende egna datacenter är ojämnt för- delade mellan myndigheterna i statsförvaltningen. Ett antal myndig- heter har högre kostnader, både för drift i egen regi och för vissa molntjänster. Det finns ett visst samband mellan myndigheternas storlek och kostnader för it-drift. Den ojämna fördelningen av kostnader syns dock även om man ser till myndighetsstorlek (antal anställda). En gemensam faktor för flera av de myndigheter som har höga kostnader (relativt sin storlek) är att de bedriver samhällsviktig verksamhet eller har att tillämpa förordningen (2007:603) om intern styrning och kontroll (ISK). Sett till de totala kostnaderna för egna datacenter utgör ISK-myndigheterna och de som bedriver samhälls- viktig verksamhet 80 respektive 86 procent. Dessa myndigheter står även för en majoritet av de totala it-kostnaderna, baserat på Digg:s sammanställning om strategiska it-projekt, it-kostnader och mognad. Detta tyder på att dessa två grupper av myndigheter har it-verk- samhet som generellt är mer kostsam. För myndigheter som bedri- ver samhällsviktig verksamhet är det rimligt att den information och de system som myndigheterna förvaltar ställer högre krav på infor- mationssäkerhet än för myndigheter som inte bedriver samhälls- viktig verksamhet. Exempelvis är en påverkande faktor för flera bevakningsmyndigheter att man ska kunna utöva sin verksamhet under störda förhållanden eller höjd beredskap, vilket påverkar kon- struktion och kostnader för it-driften. Vidare är de flesta ISK-myn- digheter relativt stora och hanterar många transaktioner. Ett av de

Kartläggning av statliga myndigheters it-drift SOU 2021:1

120

kriterier som tillämpats för att avgöra om en myndighet ska omfattas av förordningen (2007:603) om intern styrning och kontroll är att verksamheten har omfattande och komplexa it-system.

Sett till hela den statliga redovisningsorganisationen om 215 myn- digheter uppskattas kostnaderna för it-drift år 2019 uppgå till mot- svarande 2,1 miljarder kronor. En betydande andel av denna kostnad utgörs av kostnader för egna datacenter (cirka 65 procent), medan molntjänster utgör 14 procent och kostnader för inhyrd och anställd personal 21 procent. Kostnaden för it-drift bör ställas i relation till statens samlade kostnader för it, som 2016 uppskattades till mellan 25–30 miljarder kronor av Ekonomistyrningsverket. Sett till statens samlade kostnader för it är det inte osannolikt att lönekostnaderna utgör en betydande andel. Sett till SCB:s statistik fanns det nästan 11 000 anställda år 2019 i it-relaterade yrken. En schablonmässig upp- skattning av lönekostnaderna för dessa uppgår till cirka 7,3 miljar- der kronor.

Flera faktorer påverkar myndigheternas framtida it-drift

Flera myndigheter i enkätundersökningen och i fallstudien betonar att de i framtiden kommer att ha större behov av flexibilitet, skal- barhet och tillgänglighet. Det finns t.ex. ett växande behov att till- gängliggöra data till olika intressenter, samarbeta med externa parter både nationellt och internationellt och att snabbt kunna ställa om verksamheter vid förändrade förutsättningar. Flera myndigheter fram- håller även behov av att i fortsättningen både kunna utkontraktera drift och bedriva drift i egen regi. Verksamhetskritiska system kom- mer sannolikt även i framtiden bestå av tjänster och produkter från den konkurrensutsatta marknaden, tjänster och produkter som endast en specifik aktör tillhandahåller och egenutvecklade applikationer. Det ska tilläggas att ett antal myndigheter uppgett att de kommer att ha samma behov som i dag, givet att deras uppdrag inte förändras. Det finns ett antal faktorer som kan tänkas påverka myndig- heternas it-drift inom en nära framtid, däribland den tekniska utveck- lingen, arbetssätt och kompetens samt styrning. Den tekniska utveck- lingen avseende hård- och mjukvara har ur ett längre tidsperspektiv möjliggjort digitaliseringen av allt fler funktioner i den offentliga förvaltningen. Många verksamheter har genom digitaliseringen auto-

SOU 2021:1 Kartläggning av statliga myndigheters it-drift

matiserats och effektiviserats, vilket gjort det möjligt att höja deras produktivitet och kvalitet. Det är samtidigt viktigt att notera att nya tjänster och produkter på it-området inte utan vidare medför lägre kostnader på kort sikt för offentliga verksamheter, i relation till andra kostnader. Det finns flera tänkbara skäl till detta, bl.a. att den tekniska utvecklingen ofta sker jämsides med växande förväntningar på vad som ska uträttas. Många verksamheter har dessutom en tek- nikskuld eller föråldrad it-arkitektur, som kan göra det svårt att snabbt ersätta gammal ineffektiv teknik med ny effektiv. Slutligen kan den tekniska utvecklingen också skapa nya kostnader, genom att t.ex. rubba balansen mellan offensiva och defensiva förmågor inom cybersäkerhet, vilket kan leda till ökade kostnader för verksamheter