Kartläggningar av it-drift, molntjänster

Under de senaste fem åren har det genomförts ett antal kartlägg- ningar av it-drift och molntjänster. Fokus har framför allt varit på molntjänster och vilka möjligheter och hinder som finns för använd- ningen av molntjänster i offentlig verksamhet. En studie fokuserar särskilt på de risker som kan uppstå när offentliga aktörer använder sig av molntjänster.

Outsourcing av it-tjänster i kommuner

I en rapport från år 2014 analyserade Myndigheten för samhälls- skydd och beredskap (MSB) hur kommunerna ”använder outsourcing, samverkan kring it-tjänster och molntjänster i sin verksamhet”. MSB

Tidigare kartläggningar och utredningar SOU 2021:1

54

lät genomföra en enkätundersökning som visade att 80 procent av de drygt 120 kommuner som besvarade enkäten ägnar sig åt någon form av outsourcing (utkontraktering). I denna siffra ingick dock både användning av kommersiella tjänster och olika typer av kom- munal samverkan. Det vanligaste var att kommunerna lade ut enskilda system och tjänster på en utomstående part.

Av rapporten framgår att skälen till att utkontraktera it-drift inte i första hand är ekonomiska utan att det i stället handlar om tillgäng- lighet och driftssäkerhet. Många kommuner ser utkontraktering och samverkan som ett sätt att förbättra kommunens kompetensbehov och säkerhet inom it-området. En utmaning som lyftes fram var att kommunernas komplexa uppdrag ställer stora krav på informations- hanteringen, vilket i sin tur gör att kommunerna måste ha tillgång till en både hög och bred it-kompetens och en väl utvecklad infor- mationssäkerhet. Samtidigt ställer den ofta pressade ekonomin krav på hög grad av effektivitet i stödfunktioner som it.

I enkäten ombads kommunerna att ange på en fem-gradig skala hur svårt de tycker att det är att genomföra en it-upphandling vad gäller aspekterna it, juridik och upphandling. Medelvärdet översteg i samtliga fall tre på skalan vilket enligt MSB visade att kommunerna uppfattar detta som en svår uppgift. Den juridiska aspekten i it- upphandling bedömdes som den allra svåraste. MSB konstaterade att det är viktigt med ett systematiskt informationssäkerhetsarbete, att kommunerna ansvarar för samhällsviktig verksamhet och att det därför bör ses som en prioriterad fråga att ge kommunerna ytterligare stöd i deras systematiska informationssäkerhetsarbete.

Informationssäkerhet – trender 2015

Försvarsmakten, Försvarets radioanstalt, MSB och Rikskriminalpolisen tog år 2015 fram en trendrapport som underlag för stöd i säkerhets- arbete i samhället. I rapporten konstaterade myndigheterna att allt flera system läggs ut på externa leverantörer och i molntjänster. Kost- nadseffektivitet, kvalitet och driftsäkerhet är enligt rapporten driv- krafter bakom outsourcing (utkontraktering) samtidigt som det ställer höga krav på beställaren för att inte leda till oönskade risker. Ut- vecklingen med utkontraktering leder enligt myndigheterna ofrån- komligen till att allt mer information samlas hos ett fåtal aktörer.

SOU 2021:1 Tidigare kartläggningar och utredningar

och att konsekvenserna av såväl attacker som icke-antagonistiska driftavbrott blir mer svåröverskådliga. Både enkla och sofistikerade hot och risker bör därför enligt myndigheterna vägas in i de risk- analyser som genomförs innan verksamhet läggs ut till underleveran- törer eller data läggs i molntjänster. Myndigheterna konstaterar att molntjänster gör att ansvar allt oftare är utspritt över flera organi- sationer, trots att säkerhet förutsätter tydlighet och gott samarbete. De skriver också att även om den upplevda säkerheten i en moln- lösning kan vara hög så ersätter den inte den egna organisationens ansvar eller säkerhetsarbete.

Pensionsmyndighetens kartläggning av molntjänster i staten

År 2015 fick Pensionsmyndigheten i uppdrag av regeringen att ana- lysera och värdera potentialen för användning av molntjänster i staten samt att redovisa risker och hinder med att använda molntjänster i statlig verksamhet. Uppdraget redovisades i rapporten Molntjänster i

staten – en ny generation av outsourcing. Som en del i uppdraget

genomförde Pensionsmyndigheten en enkätundersökning till 211 stat- liga myndigheter. I enkäten ställdes frågor om motiven bakom att använda molntjänster liksom vilken nytta molntjänster kan erbjuda. Frågor ställdes också om de största upplevda hindren för att använda molntjänster.

Pensionsmyndigheten konstaterade i rapporten att statliga myn- digheter som använder molntjänster kan styra om sina resurser mot utveckling och innovation i andra delar av sina verksamheter, exem- pelvis utveckling av nya tjänster för medborgare och företag. Detta eftersom de kan dra nytta av att en molntjänstleverantör i kraft av sin stora skala och specialisering har mycket större möjligheter att arbeta strukturerat och långsiktigt med utveckling och innovation av tjänster. Pensionsmyndigheten konstaterade vidare att molntjänster kan vara fördelaktiga för de myndigheter som har kraftigt varierande behov av it-resurser, som exempel nämndes Pensionsmyndighetens utskick av orange kuvert, Skatteverkets hantering av deklarationer samt Valmyndighetens uppgifter vid allmänna val. Flexibiliteten i en molntjänst innebär enligt Pensionsmyndigheten att när behoven ökar kan organisationen öka sin dator- eller lagringskapacitet, för att sedan minska när efterfrågan är lägre. Detta innebär att myndigheten

Tidigare kartläggningar och utredningar SOU 2021:1

56

aldrig behöver köpa kapacitet som inte utnyttjas och att besparingen kan användas till andra värdehöjande aktiviteter. Pensionsmyndig- heten belyste samtidigt utmaningar med s.k. inlåsningseffekter som uppstår om en myndighet på ett eller annat sätt har ett beroende till en specifik leverantör. De kan bl.a. uppstå på grund av en viss leve- rantörs specifika produkter, tjänster eller teknologi. Men även kompe- tensmässiga och rättsliga skäl kan medföra att tjänsten varken kan eller får förvaltas av någon annan än den som levererar den för till- fället. Pensionsmyndigheten pekade på att de största upplevda hindren för statliga myndigheter att använda molntjänster var säkerhetsrela- terade frågor samt oklarheter kring de juridiska förutsättningarna för nyttjande av molntjänster. Att tillämpa gällande regelverk och balansera integritetsskydd och effektivitet upplevdes också som svårt av myndigheterna.

Statens servicecenters rapport om en gemensam statlig molntjänst för myndigheternas it-drift

Statens servicecenter (SSC) fick år 2016 i uppdrag av regeringen att analysera och föreslå vilka myndighetsfunktioner som kan vara lämpliga att bedriva samordnat inom staten och utanför storstads- områden. Som en del i uppdraget genomförde SSC en enkätundersök- ning till statliga myndigheter om hur myndigheterna hanterade sin it- drift (i egen regi eller genom utkontraktering) samt vilka kostnader de hade för sin it-drift. Enkäten besvarades av 166 myndigheter. Av dessa hanterade 111 myndigheter sin it-drift i egen regi, medan 56 myn- digheter hade utkontrakterat sin it-drift.

SSC rekommenderade i sin redovisning av uppdraget att inrätta en statlig molntjänst som skulle erbjuda myndigheterna datorkraft och lagring. Inrättandet av en statlig molntjänst skulle enligt SSC ge årliga besparingar på 750 till 800 miljoner kronor och skapa nya arbets- tillfällen motsvarande 200 årsarbetskrafter. Förslaget skulle enligt SSC också öka it-säkerheten för hela statsförvaltningen.

SOU 2021:1 Tidigare kartläggningar och utredningar

Post- och telestyrelsens rapport Förslag till en förvaltningsmodell för skyddade it-utrymmen

Regeringen uppdrog år 2017 åt Post- och telestyrelsen (PTS) att lämna förslag till en förvaltningsmodell för skyddade it-utrymmen för offentliga aktörer som bedriver säkerhetskänslig verksamhet. PTS genomförde uppdraget i samverkan med Försäkringskassan och Forti- fikationsverket och redovisade i februari 2018 en modell med en prioriteringsfunktion, utrymmesförvaltare, anläggningsägare och en nyttjare. Förslaget innehöll inga författningsändringar och PTS fram- höll att ytterligare utredningar behöver göras innan förslagen kan implementeras.

MSB:s studie om säkerhet vid molnlösningar

År 2018 genomförde Örebro universitet på uppdrag av MSB en kart- läggning av säkerhet vid molnlösningar bland offentliga aktörer. Kartläggningen omfattade både statliga myndigheter och kommuner. Syftet var att kartlägga användningen av molnlösningar bland offent- liga aktörer, identifiera samhällsrisker när offentliga aktörer använder molntjänster, analysera graden av centralisering av tillhandahållandet av molntjänster samt kartlägga utmaningar vid upphandling av moln- tjänster. I studien ingick också en internationell utblick av använd- ningen av molntjänster inom EU och Norden.

I rapporten konstaterades att en övervägande del av de offentliga aktörerna använder upphandlade molntjänster i sin verksamhet och att mjukvara som tjänst (SaaS) är den vanligast förekommande moln- tjänsten. Ett fåtal molntjänster identifierades där det fanns en tydlig centralisering. Dessa molntjänster bedömdes dock inte ha betydelse för samhällskritisk infrastruktur eller samhällskritiska tjänster. Av rapporten framgick vidare att statliga myndigheter och kommuner ser kompetensutmaningar när det gäller regelverk, kontraktsfrågor och upphandlingsfrågor. Rapporten visade också att det inte finns någon systematik i hur kontrakt med molntjänstleverantörer följs upp. En minoritet av de som deltagit i studien genomförde revi- sioner, vilket enligt rapportförfattarna gör det svårt att veta vilka av de ställda kraven som uppfylls och på vilken nivå.

Tidigare kartläggningar och utredningar SOU 2021:1

58

I rapporten presenterades prioriterade krav och rekommendationer för hur MSB i sitt informationssäkerhetsarbete ska kunna underlätta för offentliga aktörer att nyttja molntjänster. De högst prioriterade rekommendationerna handlade om att höja kunskapsnivån om moln- tjänster och vad användningen av en molntjänst innebär samt att ut- veckla stöd för statliga myndigheter och kommuner i att genomföra riskanalyser vid upphandling av molntjänster och i uppföljning av molntjänstavtal.

Kartläggningar av it-kostnader och it-mognad

Ekonomistyrningsverket (ESV) genomförde år 2014–2017 på uppdrag av regeringen analyser av statliga myndigheters it-kostnader, stra- tegiska it-projekt och it-mognad. ESV tog tillsammans med de del- tagande myndigheterna fram ett antal nyckeltal för it-kostnader, exempelvis utkontrakterad verksamhet/it-kostnad och kostnad för lagring. I analyserna ingick inte några specifika nyckeltal för it-drift. En uppskattning av de totala it-kostnaderna i staten gjordes. För mätningen av it-mognad fick myndigheterna göra en självskattning av bl.a. strategi för it-försörjning, it-kompetensförsörjningsplan, rutin för att göra kostnadsjämförelser med stöd av nyckeltal samt infor- mationssäkerhet. ESV konstaterade bl.a. att det fanns ett behov av att stärka förmågan att beräkna it-kostnader och öka kostnadsmed- vetenheten i statsförvaltningen men också att mäta myndigheternas it-mognad. Myndigheterna behövde enligt ESV också utveckla sin förmåga inom bl.a. informationssäkerhet, strategi för it-försörjning och it-kompetensförsörjning.

Sedan år 2019 har Myndigheten för digital förvaltning (Digg) an- svaret att följa upp de statliga myndigheternas digitala mognad och it-kostnader. År 2019 genomförde Digg en enkätundersökning som riktade sig till 175 statliga myndigheter vilket var ett bredare urval än ESV tidigare haft. Frågorna var dock i stora delar desamma som ESV tidigare ställt. Digg konstaterade att myndigheterna kommit olika långt i sin it-mognadsgrad. Små myndigheter är generellt mindre it-mogna än större myndigheter. Myndigheterna skattar sin mognads- nivå som högst för bl.a. informationssäkerhet och lägst när det gäller kostnadsjämförelser med andra aktörer.

SOU 2021:1 Tidigare kartläggningar och utredningar