Utifrån undersökningen framgick det att informationssäkerhet inte prioriterades så högt för kommunen som informanterna ansåg det borde. Informationssäkerheten ansågs vara en del av det större arbetet med kommunal säkerhet. Personer som arbetade på kommunen men inte var insatta eller hade insyn i informationssäkerhet och informationssäkerhetsarbetet kunde tro att det vara liktydigt med IT-säkerhet och kände inte till distinktionen. Informationssäkerheten kunde förknippas med
virusprogram eller annan form av skydd från externa aktörer. Förståelsen för informationssäkerheten relaterad till det verksamhetsövergripande saknades enligt informanten från kommun 1.
För samtliga av kommuner ingick arbetet med informationssäkerhetsrisker i det bredare kommunala arbetet med risker. Detta var även fallet för kontinuitetsarbete och kontinuitetsplan där detta inte heller gjordes specifikt för informationssäkerhet, utan som en del av det kommunala säkerhetsarbetet. Kommunerna arbetade med att säkra upp till en viss nivå som länsstyrelsen ansåg rimlig, men informanterna uppgav att det krävdes ett fördjupat arbete men kontinuitet. Eftersom risk och kontinuitet på är sammanvävda, för att undvika framtida risker bör organisationer arbeta med det aktivt för att hitta nya risker och för att säkerställa att de risker som finns inte förverkligas. För införandet av kontinuitet förordar ISO 27001 att
”Organisationen ska fastställa, dokumentera, införa och upprätthålla processer, rutiner och säkerhetsåtgärder för att säkerställa den nivå av kontinuitet för informationssäkerhet som krävs vid en svår situation (SiS 2017a, s. 20)”
Det kan därför vara lämpligt med en kontinuitetsplan för det att stärka den kommunala informationssäkerheten. Kommun 3:s informant uppgav att de på kommunen saknade plan för kontinuitet, istället avhandlades kontinuiteten genom diskussioner på säkerhetsavdelningen. Kommun 1 hade en kontinuitetsplan, men denna var inte enbart för informationssäkerhet utan det var för den bredare kommunala säkerheten i vilken informationssäkerheten ingick. Kommun 2 arbetade med kontinuitet genom att utbilda personal med nano-kurser, information som de delgavs via e-post. Detta kunde bestå av manualer, videos eller riktlinjer som gällde för säkerhet. När det kom till att följa upp risker kring informationssäkerhet arbetade de inte enligt en kontinuitetsplan. Det kunde visas från resultatet att undersökningens största kommun, kommun 1, var den enda kommun som hade en konkret kontinuitetsplan, medan de andra två mindre kommunerna, kommun 2 och 3, saknade detta. Detta resultat återspeglar vad som har kunnat konstateras i tidigare forskning om kommunal riskhantering (Thomasson, 2019), att större kommuner har mer resurser att lägga på arbetet för kris- och riskhantering.
MSB:s analysrapport (2016) påvisade att det fanns brister i arbetet med riskhantering inom en stor del av kommuner. Brister hos de tre kommunerna i arbetet med risk och kontinuitet kunde även återfinnas i denna undersökning. Dock hade lyftet av informationssäkerheten som skett vid samtliga av kommunerna lyft informationssäkerheten som en aspekt av det bredare arbetet med risk och kontinuitet.
Även dataskyddsförordningen (EU, 2016) lyftes fram av informant 1 som ett verktyg som hade riktat ett större fokus på informationssäkerhet och de risker som finns. Ur detta hänseende har det skett en förbättring.
6 Diskussion
Diskussionsdelen innehåller de resultat som framkom av undersökningen och analysen. I diskussionen reflekteras det även över valet av metoder och om avvägningar som gjordes för studien. Här framhålls författarnas egna reflektioner och tankar kring studien.
6.1 Resultatet
Det första som vi kunde se utifrån resultatet var att samtliga av kommunerna som deltog i undersökningen hade tillsatt fler resurser efter lagar som dataskyddsförordningen. Kommunerna förhöll sig mycket utefter vad MSB rekommenderar då de hade stor påverkan och inflytande på arbetet för informationssäkerhet. Trots att det har införts en del förordningar finns det fortfarande brister hos kommunerna gällande uppföljning, kontinuitet och vidareutveckling av informationssäkerhet. Detta har sin grund i vad som har blivit ett tydligt mönster som vi kunde se från den tidigare forskningen. Från MSB:s analysrapport (2016) var resultatet från 2015 att majoriteten av kommuner inte arbetar systematiskt och delvis att många kommuner inte har de resurser som krävs för att kunna arbeta med det på den nivån som behövts. Detta resultat från deras analysrapport återspeglades delvis i uppsatsens resultat där informanterna uppgav att det skulle behövas resurstillskott.
Kommunerna i studien saknade generellt även ett systematiskt informationssäkerhetsarbete vilket innebar att det inte hade skett en förbättring sedan MSB:s undersökning (2016). Anledningen för detta är inte helt simpel att fastslå då det kan vara beroende av ett flertal variabler. Vad som vi dock tror är en stor komponent i detta är att kommunerna inte prioriterade informationssäkerhet till en tillräckligt hög grad. Detta kan vara orsaken till att nödvändiga investeringar av resurser ännu inte hade gjorts. Studiens teoretiska ramverk beskriver dataskyddsförordningen och NIS-direktivets innebörd för informationssäkerhet bland organisationer, och resultatet stödjer detta. Alla kommunernas informanter menar på att dessa lagar får upp ögonen hos medarbetare på kommunen som inte dagligen arbetar med informationssäkerhet och ger en förståelse hur viktigt detta är. Men enligt kommun 2 som beskrev att NIS-direktivet faller lite mellan stolarna då
”[...] det är bara de lite större aktörerna som kommer få revision.”
Lagen gäller för vissa kommuner och inte alla, kommun 2 beskriver hur NIS-direktivet tittar mer på invånarantal och inte eventuellt konsumerat vatten som gäller för länsstyrelsen leverans och distribution av dricksvatten.
Det som är den röda tråden i detta tema är att kommuner inte gör mer än vad som behövs och ibland mindre då det är gråzoner i lagarna. Den främsta orsaken som alla informanter som har intervjuats uppger är för det första att politiker och personer på högre positioner inte förstår eller anser att det är tillräckligt viktigt. Det andra är det saknades konsekvenser för att bedriva arbetet som de gör idag. Vad som menas med konsekvenser är att exempelvis arbeta systematiskt. MSB (2016) menar på att det är så kommuner borde arbeta då det underlättar för kommunen dock finns det inga konsekvenser eller straff utifall att de inte gör det.
Kommunerna tillförde inte fler resurser om de fick krav om det eller att det fanns grövre konsekvenser som exempelvis att en lag inte uppfylls. När det kommer nya lagar eller direktiv som dataskyddsförordningen eller NIS-direktivet är det som informationssäkerhetssamordnare på kommuner kan ta upp problem eller framföra processer som är lämpliga. Om det inte finns något som trycker på varför det ska införas så görs det inte. Detta ser vi även i hur kommunerna arbetar med säkerhetsstandarder, samtliga av kommunernas informanter menar på att de arbetar utefter ISO 27000-serien men att inga av kommunerna följer standarderna fullt ut. Vi menar inte att de behöver certifiera sig men att bara följa vissa paragrafer av ISO 27001 och 27002 är förmodligen inte den bästa av lösningar då ISO har en struktur som består av olika delar som i sin tur skapar en större helhet.
Det positiva som går att se från resultaten är att de som arbetar med informationssäkerhet inom kommunerna ständigt försöker förbättra det men de arbetar i motvind då andra intressenter inom kommunen kan ha svårt att se varför det behövs. Lagar som dataskyddsförordningen och NIS-direktivet hjälper att förmedla att fortsätta arbeta kontinuerligt med informationssäkerhet.
Vi kunde utifrån undersökningen få en god insikt i hur kommuner av olika storlek arbetar med säkerhetsstandarder, hur de har arbetat med det tidigare samt om uppföljningen av informationssäkerhetsåtgärder. Resultatet som framkom från undersökningen har påvisat att kommuner arbetar med säkerhetsstandarder genom bland annat utformningen av kommunal säkerhetspolicy och riktlinjer om informationssäkerhet arbete. Utifrån undersökningens resultat kunde vi inte se en väsentlig skillnad bland kommunerna i hur de implementerade säkerhetsstandarder.
Detta kan möjligen bero på att informanterna för undersökning var för få och att inte tillräckligt med data som hade kunnat påvisa sådana skillnader samlades in eller att det inte finns en sådan stor skillnad mellan kommuner. Ifråga om vilka specifika säkerhetsstandarder som kommunerna arbetade efter svarade samtliga kommuner ISO 27000-serien. Valet av just denna säkerhetsstandardarserie var inte oväntat då det är vad MSB rekommenderar och som svenska myndigheter använder (MSB, 2016). Att samtliga av kommunerna hade infört en kommunal säkerhetspolicy var väl i linje med vad som rekommenderades för kommuner i ISO 27002 (SiS, 2017b).
Denna studie har kunnat visa att kommunerna till stor del saknar det systematiska arbetet för uppföljningen av informationssäkerheten och utbildningarna samt hur säkerhetspolicys och riktlinjer efterlevs är ett väsentligt problem. Utifrån undersökningens resultat kunde vi få således fram ett svar för studiens frågeställningar. Informanterna kunde inte peka ut konkreta delar från ISO 27001 eller 27002 som kommunen arbetade efter.
6.2 Metodreflektion
Det var kvalitativa metoder som användes för att samla in empiriska data från kommunerna. Detta gjordes genom att intervjua tre olika informanter som alla hade insyn i det kommunala informationssäkerhetsarbetet. Arbetet med att samla in data genom att göra individuella intervjuer med kommunanställda gick väl, och informanterna hade sällan problem att kunna besvara frågorna. Undantaget var frågorna angående hur mycket av kommunens resurser och hur stor del av den
kommunala budgeten som gick till informationssäkerhetsarbetet (Bilaga 1) då dessa frågor ansågs av samtliga att vara abstrakta. Det fanns svårigheter med att få kontakt med vissa av de kommuner som vi var intresserade att intervjua. En av anledningarna till detta var att de uppgav att de på grund av den rådande situationen med Covid-19 inte hade tid att delta. Vid dessa tillfällen ersattes de av andra kommuner av liknande storlek.
Informanterna gavs utrymme att uttrycka sig och för att svara på frågorna på ett sätt som passade dem. Detta var till stort gagn för studien då det gav mer insyn och vi fick ta del av kunskap om kommunal informationssäkerhet som vi möjligtvis inte hade om formatet var mer stringent. Svårigheterna som detta format dock medförde var att olika informanter kunde tolka en fråga på olika sätt vilket kunde göra det svårt att jämföra svaren de gav. Detta innebar även att informanter när de kunde besvara frågorna hur de ville även inkluderade information som eventuellt inte hade en sådan stark koppling till studiens huvudsyfte. Detta medförde extra arbete som annars inte hade behövts genomföras med ett annat metodval. Ett större antal kommuner skulle eventuellt ha kunnat stärka studien, ge oss mer empiriska data och möjligtvis ge insyn i fler, unika förhållningssätt gentemot arbetet med säkerhetsstandarder, ISO 27000 eller generellt informationssäkerhetsarbete.
I studien gjordes vissa etiska avväganden. Ett av dessa etiska avväganden var att låta personliga uppgifter relaterade till informanterna och de kommuner de arbetade på att förbli konfidentiella. Fördelen med denna åtgärd var att informanterna fick en större frihet och säkerhet att uttrycka sig då vederbörandes identitet inte kunde undanröjas.
En svårighet som detta dock medförde var att vi inte kunde använda oss av informantens kommunala säkerhetspolicy och riktlinjer då detta skulle avslöja identiteten på kommunen och eventuellt även informanten. Det skulle ha kunnat vara relevant att se hur kommunerna arbetar med informationssäkerhet och säkerhetsstandarder och ställa det i kontrast med utdrag ur kommunens säkerhetspolicy och riktlinjer. Kännedom om att informanterna skulle komma att publiceras hade möjligtvis påverkat denne i intervjuerna. Svaren som informanten hade givit kunde ha blivit annorlunda och mer begränsade i sin karaktär än om uppgifterna istället förblivit konfidentiella. Därför anser vi i efterhand att det vara ett nödvändigt avvägande att göra.
Intervjuerna genomfördes på distans vilket hade fördelar och nackdelar. Bland fördelarna fanns att det var lätt att genomföra, det var smidigt och lätta att genomföra.
Bland nackdelarna fanns att det inte var lika god kommunikation som det eventuellt hade varit om intervjuerna genomförts i person istället för med kommunikationstjänsten Skype företag. Det blev även betydlig mer nödvändigt att genomföra intervjuerna på distans i och med den pandemi som pågick i världen vid tiden detta skrevs. Om detta inte var fallet hade det möjligtvis varit mer relevant att genomföra intervjuerna på ett annat sätt än vad vi gjorde i undersökningen, men då detta var kontexten i vilken vi befann oss var detta metodval berättigat. De svar som vi fick ut från intervjuerna var mycket användbara för studien. Dock ansåg vi att det svar som gavs av informanten från kommun 3 angående uppföljning inte var tydligt nog för att kunna användas i analysen. Därför kontaktade vi informanten återigen och bad om klargöring. Att vi inte fick ut ett tydligt svar från intervjun kan ha berott på
att frågan om uppföljning inte var en huvudfråga, utan en följdfråga som inte lades lika stor vikt på.
Undersökningen i MSB:s analysrapport (2016) genomfördes för 2015, vilket var 5 år tidigare från då denna studie skrivs. Då den digitala utvecklingen sker snabbt så kan relevansen av denna analysrapports roll i studien ifrågasättas. Emellertid ansåg vi det relevant att ha med denna analysrapport då den var unik av sitt slag och den senaste undersökning som vi kunde finna som behandlade ämnet kommunal informationssäkerhet. Sedan kunde detta även ge oss ett tillfälle att faktiskt se de eventuella förändringar som hade skett bland kommunerna sedan undersökningen utfördes. På så sätt kunde vi sedan jämföra resultatet från vår undersökning för att se vilka områden av den kommunala informationssäkerheten bland denna studies utvalda kommuner som skiljde sig från det generella resultatet från MSB:s äldre undersökning.
7 Slutsatser
Det här har varit en studie som har undersökt den kommunal informationssäkerheten och informationssäkerhetsarbetet som sker på kommunal nivå. Studien har fokuserat på hur säkerhetsstandarder används i kommunalt informationssäkerhetsarbete och hur kommuner förhåller sig till säkerhetsstandarder. Det som specifikt undersökts är arbetet med riskhantering, kontinuitet, uppföljning, budget och resurser som kommuner tillägnar informationssäkerhetsarbetet. Som teoretiska ramverk för studien användes dataskyddsförordningen och NIS-direktivet. De är förordning och lagstiftning som ställer krav på kommuners informationssäkerhetsarbete. Utöver dessa lagar var även ISO 27000 en del av studiens teoretiska ramverk, vilket är en serie säkerhetsstandarder för informationssäkerhet. Nedan besvaras studiens frågeställningar.
Hur arbetar kommunerna med säkerhetsstandarder inom informationssäkerhet?
Kommunerna arbetar med säkerhetsstandarder inom informationssäkerhet. De använder sig av säkerhetsstandarder för utformning av säkerhetspolicy, riktlinjer för informationssäkerhet och informationssäkerhetsarbetet. Kommunerna arbetar dock inte enbart med säkerhetsstandarder, utan det finns en viss flexibilitet för vilka delar av säkerhetsstandarden ISO 27001 (SiS, 2017a) och 27002 (SiS, 2017b) som implementeras. ISO 27000-serien var den enda specifika säkerhetsstandardserie som samtliga kommunala informanter nämnde att de arbetade efter. Kommunerna fann stöd för sitt arbete med säkerhetsstandarder från MSB (2016), som även påverkat deras val att arbeta efter ISO 27000. Kommunerna arbetade endast med utvalda delar från ISO 27000-serien och inte efter standarden i helhet.
Har kommunerna en etablerad säkerhetsstandard?
Kommunerna som deltog i denna studie har en etablerad säkerhetsstandard. Denna etablerade säkerhetsstandard var ISO 27000-serien, och framförallt ISO 27001 och ISO 27002. De arbetade efter ISO 27000-serien vilket de var rekommenderade att göra detta från Myndigheten för samhällsskydd och beredskap (2016). Att ISO 27000 var den etablerade säkerhetstandardserie som kommunerna hade skulle även kunna härledas till att de för sitt informationssäkerhetsarbete var tvungna att följa dataskyddsförordningen.
Utöver att besvara frågeställningarna har studiens undersökning även kunnat finna betydande brister i uppföljningsarbetet bland kommunerna. Exempel är informationssäkerhetsåtgärder, utbildning, efterföljning av säkerhetspolicy och riktlinjer som inte följdes upp tillräckligt eller alls. Detta var ett problem som beskrevs i tidigare rapporter (MSB, 2016; Åhlfeldt et al. 2016) som ett generellt problem bland Sveriges kommuner. Utifrån denna studie har vi inte kunnat se att de kommunerna ännu skulle föra ett systematiskt uppföljningsarbete med informationssäkerheten.
Däremot har det skett en förändring i tillskott av fler resurser och införande av informationssäkerhetsutbildningar för medarbetare. Dessutom hade både den mellanstora och största kommunen anställt informationssäkerhetssamordnare på heltid och den minsta kommunen hade informationssäkerhetsansvarig som deltidsanställd.