Kommunal informationssäkerhet: En undersökning av informationssäkerhet inom kommunal IT-styrning

(1)

Fakulteten för Teknik Institutionen för Informatik

Kommunal informationssäkerhet

En undersökning av informationssäkerhet inom kommunal IT- styrning

Författare: Jonathan Eklund Författare: Robin Renner

(2)

Abstract

This study examined how municipalities work with information security focusing on the use of security standards. Data was collected from three different municipalities differentiating in population, for the purpose of determining whether financial resources was a factor to successful information security within the organization. The study was based on a theoretical framework that consisted of ISO 27000, The General Data Protection Regulation, as well as the NIS directive.

To examine the municipalities information security and whether security standards were used data was collected via interviews. In these interviews the informants were asked questions created in a semi-structured way to provide them with context while still being able to answer freely. This data was later to be analysed and categorised into themes where it could be interpreted. These themes within information security, consisted of continuity, risk assessment, policies, regulations, security standards, budget, and resources.

Through analysis, the answers were compared as well as put into the context of what had been discovered in prior research within the field. It later points towards certain improvements in some respects as well as no further improvements in other areas.

The study could affirm prior results from earlier research, and that municipalities still had essential deficiencies in their information security such as not working systematically with information security at an acceptable level. However, there were some improvements compared to prior research among municipalities and there were clear indications that there had been put a larger focus on information security. The informants also affirmed that regulations such as the General Data Protection Regulation had affected the municipalities executives’ approach towards information security within the organization.

(3)

Sammanfattning

I studien undersöks kommuners arbete med informationssäkerhet fokuserat på användandet av säkerhetsstandarder. Data samlades in från tre olika kommuner.

Urvalet av kommuner baserades på population för att identifiera om ekonomi var en faktor till framgångsrik informationssäkerhet inom organisationen. Studien baserades på ett teoretiskt ramverk bestående av ISO 27000, dataskyddsförordningen tillika NIS-direktivet.

För att undersöka informationssäkerheten bland tre kommuner och huruvida säkerhetsstandarder användes gjordes en datainsamling via intervjuer. Intervjuerna var semi-strukturerade så att informanterna fick en tydlig kontext och möjligheten att svara fritt. Insamlade data analyserades och kategoriserades in i teman, så det kunde tolkas. De informationssäkerhetstemana bestod av kontinuitet, riskbedömning, policys, lagar, säkerhetsstandarder, budget och resurser.

Svaren analyserades och jämfördes även mot tidigare forskning i ämnet. Vad som kunde utläsas var att utveckling visades i vissa aspekter medan mindre inom andra.

Studien kunde bekräfta resultat från tidigare studier, att kommuner fortfarande uppvisade brister i deras arbete informationssäkerhet. Samband mellan kommunerna var brister inom det systematiska arbetet med informationssäkerhet. Förbättringar hade dock gjorts jämfört med tidigare forskning således fanns tydliga indikationer på att informationssäkerhet uppmärksammats. Informanterna påpekade också att lagar som dataskyddsförordning hade påverkat kommunernas syn på informationssäkerhet inom organisationen.

Nyckelord

Informationssäkerhet, Säkerhetsstandard, Informatik, Kommuner, ISO 27000

(4)

Tack

Vi vill tacka vår handledare Lars Magnusson samt till kommunerna som ställde upp på intervju och gjorde den här studien möjlig.

2020-05-31, Växjö

Jonathan Eklund och Robin Renner

(5)

Innehållsförteckning

1 Inledning 1

1.1 Bakgrund och Tidigare Forskning 2

1.2 Problematisering 2

1.3 Begreppslista 3

1.4 Syfte 3

1.4.1 Frågeställningar 4

1.5 Avgränsning 4

1.6 Disposition 4

2 Teori 6

2.1 Teoretiskt ramverk 6

2.1.1 ISO 27000 6

2.1.2 Dataskyddsförordningen (GDPR) 7

2.1.3 NIS 8

3 Metod 9

3.1 Vetenskaplig ansats 9

3.2 Datainsamling 9

3.2.1 Dokumentanalys 9

3.2.2 Litteratursökning 10

3.2.3 Urval 10

3.2.4 Individuell intervju 11

3.2.5 Genomförandet av intervjuer 11

3.3 Analys 11

3.4 Validitet och reliabilitet 12

3.5 Etik 12

4 Empiriskt resultat 13

4.1 Kommun 1 13

4.1.1 Kontinuitetsplan och riskbedömning 13

4.1.2 Lagar 13

4.1.3 Säkerhetsstandarder 14

4.1.4 Budget och resurser 14

4.2 Kommun 2 14

4.2.2 Lagar 15

4.3 Kommun 3 16

4.3.2 Lagar 16

5 Analys 18

5.1 Arbetet med säkerhetsstandarder 18

5.2 Lagarnas effekt på informationssäkerhetsarbetet 19

(6)

5.3 Resurser för informationssäkerhet 20 5.4 Uppföljning av informationssäkerhetsåtgärder 21

5.5 Risk- och kontinuitetshantering 22

6 Diskussion 24

6.1 Resultatet 24

6.2 Metodreflektion 25

7 Slutsatser 28

7.1 Fortsatt forskning 29

Referenser 30

Bilagor

Bilaga 1: Intervjufrågor Bilaga 2: Samtyckesblankett

(7)

1 Inledning

Dagens digitala samhälle bygger på en mängd personuppgifter, data och information som lagras. Förmågan att både lagra mer samt säkerställa att den känsliga informationen inte är åtkomstbar för obehöriga utvecklas ständigt. Samtidigt ökar också utvecklingen av skadlig programvara och nya sätt intrångsätt, vilket kräver att organisationer kontinuerligt förbättrar sin säkerhet för skydda känslig information (Dhillon, 2017). Denna studie undersöker kommunal informationssäkerhet då en kommun som organisation hanterar en stor mängd personuppgifter samt känsliga data som ingen obehörig ska kunna komma åt. Enligt Lag (SFS 2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster samt Europaparlamentets och rådets förordning (EU) 2016/679 (EU, 2016) måste organisationer upprätthålla en säkerhet av den känsliga information som de lagrar för att skydda de privatpersoner som annars kan komma till skada.

Trots att kommuner har detta ansvar har tidigare undersökningar (MSB, 2016; ESV, 2018) påvisat betydande brister i arbetet med informationssäkerhet. Detta blir ett problem då risken finns att privatpersoner kan skadas i form av personuppgifter som utnyttjas till skadligt ändamål. Offentlig sektor, som har till uppgift att beskydda sina invånare från fara, kan i detta fall hamna i en situation som utsätter sina invånare för risker och som kan medföra konsekvenser för privatpersoner. Om en sådan allvarlig situation skulle uppstå innebär det att organisationen i fråga är skyldig att betala ut skadeståndsersättning till berörda privatpersoner (EU 2016, s.81).

I den här studien kommer fokuset att ligga på säkerhetsstandarder, vilket är en väsentlig del i utformningen av ett systematiskt informationssäkerhetsarbete, men som många kommuner brister i (MSB, 2016). Detta kommer att utforskas genom att utföra intervjuer med representanter från tre kommuner av tre olika storlekar i invånarantal och ekonomi. Anledningen till att olika storlekar av kommuner har valts ut är för att jämföra om det finns någon skillnad mellan kommunerna och om ekonomiska resurser är en bidragande faktor till informationssäkerhetens olika utformningar hos kommunerna. Studien ämnar belysa tydligare hur mycket av kommunernas arbete faktiskt kretsar kring säkerhetsstandarder då det är en väsentlig och viktig beståndsdel inom informationssäkerhet (EU, 2016).

De undersökningar som identifierats om kommunal informationssäkerhet är av MSB (2016) och Ekonomistyrningsverket (2018) vilket är det senaste som har publicerats kring kommunal informationssäkerhet. Därför blir denna studie en uppföljning för att se om det har skett någon förbättring.

Eftersom och information kan vara känslig måste det sparas och förvaras med stor säkerhet (Dhillon, 2017). Därför har organisationer som International Organization for Standardization (ISO) skapats. Deras arbete, består i att ta fram relevanta standarder inom säkerhet så att organisationer kan utgå från en stadig grund.

Vad denna studie ämnar göra är att undersöka vidare kring informationssäkerhet hos kommuner för att få en djupare inblick inom kommunernas arbetssätt gällande informationssäkerhet och säkerhetsstandarder i dagsläget.

(8)

1.1 Bakgrund och Tidigare Forskning

Analysrapporten från MSB (2016) visade att 2015 var arbetade över 70% av kommuner inte systematiskt med informationssäkerhet och över 55% av kommuner saknade processer för rapportering och hantering av säkerhetsbrister. Det är ingen aktiv form av informationssäkerhet som offentlig sektor försöker utveckla.

Analysrapporten (2016) visar även att det saknades informationssäkerhetspolicy i över en fjärdedel av kommunerna som deltog i undersökningen. Detta innebär att en fjärdedel av kommuner saknar riktlinjer för hur medarbetare ska förhålla sig samt arbeta med informationssäkerhet. Ytterligare brister för det systematiska arbetet med informationssäkerhet tydliggörs i en enkätundersökning som utfördes av Ekonomistyrningsverket (2018). I undersökningen (2018) framgick att endast 3% av kommunerna som deltog hade en väl fungerande modell för informationssäkerhet inom organisationen. Trots att statistiken visar dessa siffror så beskriver Sveriges kommuner och regioner (SKR, 2019a) att kommuner behöver arbeta aktivt med informationssäkerhet.

En studie genomförd av forskare från Högskolan i Skövde visar att 13 av 15 kommuner var bristfälliga i sitt systematiska arbete med informationssäkerhet (Åhlfeldt et al., 2016). Detta avsåg områden som informationssäkerhetspolicy, informationssäkerhetsincidenter och verksamhetens kontinuitet där de i synnerhet var undermåliga. Forskare vid Högskolan i Skövde har även undersökt länsstyrelsens arbetssätt mot kommuner, där länsstyrelsens uppgift är att stödja informationssäkerhetsarbetet hos kommunerna inom kris och för höjd beredskap (Åhlfeldt, Nohlberg & Söderström, 2017). Undersökningen visar att det behövs mer kompetens inom flertal positioner, större finansiella resurser för att kunna förbättra situationen och tydliggöra vad länsstyrelsens uppdrag mot kommuner är. Stödet som kommuner borde få från länsstyrelsen finns inte i den utsträckning som det är tänkt.

Det finns aktörer som agerar för att få ut känslig information, goda säkerhetsrutiner och internt revisionsarbete minimera risker som finns för att oönskade incidenter ska drabba organisationer (Dhillon, 2017; Steinbart et al., 2018). Det är därför viktigt att kommuner avsätter tillräckliga resurser för att stärka informationssäkerheten och för att förebygga eventuella incidenter. Tidigare forskning (Hall et al., 2011) har visat på att det finns en klar koppling mellan en organisations resurser och tillgångar och förmågan att effektivt kunna implementera en informationssäkerhetsstrategi. Tidigare forskning (Svärd, 2018) har även kunnat visa att det kan uppstå ojämlikheter i informationssäkerheten mellan kommuner som har olika ekonomiska förutsättningar.

1.2 Problematisering

Problemet som tydligt identifieras är att kommuner har enligt MSB (2016), ESV (2018) och Åhlfeldt, Nohlberg och Söderström (2016) brister i sitt arbete med informationssäkerhet. Brister som innebär att känslig information inte är säkerställd i den utsträckning som den borde vara, och om en kommun utsätts för incidenter (EU, 2016) kan sanktionsavgifterna växa kolossalt.

Därför vill vi i denna studie undersöka hur kommuner arbetar för att upprätthålla en god informationssäkerhet och specifikt fokusera på hur de använder sig av säkerhetsstandarder för informationssäkerhetsarbetet. Analysrapporten från MSB

(9)

(2016) har visat att en stor del av landets kommuner uppger att de på grund av budgetbegränsningar inte har möjligheten att bedriva informationssäkerhetsarbete.

Därmed finns det anledning att undersöka de tre utvalda kommunernas arbetssätt för informationssäkerhet samt jämföra om det varierar mellan kommuner som har mer resurser.

1.3 Begreppslista

Tabell nedan anger vanligt förekommande begrepp inom informationssäkerhet samt deras innebörd för läsare som inte är bekanta med områdets terminologi.

Tabell 1: Begreppslista Begrepp Innebörd

ISO International Organization for Standards (ISO, u.å) är en organisation som publicerar internationella standarder inom områden som industri, teknik, sjukvård och säkerhet.

ISO 27000

ISO (2018) har skapat en standard under namnet 27000-serien.

Standarden är ämnad för att hjälpa verksamheter bygga grunder inom området informationssäkerhet, som exempelvis säkerhetspolicy, riskbedömning, kontinuitetsplan, etcetera

GDPR Dataskyddsförordningen (2016), en lag som gäller inom hela EU och syftar till att skydda personuppgifter.

NIS Network and Information Security. Reglerna gäller för leverantörer av samhällsviktiga tjänster och specifika digitala tjänster inom privat såväl offentlig sektor (SFS 2018:1174)

SKR Sveriges kommuner och regioner (SKR, u.å.b) är en medlems- och arbetsgivarorganisation där samtliga av Sveriges kommuner och regioner ingår som medlemmar. SKR:s uppgift är att stödja och bidra till medlemmarnas verksamhet.

MSB Myndigheten för samhällsskydd och beredskap (MSB, u.å.) är en statlig myndighet som ansvarar för att stödja samhällets beredskap för olyckor, kriser och civilt försvar. Detta inkluderar offentligt arbete med informationssäkerhet.

1.4 Syfte

Syftet med den här studien är att undersöka hur kommunerna använder sig av och följer säkerhetsstandarder för informationssäkerhet.

(10)

1.4.1 Frågeställningar

Syftet kommer att besvaras genom följande frågeställningar:

• Hur arbetar kommunerna med säkerhetsstandarder inom informationssäkerhet?

• Har kommunerna en etablerad säkerhetsstandard?

1.5 Avgränsning

Anledningen till en avgränsning som utesluter privat sektor är för att uppgifter om säkerhetspolicys och interna uppgifter inte är tillgängliga i samma utsträckning som i offentlig sektor, där det i hög utsträckning är offentliga uppgifter. Kommuner valdes istället för landsting och verksamheter på statlig nivå för att dessa fanns i ett större antal och det ansågs lättare att komma i kontakt med dem för intervjuerna.

Studien avgränsades till kommuner inom Sverige. Antalet kommuner som undersöktes var tre till antalet. Avgränsningen till antalet kommuner gjordes för att kunna undersöka en av varje storlekskategori. Vidare fokuserar studien på säkerhetsstandarder som aspekt kring kommunal informationssäkerhet.

1.6 Disposition

Utöver detta inledningskapitel består studien av sex ytterligare kapitel.

I teori behandla studiens teoretiska ramverk samt de delar det utgörs av, ISO 27000, dataskyddsförordningen och NIS-direktivet.

I Metod behandlas de metoder som har använts för studien. Detta inkluderar vetenskaplig ansats där kvalitativ ansats diskuteras och varför den valdes för studiens undersökning. Datainsamling behandlar urvalet som skedde för undersökningen, valet att genomföra individuella intervjuer och genomförandet av intervjuer med informanterna samt ingående om tillvägagångssätt. Analys om hur den data som samlades in från intervjuerna hanterats och analyserats. Validitet och reliabilitet beskriver studiens tillförlitlighet och trovärdighet. I Etik beskrivs etiska beslut och överväganden.

I Empiriskt resultat diskuteras materialet som har samlats in. Delen redovisar för det kvalitativa resultatet från intervjuerna och vad det var som framkom från intervjuerna.

I Analys sker det en tematisering av det kvalitativa materialet och dess betydelse. I analysen har empirin med hjälp av teorin blivit tolkad, placerad i en kontext och relevant information från det empiriska materialet behandlats. Den sammanställda empirin får en struktur och en mening.

I Diskussion utvärderas studiens viktigaste resultat. Kapitlet innehåller en diskussion om varför resultat var betydelsefulla och hur dessa forskningsresultat kan användas.

Det sker även en diskussion om utfallet och varför undersökningen har kommit fram till det resultat som framhävs, samt vilka eventuella för- och nackdelar som studiens metoder medförde.

(11)

I Slutsatser ges det en konkluderande sammanfattning av studien och resultatet som nåtts. Studiens frågeställningar besvaras. Till sist föreslås eventuell fortsatt forskning utifrån studiens undersökning och resultat

(12)

2 Teori

Teorikapitlet för denna studie beskriver de olika delarna av studiens teoretiska ramverk. Detta ramverk utgörs av ISO 27000, dataskyddsförordningen och NIS- direktivet.

2.1 Teoretiskt ramverk

Denna studie har grundat det teoretiska ramverk på ISO 27000 samt lagar och förordningar som finns för informationssäkerhet där kommuner är skyldiga att efterfölja. Dessa ramverk ställer krav på kommunerna för hur de ska hantera informationen och lagra det utifrån ett säkerhetsperspektiv. Detta inkluderar allmänna dataskyddsförordningen (EU, 2016) och NIS-direktivet (SFS 2018:1174).

Det finns riktlinjer för hur dessa lagar samt förordningar bör följas och ett exempel på standard som uppfyller dataskyddsförordningen (EU, 2016) och NIS-direktivet (SFS 2018:1174) är ISO 27000. Detta då de använder föregående versioner som ISO publicerat och ISO 27000-serien har förnyats genom åren. I och med det kommer ISO 27000 beskrivas djupgående inom det teoretiska ramverk som denna studie kommer hänvisa till var gällande lämplig säkerhetsstruktur.

2.1.1 ISO 27000

ISO 27000 är en serie av säkerhetsstandarder skapad för att tydliggöra hur olika segment inom en verksamhet bör hanteras ur ett informationssäkerhetshänseende. Det är således ISO som hänvisas till från både GDPR och NIS-direktivet, vilket påvisar hur väletablerad ISO som organisation är inom informationssäkerhet. Nedan redovisas tre aspekter som valts att fokusera på inom ISO 27000-standardserien, säkerhetspolicy, riskbedömning och kontinuitetsplan.

På Svenska institutet för Standarder (SiS) fanns det dokument som beskrev innehållet av olika säkerhetsstandarder. De standarder som var relevanta för den här studien var framförallt ISO 27001 (SiS, 2017a) och ISO 27002 (SiS, 2017b) från ISO 27000- serien. Dessa dokument från SiS gav tillgång till ISO 27000-seriens innehåll och kunde användas för utformningen av studiens teoretiska ramverk samt för analysen av det insamlade empiriska materialet.

Informationssäkerhet är ett arbetssätt för att hindra obehöriga att komma åt känslig information. Det kan bestå av säkerhetspolicy, riskbedömningar, kontinuitetsplan eller andra typer av skydd som minimerar risker. Säkerhetspolicy är dokumenterade riktlinjer som all personal inom organisationen ska följa. Det är ett medel för högsta ledning att kommunicera krav inom informationssäkerhet till personalen. En säkerhetspolicy ska enligt ISO 27001-standarden anpassas till organisationens syfte när den fastställs för att kunna appliceras korrekt. Policyn fungerar även som ett ramverk för informationssäkerhetsmål och ska, i syfte att vara tillgänglig, bestå i dokumenterad form (SiS, 2017a).

Riskbedömningar ska genomföras då förändringar föreslås eller uppstår, för att bedöma huruvida förändringen utgör en informationssäkerhetsrisk. Genom riskbedömningar förebyggs oönskade effekter samtidigt som informationssäkerheten förbättras. Av den anledningen ska riskbedömningar också göras i intervall. Enligt

(13)

ISO 27001 (SiS, 2017a) uppmanas att organisationer fastställer en process som används vid riskbedömning och som uppfyller syftet att underhålla kriterier för riskacceptans. Vidare är det viktigt att även dokumentera resultat av bedömda risker för fortsatt utveckling av informationssäkerheten.

Kontinuitet inom informationssäkerhet har en stor betydelse för hur en organisation förbereder och arbetar med informationssäkerhet innan, under och efter specifika situationer. Exempel kan vara hur verksamhetens personal ska hantera en kris. Denna information bör dokumenteras till en kontinuitetsplan samt förenkla och tydliggöra informationen om åtgärder för berörd personal. En kontinuitetsplan innehåller dokumenterade rutiner för hur personalen ska agera i olika sammanhang för att återställa verksamheten vid en kris. Kontinuiteten för informationssäkerhet bör också enligt ISO 27001 och 27002 underhållas och kontrolleras så att de är giltiga och relevanta (SiS 2017a; SiS 2017b). Om kontinuitetsarbetet ska fungera är det viktigt att det integreras inom organisationens arbete i sin helhet och att det testas för att kontrollera om fastställda åtgärder fungerar.

De tre aspekterna säkerhetspolicy, riskbedömning och kontinuitetsplan utgör en grund för informationssäkerhet (Dhillon, 2017). Genom att skapa dem samt fortsätta förbättra dem så undviker organisationen att försätta sig i en oönskad situation som de inte är förberedda på eller inte var medvetna om existerade.

2.1.2 Dataskyddsförordningen (GDPR)

Enligt dataskyddsförordningen bör kommuner och andra organisationer som lagrar data arbeta för att förhindra risker, genom att säkerställa att skyddet för personer är teknikneutralt (EU, 2016). Vad som menas med teknikneutralt är att oavsett vad för typ av teknik det är ska målen uppnås. Därför måste verksamheter aktivt arbeta med att förbättra säkerheten för att undvika eventuella risker, intrång och problem.

När dataskyddsförordningen infördes kunde trycket att anpassa sig efter det nya reglementet anses stort då sanktionerna att inte följa dataskyddsförordningen blev väldigt påfrestande. Om en incident skulle inträffa inom informationssäkerhet hos en kommun så medför det konsekvenser som påverkar kommunen ekonomiskt och förtroendemässigt (MSB, 2016). Förtroendemässigt innefattar att invånare inte förlitar sig på att kommunen i scenariot kan bedriva sin verksamhet korrekt. De ekonomiska konsekvenserna innebär sanktionsavgifter samt eventuella skadestånd till berörda personer. En överträdelse av dataskyddsförordningen kan resultera i bötesbelopp om upp till 10 000 000 kronor per överträdelse som kommun har begått (Datainspektionen 2018, s.13). Dataskyddsförordningen nämner även enligt artikel 82:

”Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning [...]

(EU, 2016, s.81)”

I artikel 25 av dataskyddsförordningen (EU, 2016, s.48) påpekas att personuppgiftsansvarig ska genomföra tekniska och organisatoriska åtgärder för att uppfylla förordningen, vilket innebär skydda de registrerades uppgifter. Enligt artikel 25 punkt 3 stadgas att personuppgiftsansvarig eller annan med befogenhet certifierar

(14)

verksamheten korrekt för att punkt 1 samt 2 följs. Detta med hänvisning till certifiering enligt artikel 42 (2016, s.58). Det är viktigt att verksamheten har utsett en eller flera ansvariga som aktivt kontrollerar säkerheten inom verksamheten och följer upp risker samt uppdateringar. På grund av tekniska utvecklingen så är det viktigt att förbättra säkerheten konsekvent och förnya standarder enligt exempelvis ISO (2018).

I artikel 42 punkt 1 som behandlar certifiering i dataskyddsförordningen står det

”Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra, särskilt på unionsnivå, införandet av certifieringsmekanismer[...] (EU 2016, s.58-59)”

Det citatet handlar om är dataskydd och säkerhet i form av certifikat från standarder som certifieringsorganet har utsett för att påvisa att förordningen följs.

Vid certifiering så är det antingen certifieringsorganet som måste genomföra själva certifieringen, eller behörig tillsynsmyndighet för att det ska anses som godkänt enligt artikel 42 (EU 2016, s.59). I artikel 42 skriver de bara för att certifiering har genomförts minskar inte ansvaret hos personuppgiftsansvarig eller liknande position.

Snarare borde utvecklingen av informationssäkerheten fortsätta så att det är parallellt med den tekniska utvecklingen.

2.1.3 NIS

NIS direktivet implementerades i svensk lag genom lag (SFS 2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Den syftar till att ställa krav på informationssäkerheten och incidentrapportering för berörda verksamheter.

Det innefattar energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, och digital infrastruktur.

Medan dataskyddsförordningen fokuserar på att förstärka säkerheten kring personuppgifter, syftar NIS till att förbättra informationssäkerhet och rapportering inom nämnda verksamheter. De kompletterar varandra inom informationssäkerhet för att ställa krav på verksamheter.

(15)

3 Metod

För intervjuerna med informanterna från kommunerna kommer en kvalitativ ansats med semistrukturerade intervjufrågor användas. Frågorna kommer därmed vara öppna och således lämna utrymme för informanterna att svara på det sätt som passar deras situation.

3.1 Vetenskaplig ansats

Valet av kvalitativ ansats ansågs lämplig för studien på grund av att informationen som behövdes samlas in skulle innehålla djupgående detaljer om verksamheternas arbeten och förhållningssätt till säkerhetsstandarder. I och med den empiri som skulle samlas in för att besvara frågeställningarna förväntades vara detaljerad, ansågs öppna frågor vara en användbar teknik för intervjuerna. Öppna frågor är fördelaktigt då det lämnar utrymme för informanterna att fullt ut besvara frågorna på ett sätt som inte begränsar dem, till skillnad från ett enkätformulär (Davis, Parker & Straum, 2012). I frågan om hur kommuner arbetar med informationssäkerhet och huruvida de använder sig av säkerhetsstandarder kan det även förekomma en stor variation i svaren. Hur de arbetar kan generera svar som på förhand inte hade förväntats och (ibid) vid dessa oförväntade svar så är det lämpligt att använda en kvalitativ ansats.

Utifrån de passade semistrukturerade, individuella intervjuer väl för just den här studien då det tillåter uppföljningsfrågor samtidigt som utgångspunkten är de på förhand utformade huvudfrågorna (ibid).

De metoder som användes i studien för insamlingen av data var en dokumentanalys där kommunala riktlinjer och policys för informationssäkerhet studerades. Det genomfördes sedan individuella intervjuer med informanterna från kommunerna.

Svaren analyserades sedan och den kvalitativa data som samlats in från svaren delades in i olika teman. I nedanstående delkapitel följer en detaljerad beskrivning av detta och hur datainsamlingen genomfördes.

3.2 Datainsamling

Nedan beskrivs studiens dokumentanalys datainsamlingen, närmare bestämt tillvägagångssättet för inhämtningen av litteratur, samt urval av kommuner.

Utformningen av de individuella intervjuerna och dess huvudfrågor samt genomförandet av intervjuerna med informanter.

3.2.1 Dokumentanalys

Kommunala policys och riktlinjer för informationssäkerhet från kommuner som ansågs relevanta för undersökningen studerades på förhand i en dokumentstudie.

Detta för att ge en insikt i hur kommuner arbetade, vilka variationer det fanns mellan olika kommuner och vilka deras utgångspunkter var för informationssäkerhetsarbetet.

De policys och riktlinjer som studerades kom från de kommuner som undersökts i denna studie samt ett antal kommuner som inte deltog.

Genom att granska kommunernas säkerhetspolicys och riktlinjer för informationssäkerhet fick vi en insyn i hur de arbetade med dessa frågor och en förståelse över hur informationssäkerheten såg ut bland kommunerna. I vissa fall

(16)

saknades dock säkerhetspolicys och riktlinjer bland kommunerna som vi ville undersöka.

3.2.2 Litteratursökning

Inhämtningen av rapporter, vetenskapliga artiklar och annat litterärt material som ansågs vara nödvändigt för studien gjordes från olika databaser. Sökningar genomfördes för att få fram litteratur som var relaterat till studiens undersökningsområde. De databaser som användes var Linneuniversitetets OneSearch och DiVa. Söktjänsten Google Scholar användes även för att hitta vetenskapliga publikationer. Sökord som användes i sökningarna var:

• “Informationssäkerhet”

• “Informationssäkerhet kommun”

• “Information security”

• “information security municipalities”

• “security standards municipalities”

• “information security public sector”

• “ISO 27000”

• “ISO 27000 municipalities”

• “ISO 27000 kommun”

Utifrån dessa söktermer i databaserna framkom ett flertal resultat varav många användbara. För att få en grundläggande insikt inom de olika områdena kunde även vissa källor användas i studien som referensmaterial.

3.2.3 Urval

Urvalet av kommunerna begränsades till tre av en lista som på förhand gjordes av kommuner som var intressanta för studien. Detta urval av kommuner gjordes i samråd med handledare och för att en sådan avgränsning var nödvändig då arbetet med den insamlade empirin inte skulle bli för omfattande. Vidare ansågs tre kommuner lämpligt för denna studie på grund av en rimlig mängd att analysera då vi räknade med tid att både ta kontakt, transkribera och analysera. De kommuner som valdes ut var av olika storlekar ifråga om invånarantal och ekonomi. På grund av urvalet av kommuner skapade vi tre kategori av kommuner. Kategori ett består av kommuner med invånarantal mellan 1-19999. Kategori två består av 20000-49999 invånare, och kategori 3 består av kommuner med 50 000 invånare eller fler. Grupperna var utformade efter kommunens storlek, och kommunerna som valdes ut var från grupperna liten, medelstor och stor kommun. Detta för att kunna besvara problematiken om hur informationssäkerhet ser ut i kommuner vars ekonomi skiljer sig i storlek.

Metoden för urvalet var bredd och spridning, en metod som valdes då den säkerställer att informanter, i detta fall personal från kommunen, var från grupper som var relevanta för studien (Skrivguiden, u.å.a). En av de utvalda kommunerna meddelade att de inte var intresserade av att delta i undersökningen och en annan kommun svarade inte på förfrågan. Vi valde ut en ny kommun av samma storlek från listan kontaktade samt informerade dem om undersökningen, och att de skulle vara ett passande undersökningsobjekt. Kontakten med kommunerna upprättades med hjälp

(17)

av kontakter från universitetet, personer från andra kommuner samt genom mailutskick.

3.2.4 Individuell intervju

Intervjufrågorna var öppna för att ge personen som intervjuades utrymme att besvara frågan. Att ha med öppna frågor kan också fånga upp svar och synpunkter som på förhand inte hade förväntats komma upp (Davis, Parker & Straum, 2012).

Intervjuerna bestod i åtta breda huvudfrågor (Bilaga 1) som var utformade att öppna upp för diskussion med informanterna. Beroende på vad som framkom i dessa svar kunde det även ställas följdfrågor om det ansågs lämpligt.

3.2.5 Genomförandet av intervjuer

Personer från kommunen kontaktades sedan angående intervjutillfälle via e-post där författarna förklarade upplägget och syftet samt varför deras medverkan var viktig.

Om de valde att tacka ja till att delta fick de ta del av en samtyckesblankett (Bilaga 2) som hade en mer ingående förklaring av intervjun som de sedan undertecknade.

Data samlades in genom att genomföra intervjuer med informanter från de tre utvalda kommunerna. Under intervjuerna ställdes frågorna (Bilaga 1) om kommunens informationssäkerhet. Frågor ställdes kring hur de arbetade, prioriterade informationssäkerhet och säkerhetsstandarder samt övriga frågor som var relaterade till ämnet.

Dessa intervjuer genomfördes med hjälp av kommunikationstjänsten Skype företag och inspelningsverktyg OBS-studio. Valet att använda Skype företag var för att den är känd och använd bland många organisationer och skulle därför minska risken med problem med användning. OBS-studio valdes även för att den hade en inbyggd inspelningsfunktion vilket tillåta oss att fokusera på informanternas svar och underlätta transkriberingsprocessen. Intervjuerna genomfördes på distans av flexibilitetsskäl. Anledning till dessa val är för att göra det så smidigt som möjligt för informanterna och samtidigt förenkla processen för oss som intervjuar.

3.3 Analys

När materialet samlats in i intervjuerna med informanterna från de tre olika kommunerna gjordes en analys av det insamlade materialet. Riktlinjer för att genomföra analysen kom i huvudsak från resurser och litteratur för akademiskt skrivande (Davis, Parker & Straum, 2012; Skrivguiden.se, u.å.a.). Analysprocessen av kvalitativa data består kortfattat av faserna beskrivning, systematisering och kombination.

Första steget av analysen av den insamlade rådata som kom från intervjuerna syftade till att göra rika beskrivningar, det vill säga grundliga och detaljerade beskrivningar av materialet.

Det andra steget av analysen var att systematisera den kvalitativa data som samlats in och göra en sållning av informationen från svaren för att kunna få en överblick av innehållet.

(18)

Det tredje steget, efter att studiens data genomgått en systematisering, var att skapa en ordning i materialet genom att göra en kodning av vad som hade sagts. Det kunde sedan skapas olika teman från det som hade sagts i intervjuerna, och utifrån detta så kunde textmaterialets innehåll öppnas upp för tolkning.

Analysen av den transkriberade data utgår från ISO 27000-seriens ISO 27001- standard (SiS, 2017a) och ISO 27002-standard (SiS, 2017b). Det är de standarder vi jämförde med, samt relevant litteratur rörande informationssäkerhet. Jämförandet genomfördes genom att se över de svaren från undersökningen och hur de överensstämde med frågorna, huruvida de hade en standard de arbetade efter och om de arbetade systematiskt med informationssäkerhet eller inte. Om så var fallet jämfördes de arbetssätten med ISO 27000-serien. Detta analyserades för att skapa en uppfattning om hur kommunens informationssäkerhet ser ut idag och hur det hade förändrats sedan undersökningarna från MSB (2016) och Åhlfeldt et al. (2016).

3.4 Validitet och reliabilitet

Informanterna i studien var personer som arbetade med kommunens informationssäkerhet och hade en god insikt i processerna. Då syftet med studien är att undersöka kommunernas eget arbete med informationssäkerhet och säkerhetsstandarder var de lämpliga informanter.

Studiens källor har en god tillförlitlighet. De källor som har använts i studien kom från tidigare forskning och från svenska myndigheter. ISO:s säkerhetsstandarder har också en hög trovärdighet bland organisationer och myndigheter. De rekommenderades dessutom av Myndigheten för samhällsskydd och beredskap för hur organisationer bör gå tillväga för att systematiskt arbete med informationssäkerhet (MSB, 2016).

3.5 Etik

I studien gjordes etiska avvägningar för intervjuerna och hur de skulle utföras. Det gjordes även bedömningar hur materialet från intervjuerna skulle hanteras. Dessa var etiska avvägningar som kunde finnas i Vetenskapsrådets rekommendationer för god forskningssed (2017) för intervjuer och datainsamling.

Innan intervjuerna utfördes fick informanterna skickat till sig en samtyckesblankett som innehöll information om studien, intervjun samt dess ämnen som personen skulle delta i (Bilaga 2). Samtyckesblanketten gav informanterna namn på den personen som skulle intervjuas för forskningsarbetet, samt den kommunen de representerade, skulle förbli konfidentiella uppgifter och skulle därför inte redovisas i studien.

Informanterna fick även reda på vad studiens syfte var, varför de hade valts för undersökningen och hur deras svar skulle användas i studien. Informanterna undertecknade sedan blanketten (Bilaga 2) och bekräftade därmed att de på förhand förstod vad de skulle delta i och att de gav sitt medgivande.

Detta var en etisk avvägning som gjordes för att personerna som intervjuades skulle vara medvetna om vad deras svar skulle användas till och därmed ge sitt fulla medgivande för att delta i undersökningen.

(19)

4 Empiriskt resultat

I följande kapitel redovisas det empiriska resultat som samlades in från intervjuer som gjordes med anställda på tre olika kommuner som hade insikt i det kommunala informationssäkerhetsarbetet och arbetet som skedde med säkerhetsstandarder.

Eftersom kommunernas identitet är konfidentiellt så benämns de som kommun 1, kommun 2 och kommun 3. Det empiriska resultatet för varje kommun är uppdelat utifrån 5 teman: Informanten, Kontinuitetsplan och riskbedömning, Lagar, Säkerhetsstandarder samt Budget och resurser. Detta var teman som utifrån en analys av de transkriberade intervjuerna ansågs vara framträdande och betydelsefulla.

Temaindelningen kunde även koncentrera resultatet från det omfattande textmaterial.

4.1 Kommun 1

Kommun 1 var undersökningens största kommun och informanten arbetade som informationssäkerhetssamordnare på kommunen. Informanten ansvarade över informationssäkerhet och dataskydd samt arbetade med kommunens strategiska förvaltning. I intervjun berättade informanten att kommunen arbetar systematiskt med informationssäkerhet. De hade riktlinjer, instruktioner, säkerhetspolicys och utbildningar för kommunens verksamheter, detta för att stärka kommunens informationssäkerhet.

4.1.1 Kontinuitetsplan och riskbedömning

Kommunen arbetade aktivt med informationssäkerhetsanalys och riskanalys.

Informanten uppgav att kommunen inte hade en kontinuitetsplan som var specifik för informationssäkerhet, utan att konituitetsplanen utgick från deras risk- och sårbarhetsanalys. Informanten uppgav att kommunen arbetade med olika typer av risker, däribland informationssäkerhetsrisker. Detta arbete gjordes likt konituitetsplanen i samordning med andra aktörer. Även verksamhetsrisker som inte var specifika för informationssäkerheten kunde betraktas som informationssäkerhetsrisker. Vad som kunde påverka verksamheten i stort riskerade även därigenom påverka informationssäkerheten. Ryggraden för arbetet med informationssäkerhetsrisker, som informanten beskrev det, var informationssäkerhetsanalysen. Förvaltningscheferna hade ansvaret att genomföra informationssäkerhetsanalysen samt risk- och sårbarhetsanalysen. I klassningen av informationen utgick kommunen också från säkerhetspolisens handledning och rekommendationer för hur information ska klassas.

4.1.2 Lagar

I frågorna och diskussionen som fördes om dataskyddsförordningen samt de lagar som kommuner måste följa sade informanten att de hade fungerat som ett viktigt verktyg i dennes arbete, och hjälpt till att höja informationssäkerheten på den interna agendan. Specifikt så hade dataskyddsförordningen fungerat som en språngbräda för att få in informationssäkerhet i säkerhetsarbetet. Detta möjliggjorde att konkret kunna peka på vad som var skyddsvärda uppgifter, informationsklassat samt vad som borde skyddas. Däremot uttryckte informanten upplevda svårigheter med granskande myndigheter i arbetet med informationssäkerheten, och poängterade

(20)

tillkortakommanden från deras sida gällande informationssäkerhet och förmågan att se verksamhetens helhetsarbete.

4.1.3 Säkerhetsstandarder

Det framkom att kommunen använde sig av säkerhetsstandarder, och specifikt nämndes säkerhetsstandardserien ISO 27000. Informanten berättade att det på vederbörandes initiativ hade skett en fördjupning hos kommunen i arbetet med säkerhetsstandarder och informationssäkerhet. Det framkom att kommunens säkerhetspolicy var utformad från säkerhetsstandardserien ISO 27000.

Informanten berättade att de instruktioner som var inrättade i kommunen för arbete med informationssäkerhet också var baserade på ISO 27001-versionen från 2017. Det framkom att personer i andra delar av verksamheten saknade insyn i vilka standarder som låg till grund för arbetet, policys och instruktioner.

Informationssäkerhetssamordningen försökte förmedla att det var utifrån ISO 27001 och ISO 27002 som detta skedde.

4.1.4 Budget och resurser

Kommun 1 var undersökningens största kommun i invånarantal och ekonomi.

Informanten nämnde att under dennes tid hade kommunen ökat arbetet med informationssäkerheten. Informanten uppgav att hen överlag var nöjd med kommunens informationssäkerhetsarbete och de resurser som stod till förfogande.

Dock uppgav informanten att det skulle vara önskvärt om det hade funnits fler dedikerade resurser till arbetet med informationssäkerheten. Bland annat nämndes de säkerhetsombud som personen arbetade tillsammans med och som fungerade som ambassadörer vid de olika kommunala förvaltningarna. Problemet var att de saknade definierade informationssäkerhets- och dataskyddsroller, de fungerade främst som kontaktytor och som förmedlade information. Informanten menade också att de var bra i arbetet med att analysera, men att den granskande delen av informationssäkerheten behövde stärkas. I slutet av diskussionen om budget och resurser nämnde hen följande

”Jag kommer inte att vara nöjd förens informationssäkerhet finns med i budgetformuleringar, det är först då det kommer att få rätt uppmärksamhet, det är först då som vi kommer kunna jobba framgångsrikt med ett systematiskt”

Informationssäkerheten hade lyfts upp och blivit viktigare för kommunen och bland dess verksamheter och förvaltningar. Det var fortfarande inte tillräckligt högt upp som det borde vara, menade informanten. Explicit utpekade resurser för informationssäkerhet var vad som behövdes.

4.2 Kommun 2

Kommun 2 var studiens minsta kommun och informanten arbetade som IT-chef på kommunen. Informanten beskrev hur de använde informationssäkerhetspolicy, handböcker och tillhörande riktlinjer som grund för deras informationssäkerhet.

Tillsammans med informationssäkerhetssamordnare som arbetade aktivt med informationssäkerheten följde de upp och rapporterade till länsstyrelsen att dessa krav

(21)

följdes. De nämnde även att kraven som kommunen hade var något högre än länsstyrelsen krav då kommunen ansåg att det var viktigt, men att det fortfarande gick att förbättra dessa krav ytterligare.

Enligt informanten från kommun 2 försökte de utbilda personalen på kommunen med så kallade nano-kurser. De fick information eller liknande via mejl som de tittade igenom och sedan dra nytta av. Utbildningen bestod av hur kommunanställda skulle följa de riktlinjer som fanns och förstå innebörden av informationssäkerhet. Dessa kurser hade i sin tur haft en väldigt hög genomförandegrad enligt kommunens informant. Dock beskrev informanten hur utbildning och annan typ av uppföljning hade genomförts som inte stod med i policyn, medan det som stod i policyn inte hade genomförts på samma sätt som det var tänkt.

Kommunen arbetade med SKR-verktyget Klassa för att klassa deras system som en del av deras arbete med riskbedömning. Informanten nämnde att vid uppstart av Klassa och när klassificeringar gjordes av system så följdes riktlinjerna. Däremot så genomfördes det inte kontinuerligt, vilket innebar att uppföljningen kring det inte gjordes eller uppdaterades.

4.2.2 Lagar

Utifrån kommunens perspektiv kring totalförsvaret fick de inte några specifika riktlinjer, däremot om de skulle ta emot krypterade filer behövde de uppfylla ett antal krav. Informanten poängterade att dessa former av krav gjorde det tydligare att beskriva för andra chefer inom kommunen hur de måste förhålla sig med informationssäkerhet, vilket var till stor hjälp att få upp deras ögon för informationssäkerhet. Utöver det så var det i högre utsträckning MSB som förmedlade riktlinjer när det gällde informationssäkerhet.

När dataskyddsförordningen infördes ansåg kommunen återigen att det hjälpte att få upp ögonen för medarbetare inom verksamheten och se hur viktigt det var med informationssäkerhet samt att sådana lagar blir praktiska exempel. Problemet med dessa lagar enligt kommunen var att de skapade sin egen del istället för att fokusera på att arbeta med all informationssäkerhet enligt dataskyddsförordningen samt ISO 27000. Istället blev det en separat avdelning som aktivt arbetade med just personuppgifter. Informanten ansåg att de borde arbeta på samma sätt med all typ av information med skillnaden att de kan klassas olika.

Informanten på kommunen påpekade att de försökte följa ISO 27000 men att själva arbetet kring informationssäkerhet inte var djupt grundat i det. En säkerhetsstandard som ISO 27000 ansågs bra och har sina punkter som blev självklara men som var svårt att införa inom hela verksamheten då inte alla förstod eller var villiga att ta del av den. Informanten menade också att de hade följt delar inom ISO 27000 innan införandet av dataskyddsförordningen och att de delade in arbetet för att kunna applicera det enligt ISO 27000. Hade de arbetat mer aktivt med ISO hade även arbetet med dataskyddsförordningen blivit smidigare.

(22)

När det kom till budget hade kommunen en tjänst på 25% som arbetade aktivt med informationssäkerhet. Det var den budget som gick att räkna på. Informanten sade även att det absolut hade hjälpt med fler resurser men att det som skulle göra störst skillnad var en aktiv person som brann för att bygga upp kommunens informationssäkerhet och det i sig behövde inte vara en stor kostnad. Det handlade om att sätta rätt person på jobbet och det kunde göra väldigt stor skillnad.

Informationssäkerhet var en stor del av det dagliga arbetet och skulle verksamheten fokusera på att förbättra vardagen med säkerhetsstandarder och följa dem generellt skulle mycket förbättras utan att det kostar något.

4.3 Kommun 3

Kommun 3 var undersökningens medelstora kommun och informanten arbetade som kommunens informationssäkerhetssamordnare och var en del av kommunens säkerhetsavdelning. Vederbörande angav att de tre viktigaste faktorerna för att upprätthålla en god informationssäkerhet i kommunen var dels att arbeta med styrdokument och säkerhetspolicys. Dels genom utbildningar och kompetenshöjande åtgärder riktade mot kommunens anställda, samt genom avstämningar med tjänstemannaledningen som de hade i kommunen för att för att flagga och synliggöra för informationssäkerhet så att det förblev relevant för kommunen. Kommunen arbetade med en internkontrollplan där informationssäkerhet var en kontrollpunkt inom planen. Det gjordes årligen en mätning av deras anställdas kunskap ute på respektive förvaltning.

Det fanns ingen direkt kontinuitetsplan specifikt för just informationssäkerhet, utan informationssäkerheten ingick i större diskussioner för kontinuitet som fördes på kommunen gällande säkerhet eller säkerhetsskydd. På säkerhetsavdelningen diskuterades bland annat vad som kunde hända om ett system inte hade internetanslutning eller om det inte fanns någon ström, och hur det i dessa scenarier skulle kunna påverka informationen i kommunens olika system. I arbetet med riskbedömningar för informationssäkerhet uppgav informanten att kommunen tidigare arbetat aktivt med SKR:s verktyg Klassa men att de på senare tid minskat användningen av det på grund av oklarheter kring verktygets säkerhet samt bakslag i deras försök att få sina frågor angående oklarheterna besvarade. De arbetade därför för att försöka ta fram en modell för informationsklassning för kommunen.

4.3.2 Lagar

De lagar som hade kommit i och med totalförsvaret sades ha lyft arbetet som gjordes på säkerhetsavdelningen. Satsningen som gjordes med totalförsvaret ledde till att relevansen för informationssäkerheten ökade. Informanten sade att detta innebar även att det blev lättare att kunna diskutera informationssäkerhet i och med att det fanns tvingande lagstiftning som kommunen måste förhålla sig till. Detta medförde att det behövdes föras diskussioner om totalförsvar och därmed informationssäkerhet då detta är en stor del av totalförsvaret. Även de lagar som kom i och med införandet av GDPR hade hjälpt kommunen att få ett fokus på informationssäkerhet.

(23)

Det var införandet av GDPR som hade fått kommunen att budgetera för tjänsten informationssäkerhetssamordnare inom säkerhetsavdelning. Informanten ville dock understryka att dessa lagar endast var en del av informationssäkerhetens större helhet.

Informanten uppgav att de på säkerhetsavdelningen samt andra delar av kommunen arbetade utifrån var ISO 27000. ISO 27000 var den säkerhetsstandardserie som låg till grund för kommunens styrdokument och IT-policys. Dessa säkerhetsstandarder låg till grund för nästan allt informationssäkerhetsarbete. Informanten framhävde att anledningen för att de använde sig av ISO 27000 var för att standarden var väldigt bra. Emellertid följde de den inte fullt ut. Informanten sa att de försökte arbeta som om de skulle kunna certifiera sig via ISO idag. Dock var detta inte var något de hade några som helst planer att göra då det inte fanns något egentligt egenvärde för en kommun att göra detta. Utöver ISO 27000 arbetade de även med hjälp av MSB:s metodstöd. De bitarna av ISO som inte var med hade utelämnats för att de inte arbetats med i tillräcklig utsträckning och inte för att det inte fanns ett behov av dem.

Informanten uppgav att ytterst få som hade jobbat med informationssäkerhet i den grad som de hade haft behov av, och att detta var något som var generellt vanligt inom det skrået. Informationssäkerheten, och den grad av arbete de lade på säkerhetsstandarder som ISO 27000, varierade stort mellan de olika delarna av kommunen. I vissa delar av kommunen och dess förvaltningar hade de kommit väldigt långt i sitt arbete, medan de i andra inte hade de inte kommit särskilt långt. Detta berodde enligt informanten mycket på att viss lagstiftning gällde för vissa förvaltningar men inte gällde för andra, och att de i och med detta var nödgade att prioritera informationssäkerhet i dessa förvaltningar.

Att besvara hur stor del av kommunens budget som ägnades specifikt åt informationssäkerhet menade informanten vara en svår fråga att besvara, men att lönen för dennes tjänst skulle kunna ses som en konkret sådan.

Mycket av kommunens informationssäkerhetsarbete grundade sig i skall- lagstiftningar som var tvingande för kommunen att följa, och om det inte fanns tvingande lagstiftningar att följa prioriterades informationssäkerhetsåtgärder inte högt. Informanten påpekade att kommunen inte var stor till befolkningen och därmed var skatteintäkterna begränsade. Åtgärder som skulle vara kommunen till gagn men som inte krävdes behövdes inte prioriterades och prioriterades i många fall inte då kommunens resurser var begränsade. Informanten upplevde att kommuners ekonomiska förutsättningar skulle vara särskilt begränsade och att de prioriterade det som de ansåg vara ens kärnverksamhet över några eventuella informationssäkerhetssatsningar.

Nyckeln till att förbättra informationssäkerheten på kommunen och dess förvaltningar menade informanten låg i resurser som tillägnas informationssäkerhet. Desto mer som tillägnades informationssäkerheten desto större sannolikhet att de skulle kunna nå ut och skapa ännu bättre hjälpmedel för verksamheterna. Resurstillskott skulle även stödja informantens möjlighet att hjälpa andra delar av den kommunala verksamheten att fördjupa sig i informationssäkerhet.

(24)

5 Analys

I följande kapitel kommer analysen av det empiriska materialet avhandlas. Kapitlet är uppdelat i fem delkapitel efter de fem större teman som upptäcktes i det transkriberade intervjumaterialet - Arbetet med säkerhetsstandarder, Lagarnas effekt på informationssäkerhetsarbetet, Resurser för informationssäkerhet, Uppföljning av informationssäkerhetsåtgärder och Risk- och kontinuitetshantering. Dessa kapitel har utformats efter det empiriska materialet och var de mest framträdande teman som framkom.

5.1 Arbetet med säkerhetsstandarder

Det framkom från intervjuerna att samtliga kommuner i undersökningen arbetade aktivt med informationssäkerhet och samtliga informanter uppgav att de arbetade med säkerhetsstandarder för det kommunala informationssäkerhetsarbetet. Informanterna valde alla att framhålla kommunernas olika säkerhetspolicys och riktlinjer för informationssäkerhet och det arbete som gällde för kommunerna som konkreta sätt de systematiserade informationssäkerhet.

Kommunerna arbetade för att upprätthålla en god informationssäkerhet genom att utbilda kommunanställda. Utbildning ämnade för att stärka informationssäkerheten på en organisation är något som rekommenderas i ISO 27002-standarden som en väsentlig säkerhetsåtgärd (SiS, 2017b). Denna åtgärd är från kommunerna är i enlighet med säkerhetstandardserien ISO 27000 vilket visar på att informationssäkerhetsarbetet sker inom ramen för vad som har rekommenderats av säkerhetsstandarden.

Samtliga av kommunernas säkerhetspolicys var till en betydande del baserade på ISO 27000. Dessa säkerhetspolicys och riktlinjer var i sin tur grundläggande för det kommunala informationssäkerhetsarbetet samt för det arbete som fortgick på de kommunala förvaltningarna. Inga av kommunernas informanter ansåg att det var nödvändigt för dem att certifiera sig för ISO 27000. Det poängterades däremot att standarden för deras arbete med informationssäkerhet med ISO 27000 skulle motsvara den standard som skulle krävas för en certifiering. Det vill säga att fokuset skulle ligga på den kvaliteten för arbetet som utfördes. En certifiering i sig ansågs inte av informanterna att vara av tillräckligt högt värde för kommunal verksamhet och att en sådan kostnad inte skulle kunna rättfärdigas. Att kommunerna arbetar med säkerhetspolicy för att upprätthålla informationssäkerheten är i enlighet med ISO 27002 som tydligt understryker vikten för en organisation att etablera och arbeta med säkerhetsstandarder för detta ändamål (Dhillon, 2017).

”Ett regelverk för informationssäkerhet, som inkluderar informationssäkerhetspolicyn, bör fastställas, godkännas av ledningen, publiceras och kommuniceras till medarbetare och relevanta externa parter (SiS, 2017b s.2)”

Det finns en klar koppling i det kommunala arbetet med informationssäkerhet och vad som rekommenderas av säkerhetsstandarden ISO 27002.

(25)

Alla kommunerna som deltog i undersökningen uppgav att de fick stöd i arbetet med informationssäkerhet från MSB. Informanten från kommun 1 uppgav att de hade utformat sin upphandlingsprocess utifrån MSB:s rekommendationer för informationssäkerupphandling (MSB, 2018a). Informanten från kommun 2 uppgav att det blev relevant att arbeta med ISO 27000 i och med rekommendationer från MSB angående säkerhetsstandarden (MSB, 2012). Samma informant trodde även att kommunen skulle ha klarat arbetet med dataskyddsförordningen bättre om de hade börjat arbeta med dessa säkerhetsstandarder tidigare. Informanten från kommun 3 uppgav att de i arbetet med ISO 27000 arbetade med hjälp av MSB:s metodstöd (MSB, 2018b), och att detta metodstöd var grunden till allt de gjorde.

Undersökningens resultat pekar därför på att MSB har haft en viktig roll i kommunalt informationssäkerhetsarbete och i hur de har arbetat med säkerhetsstandarder. MSB:s val av specifikt ISO 27000-serien har också haft en tydlig påverkan. Samtliga av informanterna uppgav även att de i arbetet med informationsklassning arbetade med SKRs verktyg Klassa. Klassa är i sin tur baserat på både SS-ISO/IEC 27001:2017 och 27002:2017 (SKR, u.å.a.). Kommunerna arbetar således med ett verktyg som baserats på säkerhetsstandarder för arbetet med klassning.

Undersökningen som genomfördes påvisar att säkerhetsstandarder var en grundläggande del av det kommunala arbetet med informationssäkerhet.

Säkerhetsstandarder användes för att utforma säkerhetspolicy, rutiner och riktlinjer för arbetet som skedde på kommunerna och deras förvaltningar. Säkerhetsstandarder, och framförallt ISO 27000-serien, hade informerat kommunerna i utformningen av dessa säkerhetspolicys, rutiner och riktlinjer och har därför fungerat som en väsentlig del av informationssäkerhetsarbetet. Undersökningen har även visat att det fanns en koppling mellan vad som rekommenderades i säkerhetsstandarden ISO 27000- standardserien och hur kommunerna arbetade för att upprätthålla den kommunala informationssäkerheten.

5.2 Lagarnas effekt på informationssäkerhetsarbetet

Resultatet från intervjuerna pekar på att lagstiftning har haft en betydande roll för hur kommunerna har arbetat med informationssäkerhet och på de informationssäkerhetsåtgärder som har vidtagits. Effekten av tvingande lagstiftning har kunnat skifta fokus till hur kommunerna och deras förvaltningar arbetar med informationssäkerhet. Resultatet har också visat att lagar har haft en effekt på resurser som kommunerna tillägnat informationssäkerhet. Detta tydliggjordes när informanter från kommun 1 och kommun 3 som arbetade med informationssäkerhetssamordning på kommunal nivå upplevde att de fick sina tjänster på grund av införandet av dataskyddsförordningen.

Forskning (Brodin, 2019) har kunnat visa att införandet av dataskyddsförordningen i den Europeiska unionens medlemsländer har påverkat och krävt förändringsåtgärder av de flest organisationer, både privata och offentliga. På samma sätt har detta även kunnat påverkat de tre kommunerna i undersökningen, som alla har behövt göra interna förändringar för att leva upp till de krav som ställs på dem som lagrare av information.

(26)

Tvingande lagar uppgavs av informanterna vara drivande för det kommunala informationssäkerhetsarbetet. Åtgärder som inte var tvingande tenderade att inte prioriteras lika högt även om det ansågs finnas fog för åtgärderna. Lagarna kunde fungera som ett redskap för att stärka arbetet med informationssäkerheten på kommunerna då de var enligt lag tvingade att göra det. När lagar och förordningar inte var tvingande fanns det enligt informanten från kommun 3 ett utrymme för att nedprioritera eller att helt avstå från att genomföra en åtgärd. I fallet med dataskyddsförordningen fanns det inte ett sådant utrymme, då misskötsel av exempelvis medborgares persondata kunde resultera i stora bötesbelopp (EU, 2016).

Samtliga av undersökningens informanter uppgav att dataskyddsförordningen hade fått ett stort genomslag i arbetet med informationssäkerhet för kommunerna. I intervjuerna med informanterna framkom det emellertid inte att NIS-direktivet skulle ha haft ett liknande genomslag som dataskyddsförordningen.

Att dessa lagar och förordningar har ett stort inflytande på kommunen och hur de arbetade med informationssäkerhet stämmer väl överens med studiens teoretiska ramverk. I det teoretiska ramverket beskrevs vikten av de olika författningarna, och de eventuella straffen som kan drabba en kommun om den inte följer de regler och restriktioner som finns skrivna i författning angående informationssäkerhet, informationssäkerhetsarbete samt ansvar för lagringen av persondata.

5.3 Resurser för informationssäkerhet

Informanter från samtliga av kommunerna uppgav att en tillgång till ytterligare resurser skulle stärka kommunernas arbete med informationssäkerhet. kommun 1 och kommun 3 betonade framförallt behovet av arbetskraft och mer tidsresurser tillägnade informationssäkerhetsarbetet på kommunerna. Kommun 1 och kommun 3 uppgav att de på grund av sina resursmässiga förutsättningar inte kunde arbeta med informationssäkerhet till den grad som de hade önskat. Emellertid betonade också dessa kommuners informanter att förbättringen av informationssäkerheten och informationssäkerhetsarbetet inte endast var en fråga om ytterligare resurser, utan att det var ett komplext samspel med kommunledningen. De uppgav även att det fanns flera faktorer som påverkade förutsättningarna för arbetet, och att resurser är en viktig sådan. Informanten från kommun 2, som var undersökningens minsta kommunen, uppgav att det nödvändigtvis inte var en resursfråga lika mycket som det var en effektivitetsfråga. Inga av kommunernas informanter uppgav att de på något sätt upplevde att de saknade resurser som krävdes för att kunna utföra och upprätthålla informationssäkerhetsarbetet. Inga av kommunernas informanter uppgav heller att det skulle finnas brister i den kommunala informationssäkerheten eller informationssäkerhetsarbetet som skulle kunna härledas till resursbrist. Däremot uppgavs det att ökade resurser skulle stärka arbetet med informationssäkerhet och därigenom stärka den kommunala informationssäkerheten.

Utöver förmågan att få ut resurser från kommunen uppgav informanten från kommun 2 att det även fanns en svårighet i att rekrytera rätt personal för arbetet. Denna svårighet uttrycktes dock inte av kommun 1 och kommun 3. Denna skillnad kan eventuellt härledas till att informanten från kommun 2 arbetade som IT-chef medan de andra informanterna arbetade som informationssäkerhetssamordnare. Denna skillnad i perspektiv kan bero på att de i tjänsten som

(27)

informationssäkerhetssamordnare inte var lika involverade i rekryteringsarbetet som en IT-chef. ISO 27001-standarden (SiS, 2017a) framhåller att organisationer ska fastställa och tillhandahålla de resurser som krävs för ledningssystemet för informationssäkerhet. Det är därför viktigt att även kunna tillhandahålla mänskliga resurser.

Att den minsta kommunen hade dessa problem kan även tyda på ekonomiska förutsättningar som finns för mindre kommuner. Tidigare forskning har kunnat påvisa att organisationer med mindre resurser har större svårigheter med informationssäkerhetsarbete (Hall et al., 2011) och att det kan uppstå ojämlikheter i informationssäkerheten mellan kommuner som har olika ekonomiska förutsättningar (Svärd, 2018).

Samtliga informanter som deltog i undersökningen uppgav att det var svårt att ge ett konkret svar för vilka specifika resurser som tillägnades informationssäkerhet.

Däremot kunde informationssäkerhetssamordningsrollen nämnas av informanterna från kommun 1 och kommun 3 som två konkreta kostnader, och kommun 2 nämnde även en 25% roll som en konkret, avgränsningsbar kostnad. Detta resultat återspeglar vad MSB:s analysrapport identifierade angående hur kommuner arbetar med budget för informationssäkerheten:

”Det är få av de svarande kommunerna som uppger att den utpekade funktionen för informationssäkerhet har en egen budget för att bedriva arbetet. Om medel avsätts till informationssäkerhetsarbetet så kommer dessa sannolikt från en budgetpost som även ska gå till andra ändamål (MSB 2016, s. 21)”

I detta hänseende har det inte har skett en förändring hos de tre kommunerna i jämförelse med vad som var fallet 5 år tidigare. Dock finns det tecken på ambitioner om att konkretisera resurs- och budgetfördelning för informationssäkerheten. Detta uttrycktes framförallt av informanten från kommun 1 vars uttryckliga mål var att informationssäkerhet skulle finnas med som en konkret budgetpost. MSB:s analysrapport (2016) pekar också ut att det fanns en brist från kommunerna i erbjudandet av informationssäkerhetsutbildningar till sina medarbetare. Detta var dock inget vi uppfattade från undersökningen med kommunerna. Tvärtom var informationssäkerhetsutbildning något som tycktes prioriteras och fanns i olika form hos samtliga av kommunerna. Här kan det eventuellt ha skett en förbättring i jämförelse med vad som framkom i MSB:s undersökning 5 år tidigare.

5.4 Uppföljning av informationssäkerhetsåtgärder

I undersökningen framkom det att det fanns brister bland samtliga av kommunerna i hänseende till intern uppföljning av säkerhetsåtgärder. Uppföljningsarbetet som utfördes av granskande myndigheter ansågs vara undermåliga enligt informanten från kommun 1. Informanten från kommun 2 uppgav att de på kommunen var tvungna att rapportera till länsstyrelsen, men menade att dessa ofta var medgörliga i sina granskningar. Informanten såg ett klart behov av att kommunen behövde förbättra sin interna uppföljningsförmåga. Informanten för kommun 2 menade på att kommunen var rent av dålig i arbetet med intern uppföljning av informationssäkerhetsåtgärder och att kommunen inte alltid lyckades nå upp till vad som stod skrivet i deras