Digitalisering

”Stora it-problem för FMV”

Försvarets materielverk levererar fordon och annan materiel samt tjänster till Försvarsmakten. De sköter också underhåll av försvarets helikoptrar, flygplan och ubåtar.
Försvarets materielverk levererar fordon och annan materiel samt tjänster till Försvarsmakten. De sköter också underhåll av försvarets helikoptrar, flygplan och ubåtar.

Försvarets materielverk har stora brister i sitt it-säkerhetsarbete. Det visar en granskning av Riksrevisionen, som Ny Teknik tagit del av.

Publicerad

I sju fall har personer fått behörighet i en av FMV:s it-miljöer, trots att det saknats godkännande från chef. Ett annat stickprov visade att 17 av 30 personer som avslutat anställning fortfarande hade åtkomst till it-systemet.

Redan 2013 hade Försvarets materielverk för avsikt att åtgärda hur behörigheter i dess it-system hanteras. Enligt Riksrevisionens granskning, som delgavs FMV, regeringen och försvarsdepartementet i april i år, är ”behörighetsmodellen inte färdigställd”. Riksrevisionen varnar på flera ställen i dokumentet att detta kan leda till ”otillbörlig åtkomst”.

Vidare saknar FMV en regelbunden uppföljning av sitt it-systems loggar. Det ”ökar risken för att inte upptäcka otillåten eller oönskad användning av it-resurser samt att inte upptäcka och snabbt kunna agera på säkerhetsincidenter”, skriver Riksrevisionen.

FMV blev indirekt indragna i it-skandalen kring Transportstyrelsen. SVT rapporterade att delar av register med fordon hos Försvarsmakten, FMV och Försvarets radioanstalt ”låg öppet tillgängliga för tekniker i utlandet”.

Läs mer:

Men Rebecca Ihrfors, it-chef på FMV, säger att deras it-säkerhetsrutiner inte påverkats av det som skett på Transportstyrelsen.

– Vi har hela tiden haft ett säkerhetsarbete som är kontinuerligt.

När Ny Teknik återger det som står i Riksrevisionens granskning svarar Ihrfors:

– Riksrevisionens rapporter hjälper oss att se vilka brister vi har. Man får aldrig fullödad säkerhet, man måste hela tiden förbättra sig och förändra sig.

Det Riksrevisionens rapport tycks visa är dock att vissa förändringar – som hur behörigheter hanteras – dröjt i fyra år.

– Behörighet är ett område vi tittat väldigt mycket på sedan ett och ett halvt år tillbaka.

Så det arbetet påbörjades före den här rapporten?

– Ja, detta är ju inte den första rapporten vi fått av Riksrevisionen. Sedan årsskiftet 2015–2016 har vi jobbat mycket med hur vi har tillämpat behörighetsmodellen.

Det är inte bara Försvarets materielverk som brister i säkerheten. Häromveckan gick regeringen ut med att de gett Försäkringskassan i uppdrag att erbjuda it-drift åt andra myndigheter. Myndigheten sköter redan driften åt Pensionsmyndigheten, ett samarbete som ska utökas nästa år. Men de granskningar Riksrevisionen gjort av Försäkringskassans it- säkerhet visar att de i flera år brustit i hanteringen av höga it-behörigheter. Det kan ”innebära ökad risk för obehörig åtkomst till program och information”.

Läs mer:

I ytterligare en färsk och omfattande granskning av nio samhällskritiska myndigheter, samt regeringen, Regeringskansliet och Ekonomistyrningsverket, konstaterar Riksrevisionen att ”arbetet med informationssäkerhet på de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt” och att ”det är allvarliga brister i myndigheternas informationssäkerhetsarbete”.

– De som jobbar med kärnverksamheten tycker inte att informationssäkerhet eller it-säkerhet är deras ansvar. Men informationssäkerhet handlar i grund och botten om riskvärdering och riskhantering. Det är beslut som måste upp på högsta ledningsnivå, säger Marcus Pettersson på Riksrevisionen.

Så ledningarna på de nio myndigheterna tror att it-säkerhet är ett it-specifikt problem?

– Absolut. De förstår inte att det är deras information och deras verksamhet det handlar om. De måste fråga sig vad som händer om den information de har en dag inte skulle finnas tillgänglig. Eller vad som händer om den informationen läcker ut. Därefter kan man ställa sig frågan hur man löser det rent tekniskt.

Vad vill ni ska ske härnäst?

– Vi vill att man tar tag i våra rekommendationer, både på myndighetsnivå och regeringsnivå.

Svidande siffror från MSB

Myndigheten för samhällsskydd och beredskap (MSB) kartlade 2014 hur statliga myndigheter följer MSB:s föreskrifter kring informationssäkerhet (se faktaruta). Av de 351 tillfrågade myndigheterna skötte 227 sitt eget informationssäkerhetsarbete. Resultatet för dessa lämnade en del att önska:

74 procent hade utsett en informationssäkerhetschef för att leda och samordna informationssäkerhetsarbetet.

26 procent kontrollerade inte att policyer och riktlinjer följdes av medarbetarna.

38 procent av dem som ledde informationssäkerhetsarbetet uppgavs sakna tillräcklig kompetens, resurser eller mandat för att genomföra uppdraget på ett tillfredsställande sätt.