Sju av tio organisationer har allvarliga brister i sitt säkerhetsarbete
Nästan sju av tio organisationer i offentlig förvaltning saknar de mest grundläggande delarna i ett systematiskt informations- och cybersäkerhetsarbete. Det visar undersökningen Infosäkkollen som MSB genomförde för andra gången maj-september 2023.
Cybersäkerhetsnivån i samhället måste förbättras. Omvärldsläget och den senaste tidens it-incidenter som fått stora konsekvenser för en rad organisationer aktualiserar vikten av ökad förändringstakt. Nu visar MSB:s undersökning Infosäkkollen att hela sju av tio organisationer saknar de mest grundläggande delarna i ett systematiskt informations- och cybersäkerhetsarbete. Drygt hälften av organisationerna i offentlig förvaltning deltog i undersökningen. Resultatet är något bättre än första gången undersökningen gjordes 2021, men mer behöver göras för att stärka upp säkerhetsarbetet.
– Återigen konstaterar vi att förutsättningarna för att bedriva ett systematiskt och riskbaserat informations- och cybersäkerhetsarbete saknas utan ledningens löpande engagemang. För att kunna arbeta systematiskt över tid måste säkerhetsarbetet prioriteras och tilldelas resurser, säger Åke Holmgren, chef för avdelningen för cybersäkerhet och säkra kommunikationer vid MSB.
Eftersom väsentlig förbättring uteblivit kvarstår och skärps de rekommendationer MSB tidigare har givit organisationer. För att informations- och cybersäkerhetsarbetet ska ta fart rekommenderar MSB
- en särskild satsning gällande finansiering till informations- och cybersäkerhetsarbetet. Det är mer ekonomiskt hållbart att förekomma incidenter genom att förebygga dem, än att städa upp efter dem.
- att säkerhetsarbetet bedrivs mer effektivt. Här finns en roll för näringslivet i att utveckla och tillhandahålla verktyg, teknologi och tjänster som kan bistå samhällsviktiga verksamheter i det systematiska informations- och cybersäkerhetsarbetet.
- en särskild satsning gällande finansiering för att stödja CISO, rollen som leder och samordnar informationssäkerhetsarbetet i en organisation. Pengarna rekommenderas gå till att utveckla samverkan med motsvarande funktioner i andra organisationer för gemensamt lärande och ökad förbättringstakt. Det måste paras med att ledningar ger CISO det mandat som krävs för att ha den styrande och samordnande roll som arbetet kräver.
Sammantaget framkommer en bild av att organisationsledningarna inte engagerar sig, prioriterar eller resurssätter förbättringsarbetet i den utsträckning som krävs. Förutom brister i budgetering syns avsaknaden av resurser även gällande personal. Av de som rapporterade in Infosäkkollen angav nästan hälften att de arbetar med informations- och cybersäkerhet motsvarande ungefär 25 procent.
– För ett motståndskraftigt samhälle, särskilt utifrån nuvarande säkerhetspolitiska läge, är det avgörande att det finns dedikerad personal som har det mandat och de resurser som krävs för att stärka informations- och cybersäkerhetsarbetet i samhällsviktiga verksamheter, säger Mathias Antonsson, senior analytiker med samordningsansvar för den strategiska cybersäkerhetsanalysen på MSB.
Det positiva är att för de organisationer vars ledningar engagerat sig i säkerhetsarbetet ses ett bättre resultat i Infosäkkollen. Så med ett ökat engagemang och tillförsel av resurser kommer förbättring.
It-säkkollen ny undersökning som visar bättre resultat
Parallellt med Infosäkkollen genomförde MSB, på uppdrag av regeringen, även It-säkkollen. Totalt 267 offentliga organisationer har deltagit i självskattningsundersökningen som visar ett generellt bättre resultat i medverkande organisationers it-säkerhet, jämfört med deras informationssäkerhet. Nivån av it-säkerhet bedöms ligga på steg tre av fyra i modellen, vilket motsvarar ”visst skydd”. It-säkkollen kommer att utvecklas och stärkas metodologiskt inför mättillfället 2025.
MSB genomför normalt undersökningarna vartannat år, men regeringen har uppdragit åt myndigheten att genomföra Infosäkkollen och It-säkkollen även 2024. Lanseringsdatum är 3 april 2024.
Mer om cybersäkerhetskollen - samlingsnamnet för MSBs informations- cybersäkerhetsmätningar