Det är en riktigt dålig bild som tecknas i Myndigheten för civilt försvars rapport om cybersäkerhet inom offentliga organisationer och förvaltning.
Mätningen bygger på organisationernas egen redovisning av hur deras säkerhetsarbete bedrivs inom ett antal arbetsområden. Skalan går från nivå ett till nivå fyra. Nivå ett är miniminivån – att grunderna finns på plats. Två innebär viss systematik. Tre indikerar ett arbete som ligger nära eller uppfyller lagkrav. Fyra innebär ett avancerat arbete med kontinuerliga förbättringar.
Av de 47 organisationer som genomförde samtliga fyra mätningar – informationssäkerhet, IT-säkerhet, OT-säkerhet och säkerhet i digitala leveranskedjor – var det endast tre som nådde nivå ett. 44 av 47 organisationer uppfyller inte de mest grundläggande kraven för ett systematiskt cybersäkerhetsarbete.
Exkluderas den operativa tekniken (OT) – alltså styrsystem för vattenrening, elförsörjning, fjärrvärme och andra samhällskritiska system – blir resultatet bara marginellt bättre. Av 188 organisationer nådde endast två stycken nivå tre. 78 procent når inte ens upp till miniminivån.
Inom området informationssäkerhet klarar nästan sex av tio inte ens nivå ett. Endast sex procent totalt, och nio procent av myndigheterna, når upp till nivå tre. Det är en anmärkningsvärt låg siffra, givet att det i praktiken motsvarar föreskrifter som gällt sedan 2009.
Situationen är likartad när det gäller den rena IT-miljön. Här saknar drygt hälften grundläggande skydd för nätverk, servrar och identitetshantering – de komponenter som varje modern verksamhet i dag är helt beroende av för att fungera.
Särskilt kritiskt är läget inom den operativa tekniken. Här saknar nio av tio grunderna i sitt systematiska säkerhetsarbete, och inte en enda aktör når upp till nivå tre. Det här handlar inte om kontorsnätverk och e-post, utan om styrsystem som håller uppe vår vardag. Det är den digitala ryggraden i vårt fysiska samhälle.
Till detta ska läggas växande sårbarhet kring digitala leveranskedjor. Sju av tio saknar grunderna i arbetet med att säkra sina digitala beroenden, och endast sex procent når nivå tre. Det är en oroande siffra med tanke på att många av dagens största cyberincidenter sprids just via leverantörsledet.
Ett enda intrång hos en tjänsteleverantör kan i värsta fall slå ut hundratals organisationer samtidigt. Minns till exempel när Miljödata, som används av ungefär 80 procent av landets kommuner och regioner, utsattes för en misstänkt utpressningsattack.
Det här är inte alls bra. Digital infrastruktur är i dag lika vital för samhället som vägar, järnvägar och flygplatser. Vi hade aldrig accepterat att 78 procent av landets kommuner saknade grunderna i sitt väghållningsarbete – ändå är det precis där vi befinner oss när det gäller vår digitala säkerhet. Glappet mellan vårt totala beroende av digital teknik och vår förmåga att skydda den är systemfarlig underlåtenhet. För cybersäkerhet är inte en isolerad IT-fråga – det är infrastrukturen bakom all annan infrastruktur. Utan den faller allt.
