Informationssäkerhet kräver långsiktigt arbete

Vad gör en kommun om alla IT-system ligger nere? Hur ser omsorgspersonalens rutiner ut om en kris inträffar? Informationssäkerhet står högt på agendan i många kommuner. God beredskap kräver långsiktigt, strukturerat arbete.

Informationssäkerhet har blivit alltmer aktuellt med anledning av olika cyberattacker som drabbar samhället och kommunerna. Kriget i Ukraina har ytterligare aktualiserat frågan.

En IT-attack leder till stora konsekvenser bland annat för socialtjänsten och äldreomsorgens möjligheter att utföra det dagliga arbetet. Både medarbetare och brukare använder i allt större utsträckning olika digitala system. För att kunna förebygga och i värsta fall hantera en eventuell krissituation är det därför av stor vikt att kommunerna ser över informationssäkerheten.

Vikten av krisberedskap – IT-attacken mot Kalix kommun

Den 16 december 2021 utsattes Kalix kommun för en IT-attack. Kommunens anställda kom inte åt sina IT-system och tvingades ställa om till analoga arbetssätt. Krisledningsstaben gjorde snabbt en inventering av hur det gick att nå personal och brukare, och som tur var kunde all kommunikation fortfarande ske via mobilen. För att kommunicera med medborgarna tog kommunen fram två telefonnummer dit alla kunde höra av sig med frågor. Dessutom användes en tillfällig webbplats.

Kalix kommun lyckades hantera krisen tack vare ett sedan tidigare långsiktigt arbete med krisberedskap. Redan 2018 tog kommunen fram en beredskapsplan. Socialförvaltningen hade också sedan flera år tydliga kontinuitetsplaner för alla verksamheter vid andra sorters kriser. Även erfarenheterna av pandemin hjälpte kommunen att öva och stärka beredskapen.

Allt detta visade sig vara till stor hjälp och gjorde att kommunen snabbt kom igång med krishantering efter IT-attacken. Stödet till brukarna påverkades aldrig. När det förebyggande arbetet med kontinuitetsplaner inleddes var det däremot många som inte förstod varför de skulle lägga tid på det – en inte helt ovanlig reaktion.

Trots att avbrotten i IT-systemen varade i drygt en månad har vård- och omsorgen nästan lyckats komma ikapp med dokumentationen i de digitala systemen. Allt är dock inte återställt i alla delar av socialtjänstens verksamheter.

Vill du höra mer om hur Kalix hanterade IT-attacken, lyssna på avsnitt 12 av SKR:s Podden om välfärdsteknik där Anna-Lena Andersson, socialchef i Kalix kommun och Jonas Nilsson, informationssäkerhetsspecialist på SKR, medverkar.

Lyssna på poddavsnittet med Kalix kommun:

Om IT-attacken i Kalix kommun och vikten av att ha en krisberedskap

God informationssäkerhet är ingen engångsinsats

Idag ser krisberedskapen olika ut i kommunerna. Vissa har kommit långt och gjort mycket inom informationssäkerhet medan andra står i startgroparna. Behovet av kunskap om vad informationssäkerhet innebär är stort.

Arbetet med informationssäkerhet är ingen engångsinsats utan bör pågå kontinuerligt. En framgångsfaktor är att ledningen i exempelvis social -/vård och omsorgsförvaltningen är delaktig och ansvarig för det stöd och de rutiner som tas fram. Chefer bär organisationens kultur och har en avgörande roll i arbetet med informationssäkerhet.

Den digitala tekniken kan bidra till trygghet, delaktighet och självständighet förutsatt att all information hanteras på ett säkert sätt. Det kan till exempel handla om mobila trygghetslarm, digital tillsyn, digitala lås och läkemedelsrobotar. För att uppnå det behövs ett strukturerat arbete med informationssäkerhet vid planering, införande och förvaltning av välfärdsteknik.

Övertorneå är en av modellkommunerna i SKR:s Kompetenscenter välfärdsteknik och ligger i framkant i digitalisering av äldreomsorgen. Under 2021 påbörjade kommunen ett strukturerat arbete med att skydda informationen i systemen inom äldreomsorgen. Processen är i full gång och det går att följa kommunens arbete i ett lärande exempel på SKR:s webbplats.

Tydligare statligt ledarskap

Även om informationssäkerhet är varje organisations ansvarsområde, ser SKR ett behov av att regeringen tar ledartröjan och säkerställer att Sverige som nation har ett starkt och samlat skydd mot cyberattacker. SKR vill bland annat se att regeringen ger en utpekad myndighet ett tydligare uppdrag och mandat att ansvara för koordinering och stöd till kommuner och regioner samt säkerställa att statens insatser tillgodoser deras behov och förutsättningar.

Staten bör också i dialog med kommuner och regioner utreda om det behövs en förstärkt nationell centraliserad förmåga till intrångsövervakning av vissa samhällskritiska funktioner på den lokala och regionala nivån.

Stöd från SKR

SKR erbjuder verktyget KLASSA där kommuner, inte minst den samlade socialtjänsten, kan göra informationsklassningar. Dessa resulterar i tydliga krav som bör användas i både upphandling och förvaltning av digitala lösningar, så att system och välfärdstekniska lösningar lever upp till kraven som ställs då informationen klassificeras. Under 2022 släpps en ny modul inom KLASSA med fokus på riskhantering. Ett antal vägledningar finns i KLASSA men också satsning på molntjänster och KLASSA för IOT (Internet Of Things).

SKR har även, med sikte på situationen i Ukraina, bjudit in samtliga IT-ansvariga från kommuner och regioner till ett digitalt samarbetsrum och till regelbundna träffar för att sprida information, dela erfarenheter och skapa förutsättningar för ökad samverkan.

Exempel på ytterligare bra information finns främst hos MSB och integritetsskyddsmyndigheten. Dessutom finns NIS-direktivet, en lagstiftning med kompletterande föreskrifter och vägledningar från olika myndigheter för hur organisationer ska angripa frågan. Ett tips för aktörer inom hälso- och sjukvårdsområdet är att hålla koll på IVO (Inspektionen för vård och omsorg).

Kommuner som behöver stöd i arbetet med informationssäkerhet kan nu ta del av SKR Kompetenscenter välfärdstekniks samlade information, guide, webbsändningar och utbildningar. Du håller dig enkelt uppdaterad genom att prenumerera på vårt nyhetsbrev!

Läs vidare

Skribent

Kommentarer

    Du måste vara inloggad för att få kommentera

    Stängd för fler kommentarer

    900

    Regler för kommentarer

    Kommentarer som innehåller stötande innehåll, eller innehåll som inte alls har med ämnet att göra kommer att sorteras bort.

    Här är våra regler:

    • Kommentarerna ska hålla en god ton.
    • Kommentarer får inte innehålla hat eller hot
    • Kommentarerna ska vara kopplade till inlägget
    • Kommentarer riktade till andra aktörer/verksamheter kommer inte att publiceras.
    • Kommentarer får inte utgöra spam. Spam är när inlägg av samma typ återkommer med hög frekvens från en eller ett fåtal användare.

    Kontakta oss

    Kontaktformulär SKR








    Om bloggen

    Vi som bloggar här arbetar med frågor om social omsorg och stöd på SKR.

    Vi skriver aktuellt om äldreomsorg, barn och unga, missbruk och beroende, funktionshindersfrågor och annat inom socialtjänsten.

    Prenumeration

    Prenumerera

    Sök i bloggen