Vi i Sverige har ofta uppfattningen att vi lever i ett land där vi har en mycket hög efterlevnad av de olika regler som finns i samhället. Så är det inte alls. Tvärtom struntar många myndigheter och verksamheter inom den offentliga sektorn i uppfyllandet av regler och lagar om deras efterlevnad inte kontrolleras. Även inom den offentliga sektorn är det idag ofta verksamhetens behov och risken att bli påkommen som styr investeringar. Självklart är grunden i allt säkerhetsarbete riskkalkylen, men här är det inte risken för informationsläckage som styr utan risken att ett informationsläckage upptäcks och uppmärksammas i pressen.

Sverige har, liksom andra länder i Europa, ett antal informationssäkerhetsregler som påverkar offentlig sektor. Detta omfattar, men begränsas inte till, bl.a PUL och Patientdatalagen. I andra länder som t.ex England finns mycket hårda krav på efterlevnad av dessa informationssäkerhetsregler. Många är de som hanterar känslig information om medborgarna men hur hanteras informationen i Sverige?

Vi gjorde för ungefär ett halvår sedan en undersökning bland ett stort antal kommuner i Mälardalen om hur de tillåter de anställda att hantera information i och utanför verksamheten. Det visar sig att så gott som samtliga tillåter sina anställda att använda oskyddade USB-minnen inom och utanför verksamheten. Det visar sig också att de anställda har i genomsnitt 6st USB minnen per anställd och att 66% av dessa tappas bort. Ändå hänvisar man till tjänstemannaansvaret och att de anställda vet att de inte skall lagra känslig information på andra ställen än inom nätverket. Många säger sig inte veta om att man skulle hantera någon känslig information och att all information (dvs din personliga information som kommunen hanterar) ändå är offentlig. Endast en handfull kommuner visar intresse för att ge de anställda möjlighet att använda säkra USB-minnen istället, trots att dessa kostar försumbart mer.

Gång efter gång ser vi rapporter om borttappad och upphittad information i pressen. De senaste åren haglar läckorna tätt och vi kan läsa om allt från lärare som tappar USB-minnen med information om eleverna till medarbetare på militära underrättelsetjänsten som glömmer minnen med försvarhemligheter i biblioteksdatorer. Om något inträffar faller ofta ansvaret på den enskilde anställde som blir uthängd och utpekad samt att man hänvisar till de arbetsinstruktioner som finns i verksamheten. När man pratar med IT-avdelningarna pekar dessa på politikerna som inte fattat beslut i frågan varför ingen budget finns för projektet. Politikerna känner i sin tur inte till de tekniska möjligheterna eller den potentiella hotbilden. Personalavdelningarna hänvisar till IT och verkar utifrån sett inte involverade i att tillhandahålla rätt redskap för de anställda gällande detta område.

Så vem är det då som har ansvaret för att din information hanteras på ett säkert sätt? Jag tror inte att någon av oss skulle vilja att den information som kommuner och myndigheter hanterar om oss skulle hamna på villovägar. Det kan gälla allt från bygglovsansökningar till dina barns utvecklingssamtal i skolan eller kontakter med sociala myndigheter, stödinsatser, kontaktpersoner etc. Som det ser ut nu kommer det inte att hända något förrän medborgarna kräver redovisning för hur deras information hanteras och hur kommunerna använder skattebetalarnas pengar.

Inuit är specialister inom just säkerhetsområdet och jobbar idag med ca hälften av landets landsting och kommuner. En del av dessa har varit föreblider och bedriver ett mycket seriöst säkerhetsarbete. Vi hjälper t.ex verksamheterna att sätta upp skyddsbarriärer för mail- och webbtrafik, hantera hot från virus och annan malware på klienter, servers och mobiltelefoner, kryptera information i vila och i rörelse och hantera säker inloggning i systemen. Inom just det aktuella området väljer många en enkel väg att gå; det finns färdiga krypterade USB-minnen som kan hanteras i en central funktion, t.ex er egen helpdesk. Om kommunen bestämmer sig för att endast dessa säkra USB-minnen får användas för extern lagring av intern information har man både sett till att personalen kan jobba med den interna informationen var som helst och samtidigt tillsett att om minnet skulle glömmas eller tappas så kan ingen obehörig komma åt informationen. De är lika enkla att köpa som osäkra minnen och finns bl.a tillgängliga via återförsäljare som ATEA och Dustin.

Lösningen används redan idag av en del av våra hårt granskade myndigheter samt även en del kommuner. I Storbrittanien har nyligen hela den nationella hälsoverkamheten (NHS) valt att standardisera på SafeStick. Minnena är utvecklade i Sverige och 95% av företagets försäljning sker idag på export, mycket beroende på att dessa tankegångar kommit längre i andra länder och att man är mer rädd att bli satt till offentlig skampåle i pressen där.

När kommer du att kräva att få veta hur din och dina barns eller anhörigas information hanteras av det offentliga Sverige?