Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Vi försökte skydda känslig information

Dammet efter it-säkerhetsskandalen på Transportstyrelsen har knappt lagt sig men för avgående CISO Tobias Ander och hans kollegor har den långa resan fram till de första tidningsrubrikerna inneburit många tvära kast mellan hopp och förtvivlan. 

Text anne hammarskjöld Foto creative commons 12 april 2018 säkerhet

20170213_Inrikesminister_Anders_Ygeman_Rosengard_50A9878_(32787305311)_2.jpg

Inrikesminister Anders Ygeman fick avgå när it-säkerhetsskandalen på Transportstyrelsen blev känd.

– Från säkerhetsorganisationens sida hade vi lämnat underlag inför upphandlingen av outsourcing och jag trodde aldrig att ledningen skulle godkänna konsekvenserna, säger Tobias Ander, Transportstyrelsens avgående CISO, chief information security officer, om beslutet från 2015 vars innebörd slog ner som en bomb i media i somras och bland annat har resulterat i omfattande KU-förhör och att två statsråd lämnat regeringen.

Läs mer: Sorglig rapport från Transportstyrelsen

Läs mer: Efter Transportstyrelsen: Nu ändras lagen

I det läget fattade Tobias Ander ett av sitt yrkeslivs svåraste beslut.

– Jag frågade mig hur jag skulle kunna gå vidare efter detta och om det skulle vara bättre att jag lämnade Transportstyrelsen. Men jag insåg att det bästa jag kunde göra i det läget var att förhålla mig lojal till mitt uppdrag och försöka skydda den känsliga informationen så gott jag och mina kollegor inom säkerhetsområdet kunde.

tobiasander.jpg

Tobias Ander är Transportstyrelsens avgående CISO.

Sanningen skulle fram

Beslutet om att stanna kvar föddes också ur vetskapen om att han och kollegorna hela tiden skött sitt uppdrag.

– Från upphandlingen 2013 och framåt har vi gått så långt vi har kunnat enligt vårt mandat. Jag hade en fast tro på att vi inom säkerhetsområdet gjorde rätt saker men att vi inte kunde styra över de felaktiga besluten. Under de senaste två åren har vi hela tiden kastats mellan hopp och förtvivlan.

I detta vacuum av osäkerhet utvecklade Tobias Ander och hans kollegor med ansvar för informations- och it-säkerheten ett starkt och nära samarbete.

– Vi ansvarade för olika delar, där jag jobbade mer internt på Transportstyrelsen. Bland annat med att ta fram förslag på interna riktlinjer och regelverk som beslutsunderlag för ledningen. Vi försökte agera taktiskt och anpassa oss efter var det gick att jobba och där motståndet var mindre både internt och gentemot underleverantören. Förutom övertygelsen om att vi gjorde vad vi kunde har vi haft en bra och öppen diskussion med stor respekt för vår gemensamma målbild för hur detta kan och ska fungera.

Prisad sammanhållning

Den sammansvetsade arbetsgruppen med Tobias Ander, internrevisionschef Annette Olofsson, Johan Eriksson,

Vi som jobbade med säkerhet hade hela tiden trott att det som hänt skulle komma ut men vi visste såklart inte när eller hur.

tobias ander

tidigare Chief IT Security Officer, och Jens Johanson, Chief Security Officer, har nyligen uppmärksammats med GRC-priset för hur de ”under händelserna på Transportstyrelsen samarbetat för att stärka och skydda sin organisation och för att skydda landets och skattebetalarnas intressen”. Priset är ett uppskattat erkännande.

– Det betyder mycket att människor utanför organisationen tycker att det vi gjort är bra, säger Tobias Ander.

Många ovetande

I januari 2017 fick så organisationen den första signalen om något höll på att hända.

– När GD fick sparken kunde vi ana vad det berodde på. Vi som jobbade med säkerhet hade hela tiden trott att det som hänt skulle komma ut men vi visste såklart inte när eller hur. Samtidigt fanns det många i organisationen, också bland de som jobbade med it-säkerhet, som inte hade en aning om vad som pågått. Bland annat för att problemen med upphandling hemlighållits för många. För många medarbetare har det som hänt varit ett hårt slag.

Strategi säkerhet 2018

Strategi säkerhet äger rum för första gången den 19 april i Epicenter i Stockholm. 

Eventet beskrivs som en mötesplats där säkerhet står i fokus, och som samlar beslutsfattare från samhällets alla aktörer. Det anordnas för att kraftsamla och ta ett strategiskt nästa kliv för ett säkrare Sverige.

Tobias Ander är en av många talare tillsammans med bland andra Mikko Hyppönen, F-Secure, Predrag Mitrovic, Microsoft, Christoffer Callender, McAfee och Johan Jarl, Trend Micro. 

Anmäl dig till dagen här.

Credd inte kritik

Såväl Transportstyrelsens egen som regeringens granskning av händelserna som ledde fram till it-säkerhetsskandalen visar på en lång kedja av orsak och verkan. Tobias Ander har själv inte hunnit smälta alla tankar, erfarenheter och intryck från de senaste åren men han framhåller att informationssäkerhet måste vara en del av kulturen i alla organisationer.

– Det är i första hand en fråga om styrning och ledning, om att lyssna på medarbetarna och uppmuntra dem att dra sitt strå till stacken. Den medarbetare som rapporterar att han eller hon gjort en säkerhetsmiss ska få credd och hjälp, absolut inte kritik för det. När det gäller säkerhet kan ingen någonsin luta sig tillbaka och ta läget för givet. Det gäller att hela tiden gå tillbaka, utvärdera och lära till exempel av tidigare upphandlingar. Transportstyrelsen hade med stor sannolikhet valt att outsourca driften men hade informationssäkerhetsfrågorna funnits med från början hade beslutet och genomförandet kunnat vara mer genomtänkt.

Årets GRC-profil

Tävlingen uppmärksammar individer som genomfört enastående insatser inom GRC, governance, risk och compliance. GRC är samlingstermen för organisationers arbete inom ledning/styrning, riskhantering samt efterlevnad av interna och externa regelverk.

Att hantera dessa discipliner som en enhet höjer förmågan att undvika konflikter, överlappningar och luckor. Därför verkar Årets GRC-profil för att öka förståelsen för GRC.

Finns det någon förklaring i att Transportstyrelsen är en politiskt styrd organisation?

– Det är svårt för mig att avgöra hur det fungerar i andra politiskt styrda organisationer. Men i en privat organisation är det ägarna som styr och då kan det också hända att målet blir viktigare än de givna förutsättningarna. På så sätt är nog styrningen i politiken lik den i andra organisationer och det finns alltid stora risker med snabba beslut och bristande kompetens.

Nu blir Tobias Ander CISO på Örebro kommun.

Rekommenderad läsning

Sorglig rapport från Transportstyrelsen

24 jan 2018 säkerhet

militar-i-bakhall.jpg militar-i-bakhall.jpg militar-i-bakhall.jpg

När Transportstyrelsen presenterade sin rapport över säkerhetshaveriet i somras var slutsatserna på flera sätt värre än vad många befarat. Information som rör försvaret mot terrorism är röjd och det som hänt har stor inverkan på andra myndigheter.

Attacker men inga rapporter

10 nov 2017 säkerhet

transportstyrelsen .jpg transportstyrelsen .jpg transportstyrelsen .jpg

Trots en myckenhet av ransomware och andra attacker så är det fortfarande få incidenter riktade mot myndigheter som rapporteras till MSB. Hittills i år har det rapporterats in 220 attacker mot totalt 244 myndigheter.

 

Säkerhetsåret 2017

27 dec 2017 säkerhet

folk.jpg folk.jpg folk.jpg

Skandalen på Transportstyrelsen, allt mer GDPR-oro och ett exploderande antal ransomware-attacker - säkerhetsåret 2017 har varit intensivt. Och inget tyder på en avtrappning nästa år. Voister summerar 2017 och blickar framåt.

IoT är årets största hot

19 mar 2018 säkerhet

Mikko_960x640.jpg Mikko_960x640.jpg Mikko_960x640.jpg

Internet of things kan i år komma att bli vad ransomware var förra året, nämligen det största hotet mot privatpersoner och företag. Det menar Mikko Hyppönen, F-Secure, som i april kommer till Sverige och talar på Strategi säkerhet 2018.

Försäkringskassan satsar på AI

27 apr 2018 digit

försäkringskassan-960640.jpg försäkringskassan-960640.jpg försäkringskassan-960640.jpg

Det är fortfarande ett oklart rättsläge huruvida Försäkringskassan ska ta över andra myndigheters it-drift. Men oavsett fortsätter Försäkringskassan sitt digitaliseringsarbete som nu även innefattar AI - för att demokratisera myndighetens handläggningar.

Jakten på säkerhet

23 apr 2018 säkerhet

mikko1.png mikko1.png mikko1.png video

I takt med att IoT blir allt vanligare i våra hem krävs regleringar och mer kunskap bland konsumenter för att vi ska hålla oss säkra från cyberattacker. Samtidigt letar säkerhetsföretagen med ljus och lykta efter talanger som kan bygga framtidens AI-försvar.

Hotet från kreativ personal

3 maj 2018 säkerhet

röd gammaldags stor stol mot står ensam mot en vägg med röda tapeter.jpg röd gammaldags stor stol mot står ensam mot en vägg med röda tapeter.jpg röd gammaldags stor stol mot står ensam mot en vägg med röda tapeter.jpg video

Storbolaget Elfa tillverkar förvaringslösningar och för att verksamheten ska flyta krävs det att den en säker digital infrastruktur. I dagsläget kommer det största hotet från så kallad shadow-it.

Så skyddar du din data

16 maj 2018 säkerhet

people-town-cloud-960640.jpg people-town-cloud-960640.jpg people-town-cloud-960640.jpg video

Hoten med molntjänster är många och det största är att anställda inte har koll på vilken information de lägger i molnet. Det menar Tobias Ander, före detta informationssäkerhetsansvarig på Transportstyrelsen. Dessutom luras många att tro att ett lokalt skydd innebär en säker drift. 

Efter Transportstyrelsen – nu ändras lagen

14 dec 2017 säkerhet

flygplan-transportstyrelsen-skyddslag2.jpg flygplan-transportstyrelsen-skyddslag2.jpg flygplan-transportstyrelsen-skyddslag2.jpg

En ny lagrådsremiss föreslår att den befintliga Säkerhetsskyddslagen framöver även ska omfattas av privata företag som sysslar med verksamhet som rör rikets säkerhet. Lagen är kopplat till brottsbalken, vilket innebär att fängelse kan bli påföljd.