Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Vi försökte skydda känslig information

20170213_Inrikesminister_Anders_Ygeman_Rosengard_50A9878_(32787305311)_2.jpg

Inrikesminister Anders Ygeman fick avgå när it-säkerhetsskandalen på Transportstyrelsen blev känd.

Dammet efter it-säkerhetsskandalen på Transportstyrelsen har knappt lagt sig men för avgående CISO Tobias Ander och hans kollegor har den långa resan fram till de första tidningsrubrikerna inneburit många tvära kast mellan hopp och förtvivlan. 

– Från säkerhetsorganisationens sida hade vi lämnat underlag inför upphandlingen av outsourcing och jag trodde aldrig att ledningen skulle godkänna konsekvenserna, säger Tobias Ander, Transportstyrelsens avgående CISO, chief information security officer, om beslutet från 2015 vars innebörd slog ner som en bomb i media i somras och bland annat har resulterat i omfattande KU-förhör och att två statsråd lämnat regeringen.

Läs mer: Sorglig rapport från Transportstyrelsen

Läs mer: Efter Transportstyrelsen: Nu ändras lagen

I det läget fattade Tobias Ander ett av sitt yrkeslivs svåraste beslut.

– Jag frågade mig hur jag skulle kunna gå vidare efter detta och om det skulle vara bättre att jag lämnade Transportstyrelsen. Men jag insåg att det bästa jag kunde göra i det läget var att förhålla mig lojal till mitt uppdrag och försöka skydda den känsliga informationen så gott jag och mina kollegor inom säkerhetsområdet kunde.

tobiasander.jpg

Tobias Ander är Transportstyrelsens avgående CISO.

Sanningen skulle fram

Beslutet om att stanna kvar föddes också ur vetskapen om att han och kollegorna hela tiden skött sitt uppdrag.

– Från upphandlingen 2013 och framåt har vi gått så långt vi har kunnat enligt vårt mandat. Jag hade en fast tro på att vi inom säkerhetsområdet gjorde rätt saker men att vi inte kunde styra över de felaktiga besluten. Under de senaste två åren har vi hela tiden kastats mellan hopp och förtvivlan.

I detta vacuum av osäkerhet utvecklade Tobias Ander och hans kollegor med ansvar för informations- och it-säkerheten ett starkt och nära samarbete.

– Vi ansvarade för olika delar, där jag jobbade mer internt på Transportstyrelsen. Bland annat med att ta fram förslag på interna riktlinjer och regelverk som beslutsunderlag för ledningen. Vi försökte agera taktiskt och anpassa oss efter var det gick att jobba och där motståndet var mindre både internt och gentemot underleverantören. Förutom övertygelsen om att vi gjorde vad vi kunde har vi haft en bra och öppen diskussion med stor respekt för vår gemensamma målbild för hur detta kan och ska fungera.

Prisad sammanhållning

Den sammansvetsade arbetsgruppen med Tobias Ander, internrevisionschef Annette Olofsson, Johan Eriksson,

Vi som jobbade med säkerhet hade hela tiden trott att det som hänt skulle komma ut men vi visste såklart inte när eller hur.

tobias ander

tidigare Chief IT Security Officer, och Jens Johanson, Chief Security Officer, har nyligen uppmärksammats med GRC-priset för hur de ”under händelserna på Transportstyrelsen samarbetat för att stärka och skydda sin organisation och för att skydda landets och skattebetalarnas intressen”. Priset är ett uppskattat erkännande.

– Det betyder mycket att människor utanför organisationen tycker att det vi gjort är bra, säger Tobias Ander.

Många ovetande

I januari 2017 fick så organisationen den första signalen om något höll på att hända.

– När GD fick sparken kunde vi ana vad det berodde på. Vi som jobbade med säkerhet hade hela tiden trott att det som hänt skulle komma ut men vi visste såklart inte när eller hur. Samtidigt fanns det många i organisationen, också bland de som jobbade med it-säkerhet, som inte hade en aning om vad som pågått. Bland annat för att problemen med upphandling hemlighållits för många. För många medarbetare har det som hänt varit ett hårt slag.

Strategi säkerhet 2018

Strategi säkerhet äger rum för första gången den 19 april i Epicenter i Stockholm. 

Eventet beskrivs som en mötesplats där säkerhet står i fokus, och som samlar beslutsfattare från samhällets alla aktörer. Det anordnas för att kraftsamla och ta ett strategiskt nästa kliv för ett säkrare Sverige.

Tobias Ander är en av många talare tillsammans med bland andra Mikko Hyppönen, F-Secure, Predrag Mitrovic, Microsoft, Christoffer Callender, McAfee och Johan Jarl, Trend Micro. 

Anmäl dig till dagen här.

Credd inte kritik

Såväl Transportstyrelsens egen som regeringens granskning av händelserna som ledde fram till it-säkerhetsskandalen visar på en lång kedja av orsak och verkan. Tobias Ander har själv inte hunnit smälta alla tankar, erfarenheter och intryck från de senaste åren men han framhåller att informationssäkerhet måste vara en del av kulturen i alla organisationer.

– Det är i första hand en fråga om styrning och ledning, om att lyssna på medarbetarna och uppmuntra dem att dra sitt strå till stacken. Den medarbetare som rapporterar att han eller hon gjort en säkerhetsmiss ska få credd och hjälp, absolut inte kritik för det. När det gäller säkerhet kan ingen någonsin luta sig tillbaka och ta läget för givet. Det gäller att hela tiden gå tillbaka, utvärdera och lära till exempel av tidigare upphandlingar. Transportstyrelsen hade med stor sannolikhet valt att outsourca driften men hade informationssäkerhetsfrågorna funnits med från början hade beslutet och genomförandet kunnat vara mer genomtänkt.

Årets GRC-profil

Tävlingen uppmärksammar individer som genomfört enastående insatser inom GRC, governance, risk och compliance. GRC är samlingstermen för organisationers arbete inom ledning/styrning, riskhantering samt efterlevnad av interna och externa regelverk.

Att hantera dessa discipliner som en enhet höjer förmågan att undvika konflikter, överlappningar och luckor. Därför verkar Årets GRC-profil för att öka förståelsen för GRC.

Finns det någon förklaring i att Transportstyrelsen är en politiskt styrd organisation?

– Det är svårt för mig att avgöra hur det fungerar i andra politiskt styrda organisationer. Men i en privat organisation är det ägarna som styr och då kan det också hända att målet blir viktigare än de givna förutsättningarna. På så sätt är nog styrningen i politiken lik den i andra organisationer och det finns alltid stora risker med snabba beslut och bristande kompetens.

Nu blir Tobias Ander CISO på Örebro kommun.

12 april 2018 Uppdaterad 5 mars 2019 Reporter anne hammarskjöld säkerhet Foto creative commons

Rekommenderad läsning

Lagenhet 960640

Böter för bevakning

16 dec 2020 säkerhet

Datainspektionen utfärdar en sanktionsavgift på 300 000 kronor mot ett bostadsbolag. Anledningen är att bolaget haft olaglig kamerabevakning i ett flerbostadshus.

gammaldags telefonlur hänger ner mot ljusblå bakgrund.jpg

Svenskt 5G säkras

14 apr 2020 säkerhet

Post- och telestyrelsen, PTS, får i uppdrag av regeringen att kartlägga de största hoten och riskerna med svenska kommunikationsnät. Det gäller särskilt de kommande 5G-näten.

kina-ryssland-flaggor.jpg

Säpo om cyberhot

27 mar 2020 säkerhet

Cyberspionaget mot Sverige från Kina, Ryssland och Iran ökar och blir ett allt större hot mot svensk verksamhet. Under 2019 inrättades både säkerhetsskyddslagen och ett center för cybersäkerhet, men enligt Säkerhetspolisens vitbok krävs nu ett ökat säkerhetsfokus i alla led. 

en dansk flagga på flaggstång.jpg

Säkrare än Sverige

13 feb 2020 säkerhet

Åtta av tio svenska bolag uppger att de blivit utsatta för cyberattacker det senaste året, vilket är 60 procent mer än danska bolag. Det visar en ny rapport från PwC

elsakerhetsverket.jpg

Moln till myndighet

13 jan 2020 digit

Att gå från on prem till molnet stod högt på Elsäkerhetsverkets önskelista. Men med Cloud Act har myndigheten fått hitta andra lösningar och på sikt hoppas Elsäkerhetsverket på en förändring i lagstiftningen. 

sverige-flagga-data.jpg

Vinst med samlad data

13 dec 2019 digit

Regeringen hoppas att miljarder ska sparas genom en gemensam digital infrastruktur. Därför har man nu beslutat om en förvaltningsgemensam sådan för informationsutbyte och ett nationellt ramverk för grunddata inom den offentliga förvaltningen.

krimvarden.jpg

Ny koll av myndigheter

11 dec 2019 säkerhet

Nu ska Skatteverket, Åklagarmyndigheten, Kustbevakningen, Kriminalvården och Tullverket granskas för att se om de har tillräckliga rutiner för att detektera och rapportera incidenter rörande personuppgifter. 

sedlar.jpg

Inkassobolag granskas

18 okt 2019 säkerhet

Datainspektionen ska nu granska Sergel Kredittjänster. Det sker som ett led i myndighetens rutinmässiga kontroller av inkassobolag. 

sveriges riksdag, vinter.jpg

Sverige säkrar molnet

1 okt 2019 säkerhet

Regeringen beslutar om en utredning hur Sverige ska få säkrare it-drift. Det handlar bland annat om att tydliggöra de rättsliga förutsättningarna för att kunna anlita privata leverantörer på ett säkert sätt.