Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Vi försökte skydda känslig information

Dammet efter it-säkerhetsskandalen på Transportstyrelsen har knappt lagt sig men för avgående CISO Tobias Ander och hans kollegor har den långa resan fram till de första tidningsrubrikerna inneburit många tvära kast mellan hopp och förtvivlan. 

Text anne hammarskjöld Foto creative commons 12 april 2018 säkerhet

20170213_Inrikesminister_Anders_Ygeman_Rosengard_50A9878_(32787305311)_2.jpg

Inrikesminister Anders Ygeman fick avgå när it-säkerhetsskandalen på Transportstyrelsen blev känd.

– Från säkerhetsorganisationens sida hade vi lämnat underlag inför upphandlingen av outsourcing och jag trodde aldrig att ledningen skulle godkänna konsekvenserna, säger Tobias Ander, Transportstyrelsens avgående CISO, chief information security officer, om beslutet från 2015 vars innebörd slog ner som en bomb i media i somras och bland annat har resulterat i omfattande KU-förhör och att två statsråd lämnat regeringen.

Läs mer: Sorglig rapport från Transportstyrelsen

Läs mer: Efter Transportstyrelsen: Nu ändras lagen

I det läget fattade Tobias Ander ett av sitt yrkeslivs svåraste beslut.

– Jag frågade mig hur jag skulle kunna gå vidare efter detta och om det skulle vara bättre att jag lämnade Transportstyrelsen. Men jag insåg att det bästa jag kunde göra i det läget var att förhålla mig lojal till mitt uppdrag och försöka skydda den känsliga informationen så gott jag och mina kollegor inom säkerhetsområdet kunde.

tobiasander.jpg

Tobias Ander är Transportstyrelsens avgående CISO.

Sanningen skulle fram

Beslutet om att stanna kvar föddes också ur vetskapen om att han och kollegorna hela tiden skött sitt uppdrag.

– Från upphandlingen 2013 och framåt har vi gått så långt vi har kunnat enligt vårt mandat. Jag hade en fast tro på att vi inom säkerhetsområdet gjorde rätt saker men att vi inte kunde styra över de felaktiga besluten. Under de senaste två åren har vi hela tiden kastats mellan hopp och förtvivlan.

I detta vacuum av osäkerhet utvecklade Tobias Ander och hans kollegor med ansvar för informations- och it-säkerheten ett starkt och nära samarbete.

– Vi ansvarade för olika delar, där jag jobbade mer internt på Transportstyrelsen. Bland annat med att ta fram förslag på interna riktlinjer och regelverk som beslutsunderlag för ledningen. Vi försökte agera taktiskt och anpassa oss efter var det gick att jobba och där motståndet var mindre både internt och gentemot underleverantören. Förutom övertygelsen om att vi gjorde vad vi kunde har vi haft en bra och öppen diskussion med stor respekt för vår gemensamma målbild för hur detta kan och ska fungera.

Prisad sammanhållning

Den sammansvetsade arbetsgruppen med Tobias Ander, internrevisionschef Annette Olofsson, Johan Eriksson,

Vi som jobbade med säkerhet hade hela tiden trott att det som hänt skulle komma ut men vi visste såklart inte när eller hur.

tobias ander

tidigare Chief IT Security Officer, och Jens Johanson, Chief Security Officer, har nyligen uppmärksammats med GRC-priset för hur de ”under händelserna på Transportstyrelsen samarbetat för att stärka och skydda sin organisation och för att skydda landets och skattebetalarnas intressen”. Priset är ett uppskattat erkännande.

– Det betyder mycket att människor utanför organisationen tycker att det vi gjort är bra, säger Tobias Ander.

Många ovetande

I januari 2017 fick så organisationen den första signalen om något höll på att hända.

– När GD fick sparken kunde vi ana vad det berodde på. Vi som jobbade med säkerhet hade hela tiden trott att det som hänt skulle komma ut men vi visste såklart inte när eller hur. Samtidigt fanns det många i organisationen, också bland de som jobbade med it-säkerhet, som inte hade en aning om vad som pågått. Bland annat för att problemen med upphandling hemlighållits för många. För många medarbetare har det som hänt varit ett hårt slag.

Strategi säkerhet 2018

Strategi säkerhet äger rum för första gången den 19 april i Epicenter i Stockholm. 

Eventet beskrivs som en mötesplats där säkerhet står i fokus, och som samlar beslutsfattare från samhällets alla aktörer. Det anordnas för att kraftsamla och ta ett strategiskt nästa kliv för ett säkrare Sverige.

Tobias Ander är en av många talare tillsammans med bland andra Mikko Hyppönen, F-Secure, Predrag Mitrovic, Microsoft, Christoffer Callender, McAfee och Johan Jarl, Trend Micro. 

Anmäl dig till dagen här.

Credd inte kritik

Såväl Transportstyrelsens egen som regeringens granskning av händelserna som ledde fram till it-säkerhetsskandalen visar på en lång kedja av orsak och verkan. Tobias Ander har själv inte hunnit smälta alla tankar, erfarenheter och intryck från de senaste åren men han framhåller att informationssäkerhet måste vara en del av kulturen i alla organisationer.

– Det är i första hand en fråga om styrning och ledning, om att lyssna på medarbetarna och uppmuntra dem att dra sitt strå till stacken. Den medarbetare som rapporterar att han eller hon gjort en säkerhetsmiss ska få credd och hjälp, absolut inte kritik för det. När det gäller säkerhet kan ingen någonsin luta sig tillbaka och ta läget för givet. Det gäller att hela tiden gå tillbaka, utvärdera och lära till exempel av tidigare upphandlingar. Transportstyrelsen hade med stor sannolikhet valt att outsourca driften men hade informationssäkerhetsfrågorna funnits med från början hade beslutet och genomförandet kunnat vara mer genomtänkt.

Årets GRC-profil

Tävlingen uppmärksammar individer som genomfört enastående insatser inom GRC, governance, risk och compliance. GRC är samlingstermen för organisationers arbete inom ledning/styrning, riskhantering samt efterlevnad av interna och externa regelverk.

Att hantera dessa discipliner som en enhet höjer förmågan att undvika konflikter, överlappningar och luckor. Därför verkar Årets GRC-profil för att öka förståelsen för GRC.

Finns det någon förklaring i att Transportstyrelsen är en politiskt styrd organisation?

– Det är svårt för mig att avgöra hur det fungerar i andra politiskt styrda organisationer. Men i en privat organisation är det ägarna som styr och då kan det också hända att målet blir viktigare än de givna förutsättningarna. På så sätt är nog styrningen i politiken lik den i andra organisationer och det finns alltid stora risker med snabba beslut och bristande kompetens.

Nu blir Tobias Ander CISO på Örebro kommun.

Rekommenderad läsning

militar-i-bakhall.jpg

Sorglig rapport från Transportstyrelsen

24 jan 2018 säkerhet

När Transportstyrelsen presenterade sin rapport över säkerhetshaveriet i somras var slutsatserna på flera sätt värre än vad många befarat. Information som rör försvaret mot terrorism är röjd och det som hänt har stor inverkan på andra myndigheter.

försäkringskassan-960640.jpg

Försäkringskassan satsar på AI

27 apr 2018 digit

Det är fortfarande ett oklart rättsläge huruvida Försäkringskassan ska ta över andra myndigheters it-drift. Men oavsett fortsätter Försäkringskassan sitt digitaliseringsarbete som nu även innefattar AI - för att demokratisera myndighetens handläggningar.

transportstyrelsen .jpg

Attacker men inga rapporter

10 nov 2017 säkerhet

Trots en myckenhet av ransomware och andra attacker så är det fortfarande få incidenter riktade mot myndigheter som rapporteras till MSB. Hittills i år har det rapporterats in 220 attacker mot totalt 244 myndigheter.

 

personal-springer-pa-sjukhus.jpg

SKL litar på molnet

14 nov 2018 säkerhet

SKL står redo att svara på frågor från kommuner och landsting efter eSams rättsliga uttalande i måndags. Sedan affären med Transportstyrelsen har organisationen arbetat med frågan om säkerhetsrisker vid outsourcing av molntjänster i nära samarbete med bland annat MSB.

en röd bil kör ut från en parkering på en parkeringsplats med andra bilar.jpg
video

Easyparks säkra lösning

18 apr 2019 säkerhet

Easypark har över 7 miljoner användare i totalt 1 000 städer. Med så mycket information om enskilda personer krävs det att säkerhet är en självklar del i all utveckling. En stor hjälp i det arbetet är ramverken ISO och NIST.

Matrjosjkadockor på rad.jpg
video

Ferguson om framtidens hot

24 apr 2019 säkerhet

Nätfisket ökar och vd-mejl riktas till allt fler personer i organisationen. I en framtid med 5G och en kraftig ökning av IoT behöver gamla skydd kompletteras för skydd mot till exempel fillösa attacker. 

 

boliden960640.jpg

Bolidens skydd mot hot

29 apr 2019 säkerhet

Norsk Hydro blev tidigare i år hackade av ransomwaret Lockergoga. Boliden, som delvis arbetar i samma bransch, skyddar sig genom att utbilda alla anställda, säkerhetsavdelningen är inblandad vid nya investeringar och det finns alltid en plan B.

två män på en häst och vagn ute på landsbyggden.jpg
video

Internet of humans

17 apr 2019 säkerhet

Med 50 miljarder uppkopplade saker är det viktigt att vi inte glömmer människorna. Alla måste utrustas med rätt kunskap för att kunna dra sitt strå till säkerhetsstacken. Det menar krominologen och säkerhetsexperten Giuseppe Mastromattei.

man och pojke i skymningen på en äng tittar på en drönare.jpg

Luftens hjältar

3 jul 2018 digit

Transportstyrelsen har fått i uppdrag av regeringen att ta fram en lägesrapport kring drönare och drönartrafik i Sverige. Syftet är bland annat att identifiera möjliga framtida arbetsområden för drönare.