Jakten på transparent säkerhet

– För oss och alla andra kommuner handlar det om två ben som vi ska stå på. Det ena är att skydda sig mot olika typer av externa hot, med hjälp av tekniska hjälpmedel och olika arbetssätt. Den andra stora utmaningen är att medvetandegöra för medarbetare kring riskerna om vad som skulle kunna hända om man hanterar information på fel sätt, säger Anders Olsson, CIO i Gävle kommun.

Hur ser det ut i Uppsala, Markus Bylund?

– Vi är förstås i en liknande situation. De tekniska utmaningarna är en sak, men de största utmaningarna är att fånga upp helheten kring informationssäkerhet. Att informationen ska vara korrekt och att den ska hållas konfidentiell när det behövs och att vi kan vara transparanta när det behövs. Utmaningen ligger i hur vi skapar detta tillsammans i en stor organisation som en kommun är, säger Markus Bylund, strategichef för it och digitalisering i Uppsala kommun.

Finns det områden där ni kan samarbeta?

– Hur vi skapar och bygger ett informationssäkerhetsarbete som inte bara är en it-fråga, eller en säkerhetsfråga, utan något som faktiskt genomsyrar hela organisationen. Där kan vi definitivt samarbeta och inspireras av varandra. Och det gör vi redan till viss del i olika nätverk och sammanhang, säger Markus Bylund.

– Sen är det ju en resursfråga också. Alla kan inte ha alla kompetenser som krävs, men däremot kan vi dela på kunskap och ibland resurser. Jag tror att vi har mycket mer och göra på den punkten än vad vi gjort hittills. Vi konkurrerar inte om någonting egentligen utan vi alla ska lösa servicefrågor för våra verksamheter, säger Anders Olsson.

– Och väldigt många av de här frågorna löser vi på 290 olika sätt, men i grund och botten är det samma fråga som vi löser, även om vi har lite olika förutsättningar. Risk- och sårbarhetsanalyser är ju ett exempel på något som vi alla gör, eller borde göra i många olika delar av verksamheten. På just den punkten skulle man kunna se ett utökat samarbete, säger Markus Bylund.

Hur kan ni fortskrida med ett sådant arbete?

– Generellt vill man vara i en situation där den som lånar ut sina känsliga uppgifter till oss ska vara trygga med att vi hanterar dem på ett bra sätt. Samtidigt vill vi bedriva en effektiv verksamhet, så det gäller att hitta den lämpliga avvägningen mellan att bedriva en verksamhet med känslig information och att skydda den känsliga informationen, säger Anders Olsson.

Är det svårt att hitta rätt resurser till det?

– Vi har ju väldigt mycket uppgifter som våra verksamheter ska utföra, och naturligtvis har vi ganska knappt med resurser. I vissa områden är det extra utmanande, som socialtjänsten, delar av skolan, och då kan det ibland vara svårt att ta upp den här typen av frågor eller ge dem tillräcklig plats, när verksamheten i sig är väldigt ansträngd, säger Anders Olsson.

– Jag håller helt med dig. Att våra medborgare och vårt näringsliv är trygga med den informationshantering vi har, och har tillräckligt mycket insyn i hur vi hanterar informationen, är ett jätteviktigt mål för verksamheten. Sen har jag också en önskan att vi kan diskutera informationssäkerhet från ett mer nyanserat perspektiv. Vi har gått från en tid där ett fåtal har pratat om informationssäkerhet och integritetsfrågor utan att riktigt få gehör i den allmänna debatten eller politiskt, till en situation när vi styrs mycket av rädsla och hot och att hemska saker kan hända. GDPR har fullständigt dränkt informationssäkerhetsdiskussionen i ett helt år nu och jag tror att vi har ett behov av att prata om avvägningen mellan skyddsåtgärder och transparens. För mycket skydd blir dyrt och krångligt för våra medborgare. Den andra extremen är att vi släpper allt fritt och inte har något skydd alls, så där måste vi hitta balansen. Därför måste diskussionen bli mer nyanserad och inte styras av extremerna, som den gör just nu, säger Markus Bylund.