Så blev Hedemora Sveriges första faxfria kommun

Göran Hoffman, it-chef i Hedemora kommun, har arbetat länge för att göra Hedemora till den första faxfria kommunen. Häromåret blev målet en realitet och Göran Hoffman lade upp ett inlägg på Linkedin, som sedermera blev viralt.

– En bild var på vår sista fax, och en annan bild var på en prinsesstårta med texten “No more fax to give” som dekoration. Jag tror att vi är den första faxfria kommunen i hela landet, det är i alla fall ingen som har påstått något annat.

Istället för en traditionell fax för extra känsliga uppgifter använder nu Hedemora ett digitalt system som kan ta emot och skicka fax till andra faxar.

– Våra faxnummer finns kvar men vi har nu ett system där fax som skickas till oss blir till en pdf-fil, i en säker bubbla som man måste logga in för att få tillgång till. Det är en tjänst som heter Secure Mailbox. Dessutom kan vi använda samma system till att skicka fax till andra faxar, säger Göran Hoffman.

Kommunikationen med regionens två vårdcentraler sker via TDialogs säkra meddelanden.

– Det ska dock sägas att faxen även tidigare användes ytterst sällan. Det var nästan enbart vid kommunikation med Avesta lasarett, när det gällde känslig information som inte fick skickas via mejl.

Fysiska säkerhetstester

Ett annat stort fokusområde för Hedemora kommun är säkerhet. Häromåret mejlade Göran Hoffman en sjättedel av personalen plus samtliga chefer på kommunen från en felaktig mailadress, för att se hur många som nappade. Ungefär 60 av 400 personer lurades av fejkmejlet. I år har man kompletterat med tester för att undersöka den fysiska säkerheten.

– Vi skickade en konsult från en it-leverantör till bland annat kommunens energibolag och bostadsbolag. Han tog med sig en dator och knackade på hos bostadsbolaget där han blev insläppt. Han sade att han skulle hjälpa vaktmästaren med något och personalen låste upp switchskåp åt honom. Ingen tog legitimation eller ställde några frågor.

– Han tankade ur AD:t och gick vidare till energibolaget. Där kom han till en obemannad reception och gick in i två olåsta konferensrum i direkt anslutning till receptionen. Där kunde han hitta aktiva nätverksuttag.

– De här säkerhetshålen har vi täppt till nu, men det finns fortsatt utrymme för förbättring när det gäller den fysiska säkerheten. Vi behöver vakna till när det gäller de här bitarna.

Siths-kort till alla anställda

Kommunen har även gjort ett utredningsarbete runt MFA (multifaktorsautenticering). Till slut föll valet på att införa Siths-kort till alla anställda inom kommunen. Korten används redan idag av cirka 200 kommunanställda som arbetar mot regionen.

– Nu ska vi bli egna e-utfärdare av Siths-kort, och inte köpa dem av regionen som vi gör i dag. Där finns den långsiktiga vinningen ekonomiskt.

Siths-korten blir därmed den fysiska delen av multifaktorautenticeringen. De sätts in i datorerna och ska även användas istället för passerkort för att öppna dörrar, använda skrivare och så vidare.

– De anställda kör in Siths-korten i datorn, vilket gör att de är säkra hela vägen. Alla kommunanställda, utan undantag, kommer att få ett Siths-kort. Korten är godkända av Digg, och har tillitsnivå 3 (LoA3).

Hur ser Hedemora kommun annorlunda ut digitalt om 18 månader?

– Då måste vi ha kommit igång ordentligt med RPA i diverse processer.

– Vi har också börjat nosa på en chattbot för kommunens webbplats, som kan hjälpa kommunvägledare att snabbare få fram information. En sådan tjänst skulle även våra medborgare kunna använda.

– Vi har också en tydligare struktur, tidigare har vår it-verksamhet arbetat relativt ostrukturerat. För att förändra det har vi nyligen satt upp ett årshjul och börjat jobba i Microsoft Planner. Så om 18 månader hoppas jag att vi har blivit mer systematiska i vårt säkerhets- och informationssäkerhetsarbete, där vi exempelvis utför risk- och sårbarhetsanalyser och Microsoft 365 health checks två gånger om året. På så sätt behöver det inte ta lika mycket energi som idag att komma igång.