It-chefen: "Starkare internationella insatser mot cyberbrott behövs"

– Vi har haft stora omorganisationer där vi faktiskt har tagit bort lite chefsled. Nu sitter jag med i ledningsgruppen på kommunen och har därmed fått ett större ansvar för helheten av it-portföljen. Det som upptar min tid just nu är framför allt informationssäkerheten. Vi vill verkligen komma i gång, få allting på plats och samtidigt följa alla lagar och regler som gäller. Det är ju som ett föränderligt mål som man jobbar mot hela tiden, säger Åsa Frank, it-chef, Ekerö kommun.

Hur går informationssäkerhetsarbetet för er?

– Just nu har vi ett dedikerat projekt som sträcker sig mellan säkerhetskansliet och it, där vi förbereder oss för NIS2-direktivet och jobbar med dataskyddsförordningen (GDPR). Politiken är också väldigt engagerade i detta. Att jobba i en kommun innebär att man jobbar väldigt nära politiken, och nu har vi fått igenom vår nya policy tillsammans. Från politiken arbetar man med visionen för hur vi ska jobba med it-säkerhet. Från vår sida behöver vi ta ner det till ett "vad", och just nu ligger vi där – mellan "vad" och "hur".

Vad är största utmaningen – de rörliga lagarna och reglerna kring integritet och informationssäkerhet, eller cyberhoten som dyker upp och drabbar kommuner och andra verksamheter?

– Informationssäkerhet handlar väldigt mycket om hur individer arbetar med att lägga saker på rätt ställe, att spara på rätt plats, att jobba med rätt information vid rätt tidpunkt och att ha tillgång till den när man till exempel jobbar ute på fältet, som inom socialtjänsten. Då vill man ju komma åt den information man behöver vid rätt tillfälle. Så det tycker jag är en stor del. Sedan är det klart att cyberhoten är ständigt närvarande.

Har det blivit värre?

– Ja, det skulle jag säga. Bara under de två år jag har jobbat inom kommunen tycker jag att vi oftare hör att våra brandväggar har fungerat – att det har varit nära att något har inträffat, flera gånger, absolut.

Du tycker att vi fokuserar för lite på att det faktiskt ligger en kriminell verksamhet bakom, och att fokus oftare hamnar på hur en verksamhet ska skydda sig, eller hur?

– Ja, men precis. Man kan ju inte lägga allt ansvar på de anställda. Det är ju ändå kriminella som vill åt informationen. Man ser mer och mer att de förfinar sina attacker – de pratar med folk om vilka system de använder, de vet vilka system som är dåligt uppdaterade eller har sårbarheter, och förstår att det är den vägen de måste ta sig in för att skada just oss.

Behövs det starkare internationella lagar och överenskommelser?

– Ja, starkare internationella insatser tror jag behövs. Polisen behöver samarbeta mer över landsgränser för att faktiskt kunna sätta dit de här personerna. Internet är ju landlöst. Även om vi har sparat vår information i Sverige, kommer de ju åt den och tankar ut den till ett annat land om de väl kommer in.

Tillbaka till Ekerö och informationssäkerhetsarbetet – i takt med att det blir bättre och ni kan börja jobba med nya lösningar och arbetssätt, vad ser du framför dig då?

– Då kommer ju AI som en liten karamell på slutet! Vi har kommit i gång lite med Copilot-chat och liknande delar, men att få AI som en arbetskamrat – alltså en integrerad del i arbetet som underlättar och höjer kvaliteten – det kan vi göra först när vi vet vilken information vi fritt kan dela med oss av till AI-verktygen. Det kommer ju så fort vi får mer informationssäkerhet på plats och det är något vi kanske når under 2026, skulle jag säga. Då kommer vi till det där "hur" som jag pratade om tidigare – att vi vet hur man jobbar, då kan vi slå på fler AI-funktioner i vår administrativa stack.

– I andra, mer specifika system har vi redan AI, vad gäller automatisering och hur vi ska göra saker bättre med mindre mängd data. Det har vi koll på. Men just det här att mer generellt kunna traska igenom data och öppna upp det för en större mängd medarbetare, blir nästa stora steg.