IT-säkerhet och sårbarhet Hur ser kommunernas krisplanering ut? ANNA THOMASSON
Inledande frågor, 1. Hur ser kommunernas arbete med krishantering ut? 2. I vilken utsträckning tar kommunen hänsyn till behov av samverkan i sin krishantering? 3. Finns det skillnad mellan kommuner när det gäller arbete med krishantering och om det finns, vad beror skillnaderna på?
Bakgrund Krisberedskap och samverkan krävs för att trygga centrala försörjningar och infrastruktur. Tidigare studier visar att kommuner har olika förutsättningar och olika tillgång till resurser beroende på: - Demografi, geografi, historia, tidigare förd och aktuell politik. Krisberedskap kräver samverkan såväl inom kommunen som med myndigheter och företag. Samverkan med företag kräver kunskap om marknaden och dess villkor. Bredband och IT är en ny marknad med snabb utveckling ökar kraven på såväl leverantör som kund.
Studiens syfte Syftet med den här studien är att undersöka hur kommuner arbetar med krishantering (crisis management) med fokus på IT och bredbandstjänster.
Tillvägagångssätt Kunskapsöversikt med fokus på tidigare studier inom området krishantering. Pilotstudie med fokus på Skånska kommuner av olika storlek. Studie av marknaden och dess karaktär med fokus på bredband och IT tjänster. Såväl privata som kommunala leverantörer av bredband kontaktades.
Landsting Mindre kommun Organisation Mindre kommun Mindre kommun Leverantör av bredband Mellanstor kommun Mindre kommun Större kommun Mindre kommun Mindre kommun Mellanstor kommun Stor kommun Samverkans organisation med en mellanstor och två mindre kommuner LänsstyrelsenSkåne Stor nationell leverantör Stor nationell leverantör Kontaktperson IT chef Utvecklingsledare utbildningsförvaltningen Säkerhets- och beredskapsansvarig Bredbandssamordnare VD kommunalägt bolag Informationssäkerhetssamordnare och dataskyddsombud IT strateg Ansvarig krisberedskap Säkerhetsansvarig VA chef Säkerhetssamordnare Säkerhetssamordnare Säkerhetschef Beredskapshandläggare, Enheten för samhällsskydd och beredskap Chef Bredband Region Syd Regionchef Syd
Tidigare studier visar att: Vad är en kris? Kris enligt Henstra (2016) uppstår när en farlig situation inträffar samtidigt som samhället är sårbart. Kombinationen av en farlig situation och ett sårbart samhälle skapar således tillsammans förutsättningar för att en kris ska uppstå. (Henstra, 2016, s. 236). Att hantera en kris (crisis management) handlar således om att minska organisationer och samhällets sårbarhet inför eventuellt farliga situationer.
Tidigare studier visar att: Kriser drabbar lokalt detta ger offentliga aktörer på lokal nivå en central roll i såväl det faktiska krishanteringsarbetet som det förebyggande arbetet. Inte minst med tanke på att kommuner ansvarar för delar av de försörjningar som drabbas samt för räddningstjänsten.
Tidigare studier visar att: Kunskap saknas kring hur kommuner arbetar med krishantering samt hur samverkan kring krishantering fungerar och kan se ut. Men kunskap, planering, samverkan och övning har visat sig vara centrala faktorer för att minska sårbarheten och därmed också påverkan på samhället vid en farlig situation. Hur man förbereder sig är således en viktig faktor.
Tidigare studier visar att: Utöver förberedelse lyfter tidigare studier fram följande faktorer som centrala: 1. Vilka resurser organisationen har tillgång till kompetens är en resurs. central 2. Hur man organiserar arbetet och fördelar fördelar ansvar. 3. Förmågan att samverka och kunskap om med vem man bör samverkan. 4. Analys av beroende och hur olika försörjningar påverkar varandra och hänger ihop. Någon behöver ha hela bilden.
Hur ser marknaden för bredband och IT-tjänster ut? Nivå 4: Leverantörer av olika tjänster via nätverken t.ex. Spotify, Netflix, leverantörer av trygghetslarm till hemtjänst, banktjänster och andra webbaserade lösningar. Nivå 3: Tjänsteleverantörer av TV, trådlösa nätverk och IP Telefoni. Här återfinns t.ex. Telenor, Telia och liknande företag. Nivå 2: Kommunikationsoperatör. Företagen här utgör plattform för att leverera tjänster via bredband inklusive trådlöst nätverk. Lyser upp nätet så att det går att använda av tjänsteleverantörer. Nivå: 1 Bredband via fiber eller annan typ av ledning t.ex. koppar. Bygger ut infrastrukturen, äger och förvaltar infrastrukturen. Företag som äger infrastruktur: IP Only och Telia samt lokala aktörer däribland kommunala bolag som äger stadsnät.
Hur ser marknaden för bredband och IT-tjänster ut? Bredband: - Utbyggnaden har skett gradvis under ffa det senaste decenniet. - Fri etablering och full konkurrens många ägare av näten. - Flera olika aktörer fri etablering och fritt att välja leverantör. - Utbyggnad avtar går mot drift och underhåll och ev. en konsolidering.
Hur ser marknaden för bredband och IT-tjänster ut? Citat från bredbandssamordnare i en mindre kommun: Att den här viktiga infrastrukturen ligger på en extern och privat aktör är en utmaning för kommunen. På politikernivå saknas medvetenheten och kunskapen kring hur viktigt det är att ha kontroll över dessa bitar och näten, men man har inte sett det över det breda perspektivet och framtiden och nyttan med det. Det är ett problem när beslutsfattarna inte ser det, medan utvecklarna driver på i en enorm fart. Vi kommer att ha aktörer som äger infrastrukturen som kommunerna kommer att bli extremt beroende av framöver i takt med utvecklingen går framåt.
Hur ser marknaden för bredband och IT-tjänster ut? Citat från en intervju med ägare och leverantör av bredband: Tyvärr arbetar man reaktivt med de här bitarna. För så länge kommunerna inte höjer det till en nivå där man anser att det är leverans kritiskt så är det inget vi pushar för heller i dialogen. Det är kanske också först då det sker ett avbrott i driften som man kanske tänker på att man måste vara mer proaktivt. Kommunerna förväntar sig bara att saker och ting ska fungera, men ställer inte krav i de inledande dialogerna i alla fall på någon säkerhet i driften.
Hur ser marknaden för bredband och IT-tjänster ut? IT tjänster - Ny marknad med många nya leverantörer. - Tekniken utvecklas kontinuerligt. - Fragmenterad marknad med stort utbud av leverantörer. - Marknadens utformning ställer stora krav på kunderna. Kunderna måste ställa kraven. Citat från Västra Götaland regionens IT-direktör: Det är inte bra att vi får informationen nu, om leverantören känt till problemen sedan i höstas, då känner man sig inte trygg. Dagens Samhälle #10, 2019
Hur ser det ut i Skånska kommuner? Mindre kommuner: - En anställd som ansvarar för IT och en som ansvarar för kris- och beredskapsfrågor. Ofta inte en hel tjänst. - Resurser knappa tid och kompetens ffa. - Politisk förståelse och stöd varierar mellan kommuner fokus på frågan varierar därför mellan kommuner. - Tendens att allt som handlar om IT och rör IT hamnar hos IT avdelningen. Rätt att det är så? - Ansvarig för kris- och beredskapsfrågor återfinns ibland inom Räddningstjänst, ibland under kommunkontoret eller motsvarande.
Hur ser det ut i Skånska kommuner? - Arbete med risk- och sårbarhetsanalys och att ta fram en plan och säkerställa samverkan faller på den som är ansvarig för kris- och beredskapsfrågor. Får information från respektive förvaltning. - Förvaltningschefer ansvarar för analys av sin verksamhet och där ingår analys av leverans av ITtjänster. - Samverkan med internt begränsad. Samverkan externt förekommer bara i de fall kommuner har en bredbandssamordnare. Ej avseende leveranssäkerhet och krishantering.
Hur ser det ut i Skånska kommuner? Större kommuner: - Flera anställda som arbetar med krishantering. Olika ansvarsområden. Ofta placerade under kommunledningskontoret. - Politisk förankring och förståelse varierar. - Är beroende av information från förvaltningschefer för att göra risk- och sårbarhetsanalyser och planer. - Kompetensen ute i förvaltningar varierar.
Hur ser det ut i Skånska kommuner? - Tillgången till resurser i form av tid och kompetens upplevs som bättre än i mindre kommuner. - Samverkan internt inom kommunen begränsad samsyn och samarbete saknas. - Samverkan externt när det gäller IT och bredband begränsad.
Hur ser det ut i Skånska kommuner? Sammanfattning: - Resurser är något som är en brist i såväl stora som mindre kommuner. - Tillgången till resurser varierar ffa pga politikers medvetenhet snarare än storleken på kommunen. - Olika sätt att organisera och arbeta med krishantering i olika kommuner. - Samverkan såväl externt som internt begränsad i såväl stora som mindre kommuner samverkan sker inom andra försörjningar som VA och El. Nätverk för att sprida erfarenhet finns.
Hur ser det ut i Skånska kommuner? - Övningar är begränsade sker övningar med stöd av Länsstyrelsen, men ej nödvändigtvis med fokus på ITsäkerhet och bredband. - Större kommuner generellt bättre rustade. - Mindre kommuner som samverkar arbetar mer systematiskt, där finns även politisk medvetenhet och stöd och kunskap sprids mellan kommuner.
Hur ser det ut i andra sektorer och andra delar av Sverige? Jämförelse med VA: - Monopol i offentlig regi - Samverkan mellan kommuner vanligt sedan länge. - Nödvattenplaner finns på plats - Resurser begränsade i mindre kommuner som ej samverkar svårt att hinna lyfta blicken och tänka strategiskt. - Ffa klimatpåverkan och förberedelser för detta upplevs problematiskt. - Skillnad mellan kommuner avseende vad man fokuserar på.
Hur ser det ut i andra sektorer och andra delar av Sverige? Jämförelse med el: - Tidigare offentligt monopol ägande av infrastruktur mindre fragmenterad. - Etablerad och mogen bransch. - Rutiner för samverkan med stora aktörer (ofta tidigare offentligt ägda) finns sedan länge (t.ex. E.O.N).
Hur ser det ut i andra sektorer och andra delar av Sverige? Hur kommuner arbetar - Förutsättningar tycks variera mellan kommuner baserat på: storlek, politisk medvetenhet, kompetens och förmåga hos ansvarig att få gehör. - Hur man organiserar verksamheten skiljer sig åt mellan kommuner. - Vad man arbetar med för frågor skiljer sig åt mellan kommuner olika frågor i fokus på olika ställen. T.ex. GDPR, säkerhetsklassning av personal, digitalisering av kommunala tjänster, analys av beroendeförhållande mm.
Slutsats och reflektion Enligt tidigare studier är följande nyckelfaktorer för att korta tiden och begränsa effekterna av en kris: - Planer och övningar - Samverkan veta med vem och hur man ska samverka. - Resurser i form av kompetens och tid. - Organisering av arbetet - Analys av beroende och hur olika försörjningar påverkar varandra och hänger ihop. Någon behöver ha hela bilden.
Slutsats och reflektion Det varierar mellan kommuner hur man arbetar och organiserar arbetet. Tillgång till resurser varierar men upplevs ofta som begränsad och ej tillräcklig. Kompetens en bristvara. Övningar arbetar man enbart i begränsad utsträckning med. Samverkan såväl internt som externt varierar, men ffa det senare är ytterst begränsad. Framförallt svårt för mindre kommuner som inte samverkar. Säkerheten brister på många håll ett fåtal medvetna om omfattningen på problemet.
Slutsats och reflektion Förslag till åtgärder - Frågorna måste upp på den politiska dagordningen. - Helhetsbild av hur beroendeförhållande mellan olika centrala försörjningar krävs. - Ffa mindre kommuner efterlyser stöd och hjälp och någon som tar ut riktningen. Upplever det som fragmenterat och komplext. Var ska man börja? - Kunskap och kompetens behövs.
Vilken bild har ni? Är det ett problem att kommuner har så olika förutsättningar och arbetar på så olika sätt? Krävs mer samordning och koordinering? Vilket bör nästa steg vara?