<f> TRAFIKVERKET Revisionsrapport Hantering av sociala medier Internrevisionen 2013-03-12 TRV 2013/2491 Revisorer IR, Erica Dahlin IR, Göran Melin IR, Anna Lundin Distribution K, Christer Hårrskog *) PE, Wiveca Dahl*) PR, Per Sjöstrand*) GD, Gunnar Malm E, Bo Friberg Riksrevisionen *) Ansvarig för IKVERKET handlingsplan
TRV 2013/2491 2013-03-12 Innehållsförteckning 1 Introduktion 3 1.1 Sammanfattning 3 1.2 Bakgrund 4 1.3 Omfattning 5 1.4 Generella kommentarer 5 1.5 Ledningens respons 6 2 Observationer och rekommendationer 7 2.1 Styrning och ledningssystem 7 2.2 Informationssäkerhet 9 2.3 Arkivering och diarieföring 10 Skapat av: Dokumenttyp: Erica Dahlin Rapport 2 TDOK 2010:270 Internrevisionsrapport v.1.0
TRV 2013/2491 2013-03-12 1 Introduktion 1.1 Sammanfattning Det kan finnas många risker med olika sociala medier, t ex villkor, systemkrav, behörighetshantering, lösenordshantering, resurser, möjligheter till arkivering. Det krävs, enligt vår bedömning, att Kommunikation och informationshantering genomför en systematisk, dokumenterad analys avseende risker och möjligheter med nya sociala medier innan godkänner att någon del av organisationen använder sig av mediet. Dessutom krävs en bedömning av hur nya sociala medier bidrar till att Trafikverket uppnår verksamhetsmålen. Trafikverket är aktivt på följande sociala medier: Facebook, YouTube, Flickr, Twitter, Instagram samt Linkedln. Enligt "Bevarande och gallringsbeslut för Trafikverkets medverkan på sidor i sociala medier" (TRV 2011/15795) ska Trafikverkets sidor kopieras ned på annat lagringsmedium minst en gång per kvartal samt om systemet genomgår en större för ändring. Bevarandet skiljer sig mellan olika sidor i de sociala medierna från att ta skärmdumpar och spara på lokala arbetsrum eller filareor till att inte göra någonting utan betrakta informationen som sparad på det sociala mediet. Det finns en risk att Trafikverket inte har kontroll över handlingar, att de inte är sökbara och att de krav som finns för allmänna handlingar inte uppfylls. Revisionens mest väsentliga observationer Observation Rekommendation Ansvar Det kan finnas många risker med olika sociala medier, t ex villkor, informationssäkerhet, möjligheter till arkivering med nya sociala medier. Risker och möjligheter hanteras inte systematiskt och dokumenterat. Bevarandet skiljer sig mellan olika sidor i de sociala medierna. Det finns en risk att Trafikverket inte har kontroll över handlingarna, att de inte är sökbara och att vi inte uppfyller de krav som finns för allmänna handlingar. a. Säkerställ att en systematisk, dokumenterad analys avseende risker och möjligheter med nya typer av sociala medier genomförs innan godkänner att någon del av organisationen aktiverar sig på detta. b. Uppdatera riktlinje vid nya godkända sociala medier. c. Upprätta rutiner för respektive socialt medium som är tillåtet inom Trafikverket. Utred och genomför hur arkivering och diarieföring ska ske i respektive kanal. TDOK 2010:270 Internrevisionsrapport v.1.0
1.2 Bakgrund Sociala medier är ett samlingsnamn på kommunikationsverktyg där stort fokus ligger på konversation mellan användare, så att fler blir delaktiga i produktionen av information. Det är aktiviteter som kombinerar teknik, social interaktion och användargenererat innehåll, exempel på sociala medier är Facebook, Twitter, bloggar och artikelkommentarer. Inom sociala medier är transparens, delaktighet och tillgång till information är en självklarhet. I Trafikverkets kommunikationsstrategi fastslås att: Kommunikationens främsta uppgift är bidra till att de transportpolitiska målen uppfylls samt är direkt kopplad till Trafikverkets strategiska mål "Trafikverket har ett starkt varumärke". Därmed ska kommunikationen vara integrerad i all verksamhet i Trafikverket då allt "vi gör påverkar bilden av Trafikverket". Det är därför avgörande att kommunikationsperspektivet beaktas vid alla beslut och handlingar - att vi alltid agerar och kommunicerar utifrån våra värderingar - oavsett var i verksamheten man verkar. Trafikverkets syfte med att använda sociala medier är att föra dialog och interagera med omvärlden. Det är olika forum där Trafikverket möter enskilda personer och intressegrupper på så lika villkor som möjligt för att lyssna av, ta del av information, förklara och återkoppla. Trafikverket är aktivt på följande sociala medier: Facebook - Trafikverket (officiell sida), Citybanan, Sveriges Järnvägsmuseum, Hallandsås och Järnvägsskolan. YouTube - Trafikverket (officiell sida), Citybanan, Bana väg i Väst, Bana Väg Motala-Mjölby, Citytunneln, Sveriges Järnvägsmuseum och Don't drink and drive Flickr - Citybanan Twitter - Citybanan Instagram - Citybanan Linkedln - Trafikverket, ICT Inför revisionen ser Internrevisionen (IR) följande risker gällande hantering av sociala medier i Trafikverket: Kunskap om möjligheter och risker gällande sociala medier i Trafikverket Beredskap i organisationen att svara på inkomna frågor Krishantering gällande sociala medier Från Trafikverkets verksamhetsanalys är följande risker och möjligheter aktuella: Svårighet att utvärdera Trafikverkets författningsefterlevnad.
TRV 2013/2491 2013-03-12 En möjlighet att stärka förtroendet för järnvägssystemet i samverkan med övriga aktörer i järnvägsbranschen 1.3 Omfattning Syfte med revisionen är att granska hantering av sociala medier inom Trafikverket, strategier, organisation, riskhantering, efterlevande av styrande dokument och lagstiftning mm, inklusive möjligheter till förbättringar. Vid revisionen har vi haft kontakt med chefer och medarbetare på Kommunikation och informationshantering, Samhälle, Personal, Juridik och planprövning, Trafikledning, IT, Stora projekt, Järnvägsskolan och Järnvägsmuseum. Revisionen syftar ej till att granska hur medarbetare på Trafikverket använder sociala medier på egna sidor ex. Facebook och Twitter. Revisionen genomförs enligt den revisionssed och metodik som beskrivs i aktuell version av Internrevisionshandboken som gäller för Internrevisionen inom Trafikverket. 1.4 Generella kommentarer Inom sociala medier används olika begrepp som medier, kanaler, sidor m.fl. I rapporten använder vi sociala medier eller kanaler när vi skriver om olika former av sociala medier ex. Facebook, Twitter, YouTube. Vi använder sidor när vi syftar på olika delar i ett socialt medium/kanal ex. Trafikverket har flera sidor på YouTube: Citybanan, Bana väg i Väst, Bana Väg Motala-Mjölby, Citytunneln, Sveriges Järnvägsmuseum och Don't drink and drive. Internrevisionen är generellt positiva till att Trafikverket deltar på sociala medier då vi anser att kommunikation och dialog med medborgare kan underlättas. Vi anser dock att det är viktigt att hantera sociala medier strukturerat och riskmedvetet. Trafikverket lämnar ej trafikinformation via sociala medier. För att tydliggöra för besökare på Trafikverkets officiella Facebooksida bör det anges att trafikinformation inte lämnas där. En hänvisning till Läget i trafiken för aktuell trafikinformation skulle ge ökad möjlighet för besökare att hitta den information de söker. Det bör säkerställas att det finns interna kontaktpersoner angivna när information läggs ut på sociala medier. Det underlättar hanteringen ex. att kundtjänst vet vem de kan vända sig till vid frågor. Det finns ett intresse hos dem som vi har pratat med om att utveckla språket vid kommunikation i sociala medier. Vi rekommenderar att språkvårdare deltar vid träff för medarbetare som arbetar med kommunikation i sociala medier. I intervjuerna är det ett flertal personer som har sagt att de gör omvärldsspan för att se hur andra myndigheter och företag hanterar sociala medier. Det bör tydliggöras vilka roller det är som ska göra detta för att spara resurser. Det bör säkerställas att resultatet når till berörda. Det är även viktigt att fånga upp de frågor som finns bland de medarbetare som arbetar med sociala medier. 5 TDOK 2010:270 Internrevisionsrapport v.1.0
Hanteringen av kommentarer på Trafikverkets You Tubesida sker i flera steg där olika funktioner är berörda. Vi bedömer att det går att hantera den mer resurseffektivt. Enligt uppgift hanterar medarbetare på Kommunikation och Informationshantering inkomna kommentarer genom att skicka kommentaren inkl. rekommenderad kontaktperson till Kundtjänst som kontaktar berörd handläggare, skriver ett svar till kommentaren samt skickar svaret till handläggaren på Kommunikation och Informationshantering som publicerar svaret. Det har varit lätt att hitta styrande dokument och annan information i samband med revisionen. Det är vår bedömning att det råder ordning och reda i minnesanteckningar mm. Vårt generella intryck av den reviderade verksamheten är positiv. Det finns ett stort engagemang inom Trafikverket gällande sociala medier. Vi har blivit mycket väl bemötta inför och under intervjuerna, vilket har underlättat arbetet och bidragit till att revisionen har kunnat genomföras på ett bra sätt. 1.5 Ledningens respons Internrevisionen har överenskommit om revisionsrapportens observationer och rekommendationer med ansvariga i Trafikverkets ledning. [Ev. avvikande uppfattning specificeras enligt IIA Practice Advisory 2410-1, punkt 12.] Borlänge den 12 mars 2013 Erica Dahlin Revisionsledare Peter Funck Internrevisionschef
TRV 2013/2491 2013-03-12 2 Observationer och rekommendationer 2.1 Styrning och ledningssystem I Trafikverkets Kommunikationsstrategi (TDOK 2010:361) fastslås att central funktion Kommunikation och informationshantering (K) ansvarar för utveckling av arbetssätt för sociala medier inom Trafikverket. I den första versionen av riktlinjen "Trafikverkets närvaro i sociala medier" (TDOK 2011:156) som fastställdes av Kommunikationsdirektören () i november 2011 anges att det ska finnas två officiella Trafikverkskanaler, Facebook och YouTube. I riktlinjen anges också att alla initiativ till nya kanaler i sociala medier ska stämmas av med Kommunikation och informationshantering samt att det är som beslutar om vi ska starta en ny kanal i sociala medier. Som beslutsunderlag ska då finnas en analys av resurser, målsättningar, strategi och ansvarsfördelning. Dessutom ska en förvaltningsplan för kanalen tas fram. Det är viktigt att ha Trafikverks perspektiv så att det inte blir en suboptimering och den enskilda delens/kanalens kommunikation optimeras. Det kan finnas många risker med olika sociala medier, t ex villkor (äganderätt till bilder och annat material som publiceras), informationssäkerhet (se avsnitt 2.2 Informationssäkerhet), möjligheter till arkivering (kan vi leva upp till arkiveringskraven). Det krävs, enligt vår bedömning, att Kommunikation och informationshantering genomför en systematisk, dokumenterad analys avseende risker och möjligheter med nya sociala medier innan godkänner att någon del av organisationen använder sig av mediet. Dessutom krävs en bedömning av hur nya sociala medier bidrar till att Trafikverket uppnår verksamhetsmålen. Om Kommunikation och informationshantering anser att Trafikverket bör använda nya sociala medier måste riktlinjen uppdateras med avseende på detta. Eftersom förutsättningarna beträffande olika sociala medier ofta skiljer sig åt krävs att Kommunikation och informationshantering upprättar rutiner för hantering av respektive socialt medium som är tillåtet att använda inom Trafikverket. Några av de sociala medier Trafikverket använder startades redan innan Trafikverkets bildande. Vi har under revisionen noterat att Stora projekt startat nya kanaler ex. Instagram utan :s godkännande. Det är viktigt att Kommunikation och informationshantering genomför risk- och möjlighets analys för samtliga kanaler där Trafikverket deltar. Därefter måste besluta om vilka kanaler som ska vara tillåtna inom Trafikverket och under vilka förutsättningar. Kanaler som ej blivit godkända bör efter en kortare respittid stängas. Det är även viktigt att beslut avseende nya sidor inom redan godkända sociala medier hanteras enligt riktlinjen. För att tydliggöra besluten angående användandet av nya sociala medier eller nya sidor inom tillåtna medier bedömer vi att riktlinjen bör kompletteras med krav på ett mer formaliserat, skriftligt beslut. I beslutsunderlaget för nya kanaler och sidor ska det finnas information om resursbehov. Det bör förtydligas gällande förvaltning av kanalen/sidan, ex. beredskap vid frånvaro och hög belastning. Det är viktigt att alla sociala medier som används inom Trafikverket hanteras inom ett förvaltningsobjekt för systematisk bevakning av förändringar avseende villkor, teknik, informationssäkerhet mm. Under revisionen har framkommit att 7 TDOK 2010:270 Internrevisionsrapport v.1.0
det endast är de två officiella kanalerna (Facebook och YouTube) som hanteras inom förvaltningsobjektet Informations- och kommunikationskanaler. Endast förvaltningsplanen för Trafikverkets Facebook sida är fastställd. Övriga sociala kanaler/sidor inom Trafikverket hanteras därmed inte inom något förvaltningsobjekt och det är oklart vem som ansvarar för förvaltningen av dessa kanaler/sidor och vem som ska fastställa Förvaltnings- och awecklingsplaner. Internrevisionens bedömning är förvaltning av samtliga kanaler och sidor ska utredas och implementeras. Situationer där medarbetare är aktiva på sociala medier i frågor rörande Trafikverket och dess verksamhet har skapat osäkerhet om vad som gäller beträffande lojalitetsplikt mot Trafikverket och yttrandefrihet. Enligt vår bedömning finns det ett behov av tydliggjort stöd för chefer att vända sig till vid osäkerhet om hur de bör agera i dessa situationer. # Observation Rekommendation Ansvar 1 2 3 Det kan finnas många risker med olika sociala medier, t ex villkor, informationssäkerhet, möjligheter till arkivering med nya sociala medier. Risker och möjligheter hanteras inte systematiskt och dokumenterat. Risk- och möjlighetsanalyser är ej genomförda innan en social kanal/sida har etablerats. Stora projekt har startat nya kanaler ex. Instagram utan :s godkännande. a) Säkerställ att en systematisk, dokumenterad analys avseende risker och möjligheter med nya typer av sociala medier genomförs innan godkänner att någon del av organisationen aktiverar sig på detta. b) Uppdatera riktlinje vid nya godkända sociala medier. c) Upprätta rutiner för respektive socialt medium som är tillåtet inom Trafikverket. a) Säkerställ att en systematisk dokumenterad analys avseende risker och möjligheter med nya sociala medier/sidor samt besluta om det sociala mediet/sidan ska fortsätta eller stängas. b) Uppdatera riktlinje "Trafikverkets närvaro i sociala medier" (TDOK 2011:156) med att skriftligt beslut ska fattas av gällande nya sociala medier eller sidor. c) Säkerställ att icke godkända sociala medier/sidor stängs efter en kortare respittid. Säkerställ efterlevnad av Trafikverkets närvaro i sociala medier TDOK 2011:156. cpr
TRV 2013/2491 2013-03-12 Under revisionen har framkommit att det endast är de två officiella kanalerna (Facebook och YouTube) som hanteras inom förvaltningsobjektet Informations- och kommunikationskanaler. Situationer där medarbetare är aktiva på sociala medier i frågor rörande Trafikverket och dess verksamhet har skapat osäkerhet om vad som gäller beträffande lojalitetsplikt mot Trafikverket och yttrandefrihet. Enligt vår bedömning finns det ett behov av tydliggjort stöd för chefer att vända sig till vid osäkerhet om hur de bör agera i dessa situationer a) Utred och säkerställ hur godkända sociala medier och sidor ska hanteras i förvaltningsobjekt. b) Förtydliga ansvar för att fastställa förvaltnings- och awecklingsplaner. c) Säkerställ att förvaltningsplaner är beslutade och förvaras på utsedd plats. Tydliggör stöd för chefer vid osäkerhet om hur de bör agera i situationer där medarbetare är aktiva på sociala medier i frågor rörande Trafikverket. cpe 2.2 Informationssäkerhet Enligt riktlinjen "Informationssäkerhet i Trafikverket" (TDOK 2011:175) har de verksamhetsansvariga ansvar för säker informationshantering i sin verksamhet oavsett om hanteringen sker med hjälp av de egna medarbetarna eller hos extern part. Enligt handledningen "Metod för informationssäkerhetsanalys" (TDOK 2011:198) ska en informationssäkerhetsanalys eller en förenklad informationssäkerhetsanalys genomföras för att definiera Trafikverkets informationssäkerhetskrav vid etablering av ny verksamhet eller funktion som ska nyttja ett befintligt system då nya behov/värderingar/krav uppstått då verksamheten ska utveckla/erbjuda nya tjänster och rutiner för allt IT-stöd som ägs eller nyttjas av Trafikverket oavsett om extern aktör eller enhet inom myndigheten ansvarar för drift och förvaltning av ITstödet. vid införande, ny- och vidareutveckling, förvaltning, samt avveckling av ITstöd. Informationssäkerhetsanalyser är inte genomförda för de kanaler inom sociala medier som Trafikverket deltar i. Det bör alltid genomföras informationssäkerhetsanalyser innan Trafikverket beslutar om att gå in i nya sociala medier samt för de sociala medier som Trafikverket deltar i för närvarande. I analysen bör villkor, behörigheter och arkivering mm ingå. Risken TDOK 2010:270 Internrevisionsrapport v.1.0
med att inte ha genomfört informationssäkerhetsanalyser är att det saknas en strukturerad bild av risker och vilka åtgärder som ska vidtas för att hantera dem. Under revisionen har vi noterat brister i behörighetshantering, lösenordshantering, analys av villkor och systemkrav. De medarbetare som hanterar Facebook i tjänsten går in på Trafikverkets konto via sitt privata Facebook-konto. Ifall medarbetaren har en privat smartphone med en Facebook-app är det möjligt att direkt komma åt Trafikverkets konto ifall den privata telefonen kommer i orätta händer. Detta är även möjligt på en privat dator ifall medarbetaren är inloggad på Facebook. Det finns i dagsläget inga krav på starka lösenord, att logga ut efter användande, ha tangentlås på privat smartphone, dator odyl. Vi bedömer att det är angeläget att åtgärder för behörighetshantering och säkrare inloggningsförfarande genomförs snarast. Trafikverkets officiella YouTube-konto hanteras genom ett lösenord som delas av ett is-tal personer. Vid tidpunkten för revisionen var lösenordet aldrig ändrat. Denna hantering medför stora risker, både därför att man inte kan se vilken som gjort vad på YouTube och därför att det ökar risken för att lösenordet kan komma i orätta händer. Det är inte tillåtet att använda gruppkonton inom Trafikverket. Enligt rutinen "Dispensärenden inom informationssäkerhets- och IT-området" (TDOK 2010:317) ska begäran om avsteg från fastställda regelverk inom IT och informationssäkerhet hanteras enligt denna rutin och beslutas av chefen för Central funktion IT eller enligt delegering. Dispens har ej sökts för de gruppkonton som används för You Tube, Twitter, Instagram och Flickr. Det bör undersökas närmare hur konton har hanterats för övriga You Tube-kanaler och vidta nödvändiga åtgärder. # Observation Rekommendation Ansvar 6 Informationssäkerhetsanalyser är inte gjorda för de kanaler inom sociala medier som Trafikverket deltar i. Risken med att inte ha genomfört informationssäkerhetsanalyser är att det saknas en strukturerad bild av risker och vilka åtgärder som ska vidtas för att hantera dem. a) Genomför informationssäkerhets - analyser för befintliga kanaler. b) Säkerställ att informationssäkerhets - analyser genomförs inför beslut om deltagande i ytterligare sociala medier. c) Genomför prioriterade åtgärder från informationssäkerhets - analys. 2.3 Arkivering och diarieföring Enligt "Bevarande och gallringsbeslut för Trafikverkets medverkan på sidor i sociala medier" (TRV 2011/15795) ska Trafikverkets sidor kopieras ned på annat lagringsmedium minst en gång per kvartal samt om systemet genomgår en större för ändring. Bevarandet skiljer sig mellan olika sidor i de sociala
TRV 2013/2491 2013-03-12 medierna från att ta skärmdumpar och spara på lokala arbetsrum eller filareor till att inte göra någonting utan betrakta informationen som sparad på det sociala mediet. Det finns en risk att Trafikverket inte har kontroll över handlingarna, att de inte är sökbara och att Trafikverket inte uppfyller de krav som finns för allmänna handlingar. Under revisionen har vi sett att det är flera som har funderat över hanteringen och att man i vissa fall har en egen lösning. För att säkerställa styrning och effektivitet bör det vara en utpekad funktion som utreder hur arkivering och diarieföring på de olika sociala medier som Trafikverket använder ska hanteras. Det finns inte beskrivet hur kanaler och sidor för projekt ska hanteras när projekten avslutas ex. gällande arkivering i de fall det sociala mediet betraktas som arkivet. Det råder också oklarhet kring vad, hur och till vem loggar, lösenord mm ska överlämnas ifall exempelvis ett projekt avslutas och dess kanal eller sida på sociala medier ska avslutas. Det finns en risk att information, ex. lösenord, material som ska arkiveras, inte överlämnas strukturerat. # Observation Rekommendation Ansvar 7 Bevarandet skiljer sig mellan olika sidor i de sociala medierna. Det finns en risk att Trafikverket inte har kontroll över handlingarna, att de inte är sökbara och att vi inte uppfyller de krav som finns för allmänna handlingar. Utred och genomför hur arkivering och diarieföring ska ske i respektive kanal. 8 Det råder oklarhet hur sidor och kanaler ska hanteras vid projektavslut. Utred och säkerställ vad och hur ska överlämnas vid avslut av en kanal inom sociala medier 11 TDOK 2010:270 Internrevisionsrapport v.1.0
TRAFIKVERKET Trafikverket, Internrevisionen, 781 89 Borlänge. Besöksadress: Röda vägen 1. Telefon: 0771-921 921, Texttelefon: 0243-750 90 www.trafikverket.se