– Man vill ju inte lägga kartan på bordet.
Eva Bjurling, it-chef på Borlänge kommun, är tydlig med att hon inte kommer att berätta särskilt mycket om specifika lösningar eller rutiner kring deras informations- och it-säkerhet under vår intervju. Det vore helt enkelt dumt att avslöja något som kan ge cyberbrottslingar minsta vink om hur de kan hitta vägar in i deras system, eller till deras information.
Ligger steget före
Inte för att det vore särskilt enkelt. Borlänge kommun hör till en av de kommuner som har bäst koll på sin information och sitt it-skydd. Det är resultatet av ett tioårigt arbete för att hela tiden ligga steget före.
– Vi vill agera istället för att behöva reagera när en incident inträffar, säger Eva Bjurling.
Hjälp med klassificering
Borlänge kommun är säkerhetscertifierade enligt ISO 27001 sedan flera år, men bestämde sig för ett par år sedan att vässa sitt skydd ytterligare och se över informationshanteringen inom verksamheten. För att nå så långt som möjligt tog de hjälp av två externa konsulter från Atea, båda med bred erfarenhet från offentliga verksamheter och privata företag.
– Richard Wikberg från Atea kom in och hjälpte oss bland annat med klassificeringen av våra it-system, som vi gjorde med Sveriges Kommuners och Regioners egna verktyg, Klassa.
Eva Bjurling:
Tre värdefulla effekter med ökad informationssäkerhet
- Idag kan vi agera istället för att reagera.
- Idag är vi medvetna om vilka risker vi har och kan agera utifrån dem.
- Vi har en större medvetenhet om vilken information som vi har och vilka uppgifter som kräver högt skydd.
It-chef Eva Bjurling
Värdefullt med extern kompetens
Kommunen har hela tiden drivit projektet och genomfört den största delen av allt informationssäkerhetsarbete. Men Eva Bjurling understryker värdet av att ha någon som har både bred och djup kunskap inom exempelvis lagstiftning inom området, som ser vilka tekniska justeringar som kan göras för att stärka säkerheten.
– Själva klassificeringen av systemen har gjorts av en och samma person, vilket innebär att vi har fått samma synsätt rakt över våra olika lösningar. Det ger en enhetlighet som gynnar vårt befintliga skydd och underlättar utvecklingen framåt, säger hon.
Justeringar i befintliga rutiner
Utifrån analyser och åtgärdsförslag som kommit fram ur arbetet har kommunen gjort enkla förändringar i befintliga rutiner. En typ av justeringar har handlat om intervall för säkerhetskopiering.
– Hur länge klarar vi oss utan data? Hur mycket data har vi råd att tappa? När vi fått de svaren, som ett resultat av Klassa-verktyget, kunde vi justera våra backup-scheman för varje system i it-miljön, förklarar Eva Bjurling.
”Informationssäkerhet är inget du gör en gång. När du väl har klassat ett system bör du göra om det, kanske vartannat år. Har vi samma förutsättningar idag eller har någon förändrats? Det måste vara ett kontinuerligt arbete”
Rutiner för det som kallas onboarding respektive offboarding, hur kommunen agerar när nya medarbetare börjar eller slutar, har också justerats utifrån analysen.
– Säkerhetsjobbet handlar väldigt mycket om rutiner och om hur man resonerar kring och förhåller sig till information.
Så stärker du informationssäkerheten i din kommun
- Arbeta systematiskt med informationssäkerheten. Det bör vara lika naturligt som ett arbetsmiljöarbete.
- Använd en standardiserad metod, i offentlig sektor kan det innebära verktyget Klassa.
- Var uthållig. Att jobba med informationssäkerhet är ett ständigt pågående arbete.
- Ta hjälp för att komma igång på ett bra sätt med analys och struktur.
Så identifierades förändringsbehovet
Klassificeringen av system är en av de bärande delarna i arbetet med att stärka informations och it-säkerheten i Borlänge kommun. En annan är att skapa en bild av den tekniska plattformen och alla verksamhetssystem. Där har Ateas it-konsulter Richard Wikberg och Björn Odelfalk hjälpt oss. Precis som Richard har Björn en väldigt bred erfarenhet och kompetens, men är i högre grad specialiserad på själva tekniken. Han har hjälpt Borlänge kommun att måla upp hela säkerhetsbilden och utifrån den identifiera behov av förändringar.
– I det arbetet upptäckte vi att det fanns delar av it-miljön som täcktes upp av tre till fyra tekniska lösningar och att det också förekom hål i vårt skydd. Tack vare analysen kunde vi avveckla vissa system och komplettera andra, beskriver Eva Bjurling.
Utbildning skapar medvetenhet
Ett av de nya skydden är Tdialog, som används när medarbetarna behöver skicka känslig information via e-post. Det är också ett skäl till varför ett säkerhetsarbete innebär att medarbetarna bygger på sin kompetens. Utöver kunskap om hur man hanterar nya verktyg och skydd, handlar det även om att skapa en medvetenhet om risker och konsekvenser. Då kommer också förståelsen för varför viss hantering måste ske på ett sätt som kräver lite mer arbete än tidigare. I fallet med Tdialog behöver medarbetarna exempelvis identifiera sig med ett Bank-id när de skickar information.
– Vi har bland annat haft nanoutbildningar, korta, kärnfull insatser, för våra medarbetare. Det har fungerat bra och idag är säkerhetslösningar till och med efterfrågade, berättar Eva Bjurling.
Hon är nöjd med det arbete som gjorts, men inte färdig. Att jobba med informations- och it-säkerhet är ett ständigt pågående arbete. Inte minst med tanke på att det hela tiden kommer in ny personal som måste informeras och utbildas så att de kan agera på rätt sätt.
Ständig utveckling och förbättring
It-avdelningen på Borlänge kommun kommer att ha avstämningar med Ateas specialister flera gånger varje år. Utvecklingen går snabbt och system och arbetssätt förändras ständigt. Då måste informationssäkerheten hänga med.
Tekniska lösningar var inte prio ett när Borlänge kommun inledde arbetet för en stärkt it- och informationssäkerhet.
💡 För att lyckas behövde man ta ett större grepp. Richard Wikberg och Björn Odelfalk, specialister på it- och informationssäkerhet bidrar med perspektiv och riktning.