INFORMATIONSSÄKERHET I SVENSKA KOMMUNER Utmaningar, brister och faktorer för ett framgångsrikt informationssäkerhetsarbete

Sammanfattning: Sverige är en av de ledande nationerna i EU när det kommer till digitalisering, men utvecklingen av cybersäkerhet har inte följt med i samma takt som den digitala utvecklingen och det finns allvarliga brister i informations- och cybersäkerheten inom offentlig sektor i Sverige. Denna studie syftar till att identifiera eventuella brister, utmaningar eller faktorer som leder till ett framgångsrikt informationssäkerhetsarbete i svenska kommuner. Detta genom att undersöka och analysera hur informationssäkerhetsarbetet påverkas utifrån organisatoriska förutsättningar, systematik i informationssäkerhetsarbetet och omvärldsfaktorer. Studien tar en explorativ ansats och utförs genom kvalitativa forskningsmetoder. Nio stycken semistrukturerade intervjuer genomfördes med sakkunniga inom området och informationssäkerhetsansvariga i svenska kommuner. Den inkomna datan efter intervjuerna analyserades utefter en tematisk analys och organiserades efter teman utifrån studiens teoretiska ramverk likväl som nya identifierade teman. Studiens resultat visar på flera utmaningar, brister och faktorer som påverkar informationssäkerhetsarbetet i svenska kommuner, och varierar bland annat med kommunernas varierande storlek. Studiens resultat tydliggör att den komplexitet som finns i den kommunala verksamheten även påverkar komplexiteten i informationssäkerhetsarbetet. Flera faktorer bedöms ha en betydande påverkan, inklusive informationssäkerhetsarbetets organisatoriska placering i förhållande till ledningen, tilldelning av resurser och att ansvariga ges rätt förutsättningar, att arbetet inte isoleras till en specifik enhet utan integreras i hela verksamheten, och att samordning med tydliga mandat är definierade. Bred kompetens och tidigare erfarenhet hos de som arbetar med informationssäkerhet är väsentligt för att kunna erbjuda rätt stöd i verksamheten. Externa faktorer som lagkrav och regler likväl som händelser i omvärlden bedöms ha en markant påverkan på ledningens förståelse för området och en tvingande kraft på hur området ska prioriteras. MSB:s metodstöd finns lätt tillgängligt som ett stöd för att erhålla systematik i informationssäkerhetsarbetet men slutanvändare upplever vissa begränsningar i hur metodstödet är tänkt att nyttjas.