Post- och telestyrelsen (PTS) nya uppdrag från regeringen handlar om att ta fram lokaler där särskilt skyddsvärd information kan lagras. Men vilka myndigheters information det handlar om har inte specificerats i uppdraget.
- Exakt vad man ska göra i de här utrymmena ingår inte i uppdraget. Vi ska se till att ordna en förvaltningsmodell där man skulle kunna placera viss IT-utrustning på ett säkert sätt, säger Annica Bergman, avdelningschef på PTS nätsäkerhetsavdelning.
Men att ta fram skyddade anläggningar för exempelvis dataservar kan bli dyrt. De potentiella förvaringsplatserna ska ha tillräckligt god miljö vad avser temperatur, luftfuktighet och el samt ett skydd som gör att endast behörig personal har tillträde.
- Säkerhet kostar alltid pengar, och det är väl därför säkerheten brister ibland. Men om man tittar i andra änden, vad kostar det att inte göra det?, säger Annica Bergman.
Myndigheter saknar kunskap
Det är bråttom att skapa strukturer för att skydda samhällsviktig information, har civilminister Ardalan Shekarabi (S) tidigare sagt. Men att hitta säkra platser är den enkla biten, enligt säkerhetsrådgivaren Peder Qvist. Först måste regeringen se till att myndigheterna reder ut vilken skyddsvärd information de har.
- Vad spelar det för roll om man hittar massa bergrum om man inte vet vad för information som ska skyddas och hur omfattande den är. Sjösätter man det här i fel ordning går det aldrig att riva upp igen, säger Peder Qvist.
Att problemen med myndigheternas IT-säkerhet inte tagits på större allvar tidigare kommer innebära att det blir en rejäl prislapp när de ska åtgärdas, enligt Qvist.
- Man har struntat i tandvärken och bara vänta på att den ska gå över. Nu blir det dyr rotfyllning och hela köret. Det som är oroande är att man inte ens börjat. En hel del myndigheter saknar kunskaper och måste komma på banan, säger han.
Måste sätta sig nu
Även enligt informationssäkerhetsanalytikern Dan Larsson måste myndigheterna ta reda på vad som måste skyddas.
- Om syftet med det här är att få till stånd något som faktiskt går att använda så är det helt fel. I alla fall om man inte samtidigt startar en utredning om vilka myndigheter som ska inkluderas, vad har de för informationer, vilka skyddsklassnivåer har de och hur hanteras processerna? Behörighetsfrågan är väldigt viktig, säger han.
Få myndigheter har koll på vad för information de har och var de lagrar den, enligt experterna.
- De måste få direktiv om att sätta sig ner nu. Men det händer aldrig, säger Dan Larsson.
Fakta: Offentlig IT-säkerhet ska förbättras
Regeringen har gett Post- och telestyrelsen (PTS) i uppdrag att ta fram förslag för en modell för skyddade IT-utrymmen för offentliga aktörer som bedriver säkerhetskänslig verksamhet.
Det handlar bland annat om ökad samordning för att statliga myndigheters IT-drift ska bli säkrare och mer resurseffektiva.
Källa: Regeringen