Är Värnamo Kommuns arbete med IT-säkerhet genomtänkt och tillräckligt?

Om IT-säkerhet finns bland annat att läsa i kommunens Plan för digital förnyelse, 2023-2025, Policy om informationssäkerhet och riklinjerna för Informationssäkerhet, Sociala medier och Distansarbete.

Mycket av arbetet klarar Värnamo kommun själv inte av och därför samarbetar nästan alla Sveriges kommuner i projektet ”Handslag för digitalisering” som är en strategisk agenda där Sveriges kommuner, tillsammans med SKR-koncernen (SKR, Adda och Inera), samarbetar för att främja välfärdsutveckling genom digitalisering. Initiativet fokuserar på konkreta digitaliseringsprojekt inom områden som socialtjänst, skola, grundläggande infrastrukturella förutsättningar och kompetensförsörjning inom digitalisering.

Under 2023 igångsattes en omfattande dialog med landets kommuner, vilket resulterade i en handlingsplan med 13 konkreta initiativ. Av dessa prioriterades sju initiativ baserat på kommunernas behov och intresse. Mellan juni och september 2024 erbjöds kommunerna att ansluta sig till fyra av dessa initiativ: identitets- och behörighetshantering, breddinförande av välfärdstekniska lösningar, digital post samt säker digital kommunikation i Socialtjänsten. Ett par av dessa projekt överensstämmer med uppdragen i Plan för digital förnyelse, 2023-2025.

Tyvärr har offentlig sektor i Sverige gjort sig beroende av en multinationell aktör inom segmenten kontorsprogramvara, digital post och kalendersystem. Företaget är Microsoft, som historiskt sett varit synnerligen duktiga på att paketera sina tjänster och binda upp sina kunder.

I Plan för digital förnyelse, 2023-2025 sammanfattas det egna digitala arvet med följande formuleringar:

1. Säkerställa infrastrukturen. En infrastruktur som aktivt möjliggör och inte begränsar skapande av lösningar samt göra säker digitalisering. Undvika onödiga höga kostnader, trögrörlighet och inlåsningseffekt/begränsning kopplade till tidigare digitala investeringar.

2. Kartlägga Skugg-IT, analysera och åtgärda (det IT-stöd som den enskilda verksamhet/enhet har köpt in själv ). Säkerställa förutsättningar för smidig digitalisering och att resurser används på bästa möjliga sätt och i gemensam riktning.

Det finns en risk för att kommunen har ett osunt beroende av en enskild leverantör, vilket kan begränsa flexibiliteten och skapa långsiktiga kostnadsökningar. Alternativa, mer säkra och oberoende system bör övervägas, såsom öppna och egna/kommungemensamma lösningar som erbjuder bättre kontroll över informationen.

Värnamo kommun har beslutat att de från 2025 skall använda Microsofts paketlösning Office365, som även inkluderar en så kallad molntjänst, det vill säga Microsoft tillhandahåller minnesutrymmen på sina servrar i Sandviken/Gävle, vilka användarna har åtkomst till, via valt behörighetssystem, var de än befinner sig.

Microsofts kontorspaket (ordbehandling, kalkylark, epost & kalenderhantering och enklare databashanterare) fungerar oftast bra, men har en hel del svagheter. Ett exempel är e-post och kalendertjänsten Outlook som har flera brister som kan vara frustrerande för användare. Här är några av de mest uppenbara:

1. Prestandaproblem, Kan vara långsam, särskilt vid hantering av stora e-postlådor. Sökmotorn fungerar ibland dåligt och missar relevanta resultat.

2. Komplexitet och användarvänlighet. Gränssnittet kan kännas överväldigande, särskilt för nya användare. Många funktioner är gömda bakom menyer och kan vara svåra att hitta.

3. Synkroniseringsproblem. Kalender- och kontaktinformation kan ibland inte synkroniseras ordentligt mellan enheter. IMAP-konton kan ha problem med att synkronisera mappar korrekt.

4. Buggar och stabilitetsproblem. Vissa uppdateringar kan orsaka oväntade buggar, t.ex. att Outlook kraschar eller slutar fungera. Plugin-program från tredje part kan orsaka instabilitet.

5. Begränsningar i spamhantering. Outlooks inbyggda spamfilter är inte lika kraftfullt som t.ex. Gmail. Svårt att hantera spam effektivt utan externa tillägg.

6. Dålig integration med icke-Microsoft-tjänster, ex.vis kan integrationen med t.ex. Google Kalender och Gmail kan vara besvärlig.

Molntjänsten är på intet vis dålig och alla filer och e-postmeddelanden i Microsoft 365 krypteras både vid överföring och lagring, vilket säkerställer att de skyddas från obehörig åtkomst. Trots detta erbjuder Microsoft möjligheten att använda egna kundhanterade krypteringsnycklar nycklar (Customer Key) för att skydda data i Exchange Online, SharePoint och OneDrive. Slutsatsen av detta måste vara att den största risken för obehörig hantering av data finns i Microsofts egna serverhallar.

I kommunens Riktlinje – Informationssäkerhet betonas att en riskanalys ska genomföras regelbundet och vid större förändringar, exempelvis större systemuppdateringar, nyanskaffning, nya användargrupper eller extern åtkomst. Skyddsåtgärder ska införas för att nå säkerhet för information i nätverk och anslutna tjänster utifrån klassningen av anslutna objekts krav på konfidentialitet, riktighet och tillgänglighet.

I kommunens Riktlinje Distansarbete poängteras att det är upp till medarbetaren att ordna så

att sekretessen bibehåller samma kvalité och att samma rutiner som på huvudarbetsplatsen följs.

Sociala medier har blivit en viktig kanal för kommunikation mellan kommuner och invånare. Genom plattformar som Facebook, Instagram och X (tidigare Twitter) kan kommunen snabbt nå ut med information, skapa dialog och stärka medborgarnas delaktighet. Användandet av sociala medier medför dock även utmaningar och risker, såsom informationssäkerhet, integritetsfrågor, spridning av felaktig information och risken för hot och trakasserier.

Det är därför av stor vikt att kommunen har en tydlig strategi och riktlinjer för användningen av sociala medier. Detta inkluderar frågor kring säkerhet, moderering av kommentarer och hur kommunen hanterar desinformation samt skyddar anställda och förtroendevalda från digitala trakasserier. Vidare bör kommunen också utvärdera om det finns alternativa lösningar för digital kommunikation som kan vara mer anpassade till offentlig sektor och minska beroendet av kommersiella sociala medieplattformar.

Mina frågor är:

1. Hur långt har kommunen kommit i arbetet med det Digitala Handslaget?
2. Hur mycket betalar Värnamo kommun årligen i licensavgifter till Microsoft?
3. Har kommunen gjort en ordentlig riskanalys över användandet av molnbaserade tjänster som Microsoft 365, särskilt med avseende på informationssäkerhet och GDPR?
4. Vilka alternativa IT-lösningar har kommunen övervägt för att minska beroendet av utomnordiska leverantörer?
5. Vilka åtgärder vidtas för att säkerställa att kommunens data är skyddad från åtkomst av obehöriga aktörer, inklusive utomstående myndigheter och företag?
6. Använder kommunen sig av kundhanterade krypteringsnycklar?
7. Vilka åtgärder vidtas för att hantera och minska risker kopplade till sociala medier, såsom desinformation och näthat?
8. Har kommunen övervägt att använda alternativa digitala kommunikationskanaler för att minska beroendet av kommersiella plattformar?
9. På vilket sätt säkerställs att invånares och kommunanställdas integritet skyddas vid användning av sociala medier?

 

Fjodor Eklund

Vänsterpartiet 20250204

Uppdaterades: 04 feb 2025