It-driftsutredningen presenterade nyligen sitt delbetänkande angående ”Säker och kostnadseffektiv it-drift” med särskilt fokus på de rättsliga förutsättningarna för offentlig sektors utkontraktering. Slutsatsen är att en lagändring krävs i Offentlighets och sekretesslagen för att förenkla drift hos molnleverantörer, men betänkandet blottlägger också omfattande brister i informationssäkerhetsarbetet hos svensk offentlig sektor.

En förutsättning för all utkontraktering av it-drift, oavsett om det är till svenska, europeiska eller amerikanska leverantörer, är att en riskbedömning görs. En sådan riskbedömning kräver att man vet vilken information som är föremål för utkontrakteringen. För att kunna veta det krävs att informationen är genomgången och klassificerad.

För att få en insikt i nu-läget har It-driftsutredningen genomfört en kartläggning av statliga myndigheters it-drift genom en enkät till 200 statliga myndigheter, fallstudier av fem myndigheter samt en digital workshop med 16 myndigheter. Resultaten är förvånande.

Samtliga myndigheter uppger att man har klassat delar av informationen, men inte all information.

Betänkandet konstaterar därför att ”De största hindren för säker it-drift är bristande informationsklassificering och avsaknad av kompetens inom it och säkerhet”.

Man menar att ”nyckeln till en flexibel och kostnadseffektiv användning av molntjänster är en väl utförd informationsklassificering” och att ”ett systematiskt informationssäkerhetsarbete och informationsklassificering är grunden för att kunna göra rätt avvägningar.” ”Informationsklassificering som en del i ett systematiskt informationssäkerhetsarbete är av central betydelse.”

”Bristande informationsklassificering och bristande kompetens är de största hindren mot säker it-drift.”

Utredningen har sin utgångspunkt i offentlig sektors IT-drift men då även GDPR analyserats har slutsatserna relevans även för den privata sektorn. Man konstaterar att alla beslut om en utkontraktering av IT-drift kräver en riskanalys grundad i en genomförd informationsklassificering.

GDPR har dessutom egna krav på dokumentation av personuppgiftsbehandling, och anger också i detalj vilken metadata som måste anges. Behandling och lagring av odokumenterade personuppgifter, även i filer och e-post, är att anses som ”ett grovt brott mot de allmänna dataskyddsprinciperna” och leder till den högre nivån av sanktionsavgifter.

En väl genomförd och kontinuerligt uppdaterad informationsklassificering är därför en förutsättning för det systematiska informationssäkerhetsarbetet, användandet av molntjänster och följsamhet mot GDPR.

Aigine Inventory automatiserar denna nödvändiga informationsklassificering med världsledande data-mining från IBM och kollaborativt, kontinuerligt tränad, artificiell intelligens.

https://www.regeringen.se/48efac/contentassets/10a3aff9f8b847b48b35036d0907439e/saker-och-kostnadseffektiv-it-drift–rattsliga-forutsattningar-for-utkontraktering-sou_2021_1