Molntjänster för myndigheter ska bli lättare att använda med bibehållen informationssäkerhet vid lagring och kommunikation. En offentlig utredning föreslår två lagändringar så att privata aktörer ska kunna bygga och drifta tekniken. VA-branschen behöver ett enat grepp kring molnproblematiken efter kravskärpningar, men lösningarna dröjer. Vakin i Umeå ligger i täten.
En nanometerstor partikel kallad coronavirus har bromsat in mycket utvecklingsarbete som har med informationssäkerhet att göra. I sommar är det tre år sedan EU:s NIS-direktiv infördes i svensk lag. Och det är snart två år sedan den nya Säkerhetsskyddslagen, SSK, infördes, med uppdateringar så sent som i januari i år. Till detta kommer skyddet av personuppgifter i nya Dataskyddsförordningen, eller GDPR som den populärt kallas. Dessutom är flera olika myndigheter inblandade för tillsynen av lagarnas efterlevnad, vilket ökar komplexiteten kring arbetet med informationssäkerhet.
Läget i omvärlden är det som starkt påverkat de här lagarna och för att matcha hotbilden, främst ökat cyberspionage och -sabotage, måste aktörerna i VA-branschen lägga mycket tid och resurser på sin digitala hantering så att den är säker ur alla aspekter. Främst gäller det molntjänster och mest kritiskt då är information kring bygg- och renoveringsprojekt, där man i branschen dels måste samarbeta externt med underleverantörer, entreprenörer och konsulter, och dels vill ha nationellt erfarenhetsutbyte mellan verksamhetsaktörer i branschen.
– Det är ett generiskt problem för fler branscher än VA-branschen. Projektportaler har inte utvecklats i samma takt som säkerhetskraven ökat, säger Carl Önne, handläggare på avdelningen för cybersäkerhet och säkra kommunikationer hos Myndigheten för samhällsskydd och beredskap, MSB.
IT-driftsutredningen, som jobbat sedan september 2019, ska bland annat kartlägga och analysera statliga myndigheters behov av säker och kostnadseffektiv IT-drift. I det ingår att analysera de rättsliga förutsättningarna för kommuner att med bibehållen säkerhet utkontraktera IT-drift till privata leverantörer.
Utredningen är försenad, men 15 januari kom ett delbetänkande om det rättsliga läget. Det heter Säker och kostnadseffektiv IT-drift – rättsliga förutsättningar för utkontraktering (SOU 2021:1). I oktober är det tänkt att slutbetänkandet, med praktiska förslag på former för samordnad IT-drift i Myndighetssverige, ska komma. Såvida inte ytterligare pandemivågor leder till fler förseningar.
Delbetänkandet innehåller två förslag på lagändringar, som behövs för att överhuvudtaget kunna låta utomstående aktörer sköta IT-driften av lagring och kommunikation, där det kan ingå sekretessbelagd information.
I första förslaget finns en bestämmelse om att det ska vara möjligt att bryta sekretess, efter intresseavvägning, på ett sådant sätt att en leverantör av teknisk behandling kan ta emot datan (utlämnad data anses nämligen röjd). Bestämmelsen föreslås ligga i OSL, Offentlighets- och sekretesslagen.
Eftersom en leverantör av IT-drift kan sägas ta emot uppgifter, föreslås därför också en inskränkning av meddelarfriheten för att personal inte ska kunna röja informationen, en slags tystnadsplikt för just de sekretessbelagda uppgifterna som kan förekomma i systemet.
Nu ligger utredningsresultat och lagändringar långt fram i tiden, så under tiden måste branschen hitta sätt att förhålla sig till de nya lagarna kring informationssäkerhet. En återgång till hur det var före digitaliseringen, det vill säga analog hantering, kan idag anses vara mycket ineffektivt.
– Förr i tiden fanns allt i pärmar som låstes in. Först skrev en användare i pärmen, sen kom nästa och plockade ut den för att jobba, säger Mattias Lind, säkerhetschef hos kommunägda Vakin i Umeå, där de projekterar ett eget digitalt projekthanteringssystem kallat Stins, Säker Transmission I digitala Nätsystem. Ett projekt som många i VA-branschen håller ögonen på.
Vakin har drivit projektet kring säker lagring av data under fem år.
– Det är ett sätt att lagra känslig information digitalt, som också ska kunna delas med andra användare. Jag tror att vi är först på banan med detta i VA-branschen, berättar Mattias Lind.
Projektet genomförs i samarbete med Umeå Energi och Umeå kommun, samt med IT-konsulten Tutus, som också levererar kryptoteknik till Försvarsmakten.
De bygger ett eget robust datacenter som inte är kopplat till internet. Där sker lagring och där kan finnas molntjänster som dokumenthantering, ordbehandling och kalkyl. Men det finns inget traditionellt internet där. Brandväggar stoppar all trafik som inte kommer från i förväg godkända enheter, vare sig det är laptops, plattor eller mobiler. Trafiken sker i krypterade tunnlar med VPN och alla godkända enheter ska vara »härdade« så att det bara går att jobba krypterat mot datacentret, inte läsa kvällstidningar eller surfa på Facebook. Dessa enheter tar inte heller emot USB-stickor eller skrivaranslutningar. Behöver man skicka e-post så får det göras från någon annan enhet som inte har koppling till Stins.
– Våra tekniker ska kunna sitta var som helst och hantera systemen eller projekten. Om en utomstående konsult ska vara med så behöver den personen en laptop från oss, förklarar Mattias Lind.
En grej som måste ske med försiktighet är uppgradering av programvara. Många program uppdaterar sig själva idag, via internet, men här måste alla uppgraderingar tas fram utanför systemet för att sedan köras in i systemet via en “tvättmaskin”, som ska se till att inget skräp tar sig in.
Enligt Säkerhetsskyddslagen finns det fyra nivåer på säkerhetsklassad information, med graderingar för vilken skada som det kan orsaka för rikets säkerhet om informationen röjs:
• Kvalificerat hemlig – synnerligen allvarlig skada.
• Hemlig – allvarlig skada.
• Konfidentiell – ringa skada.
• Begränsat hemlig – obetydlig skada.
Systemet hos Vakin är konstruerat för att hantera information klassat i den lägsta klassen, begränsat hemlig information. För de högra klasserna måste systemen godkännas av Säpo och Försvarsmakten.
Även om Stins löser situationen i Umeå, är det ingen lösning på behovet av kommunikation mellan kommuner för exempelvis erfarenhetsutbyte.
– Det är ett jätteproblem i branschen hur man ska klara av kommunikationen med tredje part på ett säkert sätt. Kanske kan företag som Tutus bygga hubbar i andra kommuner som kan prata med varandra. Risken är annars att det byggs en massa parallella säkra system som inte pratar med varandra, säger Mats Wilhelmsson, IT-chef hos Vakin, som får många frågor från olika håll i VA-Sverige om Stins.
Några finesser i systemet är att den kryptering som Länsstyrelserna använder finns inbyggd i systemet, så att kommunikation kan ske till deras säkra plattform. Det finns också inbyggd krypterad videokonferens kallad Skiffer. Likaså har nu Vakin och ett par andra VA-organisationer, samt Svenskt Vatten, specialanpassade mobiltelefoner där det går att prata, texta och videokonferera krypterat mellan just dessa lurar, som kallas Färist Mobile.
Coronaviruset har även haft inverkan på Stins som skulle ha varit driftsatt i december. Förhoppningen är att vara igång under våren i år. Inledningsvis ska det finnas 50 användare och investeringsskostnaden har varit cirka sex miljoner kronor.
– Sen tillkommer det kostnader för utrustning, lokaler, säkerhetsorganisation, systemoperatörer och utbildning, förklarar Mats Wilhelmsson.
Det är inte lätt för mindre kommuner att driva den här typen av projekt, när varken pengarna eller personalen som krävs finns. Särskilt inte när samordningen i branschen saknas. Viss vägledning finns att läsa på myndigheternas hemsidor, bland annat hos MSB, Livsmedelsverket och Säpo.
Redan det som Cirkulation skrivit om i en rad artiklar förra året, att säkerhetsklassa informationen så att det blir tydligt vad som är skyddsvärt eller inte, är fortfarande ett problem på många håll. Livsmedelsverket har på gång att ta fram gemensamma riktlinjer för vattenproducenterna, men det dröjer ännu ett tag. Svenskt Vatten ska uppdatera sin säkerhetshandbok, som kom ut 2012, långt innan de nya lagbestämmelserna, men även det tar tid.
– Vi börjar med det under det här året och det blir förhoppningsvis klart under 2022. På många håll är det ett ganska stort jobb kvar att göra när det gäller att säkerhetsskyddsklassa sin verksamhet, säger Birger Wallsten, dricksvattenexpert hos Svenskt Vatten.
Han administrerar också det nätverk kring informationssäkerhet de har där representanter från VA-Sverige diskuterar säkerhetsfrågorna. Det har potential att bli den plats där en gemensam behovs- och kravprofil på molntjänster för VA tas fram. En sådan profil kan bli till stor hjälp för alla aktörer i branschen.
– Vi ska lyfta frågan om vi ska göra något mera omfattande. Det borde kunna ske i samarbete med Sveriges kommuner och regioner, SKR. Vi ska ta kontakt med dem om detta, säger Birger Wallsten vidare.
SKR har sedan 2019 ett par vägledningar på sin hemsida:
• Molntjänster i verksamheten
• Molntjänster och konfidentialitetsbedömning
Dessa är dock generella för kommuner och regioner, och inte enbart för VA-verksamhet. Visst basalt stöd finns dock att finna där. Bland annat diskuteras att undersöka var leverantören hanterar informationen, var personalen befinner sig, om leverantören ägs av något utländskt företag eller om andra länders lagar kan komma att gälla för informationen. Det finns också länkar till verktyg för att börja med klassning av informationen.
En uppenbar risk, och det finns exempel som Cirkulation har stött på, är att allt hamnar för högt i säkerhetsnivåerna, när det egentligen kanske inte behöver vara så. I regel hänger det samman med att man inte hunnit göra tillräckligt med detaljbedömningar.
– Allt är ju inte säkerhetsskyddsklassificerat på ett vattenverk och jag tror inte heller ens att alla vattenverk omfattas av säkerhetsskyddslagen som ju har inriktning på Sveriges säkerhet. Dessutom får man inte glömma bort risken för elavbrott och andra driftstörningar, även om risken för cyberspionage och hot från främmande makt anses ha ökat. Det gäller att ha ett allriskperspektiv, säger Carl Önne hos MSB.
Vid upphandling är det viktigt att välja ISO-certifierade leverantörer och sedan ställa de rätta kraven i kontrakten, till exempel att databehandling endast får ske i Sverige. Carl Önne rekommenderar deras skrift Upphandla informationssäkert – en vägledning, som finns på msb.se.
De stora VA-organisationerna har det väl förspänt, exempelvis VA Syd. Deras säkerhetschef Johan Holmberg är starkt engagerad i problemen som finns i branschen.
– Alla har inte den turen som jag har som kan jobba med det här dygnet runt hela året. Vi har både personal och dubbla egna datacenter som speglar varandra. Vi behöver inte utkontraktera någon IT, berättar han.
– Kraven på de minsta kommunerna är minst lika stort som på oss. Organisationerna måste bli bättre på att klassa informationen innan vi kan få igång interkommunalt utbyte i större skala, säger Johan Holmberg.
Som många andra vi talat med tycker Johan Holmberg att det vore bra med tillgång till svenska skyddade kommunikationsnätet mellan myndigheter, SGSI (Swedish Government Secure Intranet). Det ligger vid sidan om internet med egna fiberoptiska kablar och användarna kan finnas i hela Europa. De anslutna kan få åtkomst till andra anslutnas databaser, skicka skyddad e-post och ha skyddade videokonferenser. För att få ansluta sig måste man vara certifierad enligt högt ställda krav på arbete arbete med it-säkerhet och signalskydd, motsvarande ISO 27001.
– Vi håller på att undersöka om vi kan få tillgång till detta. MSB börjar nu försöka få fler att ansluta sig, säger han.
Han finns också med i Svenskt Vattens säkerhetsnätverk, där ett 25-tal personer ingår. Men han betonar att kunskapen måste spridas ut i större omfattning i organisationerna.
– Vi som är med där tillhör de redan frälsta. De här sakerna måste tryckas ut i organisationerna så att det blir tydligt med hotbilderna och de juridiska aspekterna, förklarar Johan Holmberg som också är specialintresserad av vad som händer i Umeå: Stins är otroligt intressant och jag följer det ganska nära.
Det finns marknadsaktörer som tar fram molnlösningar för myndigheter, exempelvis kommuner, med hänsyn taget till de olika lagarna och informationens skyddsvärde. Här är namnen på några av företagen: Safespring, Binero, Citynetwork/Iver, Gleesys. När vi varit i kontakt med folk i VA-branschen har de oftast inte hört talas om att det vuxit fram en anpassning hos molnleverantörerna.
– Om det behövs säkerhetsklassning av personal så har vi avtalsmekanismer för det. Vi vill också att IT-lösningarna ska vara möjliga att ändra när en situation ändras. Det kan bli höga kostnader annars om man måste flytta på sig, förklarar Fredric Wallsten, VD för Safespring, ett företag som finns både i Sverige och i Norge.
De, liksom de andra aktörerna vi nämner, bygger sina egna datacenter och säljer sedan olika nivåer av molnlösningar, från ren infrastruktur, över plattformslösningar, till drift av applikationer. Allt anpassat efter de säkerhetskrav som finns.
– Det är oftast så att kommunen köper in en applikation och driftar det sedan hos oss, antingen själva eller genom någon som gör det åt dem, förklarar Fredric Wallsten.
Att inte bygga fast sig hos en leverantör är viktigt, vilket inte minst illustreras av affären när Volvo IT för några år sedan köptes av indiska HCL för 900 miljoner kronor. I nuvarande rättsläge skulle det kunna innebära omfattande förändringar och kostnader för kunder med skyddsvärd information i deras tillhandahållna system, beroende på lagstiftningen i Indien. En stor grund i den affären var nämligen att kunderna skulle följa med över.