IT-säkerhet i fokus

Fjodor Eklund (V) läser upp interpellationen. Bild: David Alin

Inför kommunfullmäktige hade Fjodor Eklund ställt en interpellation till servicenämndens ordförande alternativt kommunstyrelsens ordförande om Värnamo kommuns fokus på IT-säkerhet. Fjodor Eklund (V) går upp i talarstolen och läser upp interpellationen.

– Är Värnamo Kommuns arbete med IT-säkerhet genomtänkt och tillräckligt? Om IT-säkerhet finns bland annat att läsa i kommunens Plan för digital förnyelse, 2023-2025, Policy om informationssäkerhet och riklinjerna för Informationssäkerhet, Sociala medier och Distansarbete.

– Mycket av arbetet klarar Värnamo kommun själv inte av och därför samarbetar nästan alla Sveriges kommuner i projektet ”Handslag för digitalisering” som är en strategisk agenda där Sveriges kommuner, tillsammans med SKR-koncernen (SKR, Adda och Inera), samarbetar för att främja välfärdsutveckling genom digitalisering. Initiativet fokuserar på konkreta digitaliseringsprojekt inom områden som socialtjänst, skola, grundläggande infrastrukturella förutsättningar och kompetensförsörjning inom digitalisering.

– Under 2023 igångsattes en omfattande dialog med landets kommuner, vilket resulterade i en handlingsplan med 13 konkreta initiativ. Av dessa prioriterades sju initiativ baserat på kommunernas behov och intresse. Mellan juni och september 2024 erbjöds kommunerna att ansluta sig till fyra av dessa initiativ: identitets- och behörighetshantering, breddinförande av välfärdstekniska lösningar, digital post samt säker digital kommunikation i socialtjänsten. Ett par av dessa projekt överensstämmer med uppdragen i Plan för digital förnyelse under 2023 till 2025.

– Tyvärr har offentlig sektor i Sverige gjort sig beroende av en multinationell aktör inom segmenten kontorsprogramvara, digital post och kalendersystem. Företaget är Microsoft, som historiskt sett varit synnerligen duktiga på att paketera sina tjänster och binda upp sina kunder. I plan för digital förnyelse för perioden 2023 till 2025 sammanfattas det egna digitala arvet med följande formuleringar:

1) Säkerställa infrastrukturen. En infrastruktur som aktivt möjliggör och inte begränsar skapande av lösningar samt göra säker digitalisering. Undvika onödiga höga kostnader, trögrörlighet och inlåsningseffekt/begränsning kopplade till tidigare digitala investeringar.

2) Kartlägga Skugg-IT, analysera och åtgärda (det IT-stöd som den enskilda verksamhet/enhet har köpt in själv ). Säkerställa förutsättningar för smidig digitalisering och att resurser används på bästa möjliga sätt och i gemensam riktning.

– Det finns en risk för att kommunen har ett osunt beroende av en enskild leverantör, vilket kan begränsa flexibiliteten och skapa långsiktiga kostnadsökningar. Alternativa, mer säkra och oberoende system bör övervägas, såsom öppna och egna/kommungemensamma lösningar som erbjuder bättre kontroll över informationen.

– Värnamo kommun har beslutat att de från 2025 skall använda Microsofts paketlösning Office 365, som även inkluderar en så kallad molntjänst, det vill säga Microsoft tillhandahåller minnesutrymmen på sina servrar i Sandviken/Gävle, vilka användarna har åtkomst till, via valt behörighetssystem, var de än befinner sig.

– Microsofts kontorspaket (ordbehandling, kalkylark, epost & kalenderhantering och enklare databashanterare) fungerar oftast bra, men har en hel del svagheter. Ett exempel är e-post och kalendertjänsten Outlook som har flera brister som kan vara frustrerande för användare. Här är några av de mest uppenbara:

1.) Prestandaproblem, Kan vara långsam, särskilt vid hantering av stora e-postlådor. Sökmotorn fungerar ibland dåligt och missar relevanta resultat.

2) Komplexitet och användarvänlighet. Gränssnittet kan kännas överväldigande, särskilt för nya användare. Många funktioner är gömda bakom menyer och kan vara svåra att hitta.

3) Synkroniseringsproblem. Kalender- och kontaktinformation kan ibland inte synkroniseras ordentligt mellan enheter. IMAP-konton kan ha problem med att synkronisera mappar korrekt.

4) Buggar och stabilitetsproblem. Vissa uppdateringar kan orsaka oväntade buggar, till exempel att Outlook kraschar eller slutar fungera. Plugin-program från tredje part kan orsaka instabilitet.

5) Begränsningar i spamhantering. Outlooks inbyggda spamfilter är inte lika kraftfullt som till exempel Gmail. Svårt att hantera spam effektivt utan externa tillägg.

6) Dålig integration med icke-Microsoft-tjänster, exempelvis kan integrationen med till exempel Google Kalender och Gmail kan vara besvärlig.

– Molntjänsten är på intet vis dålig och alla filer och e-postmeddelanden i Microsoft 365 krypteras både vid överföring och lagring, vilket säkerställer att de skyddas från obehörig åtkomst. Trots detta erbjuder Microsoft möjligheten att använda egna kundhanterade krypteringsnycklar nycklar (Customer Key) för att skydda data i Exchange Online, SharePoint och OneDrive. Slutsatsen av detta måste vara att den största risken för obehörig hantering av data finns i Microsofts egna serverhallar.

– I kommunens riktlinje för informationssäkerhet betonas att en riskanalys ska genomföras regelbundet och vid större förändringar, exempelvis större systemuppdateringar, nyanskaffning, nya användargrupper eller extern åtkomst. Skyddsåtgärder ska införas för att nå säkerhet för information i nätverk och anslutna tjänster utifrån klassningen av anslutna objekts krav på konfidentialitet, riktighet och tillgänglighet.

– I kommunens riktlinje för distansarbete poängteras att det är upp till medarbetaren att ordna så att sekretessen bibehåller samma kvalité och att samma rutiner som på huvudarbetsplatsen följs.

– Sociala medier har blivit en viktig kanal för kommunikation mellan kommuner och invånare. Genom plattformar som Facebook, Instagram och X (tidigare Twitter) kan kommunen snabbt nå ut med information, skapa dialog och stärka medborgarnas delaktighet. Användandet av sociala medier medför dock även utmaningar och risker, såsom informationssäkerhet, integritetsfrågor, spridning av felaktig information och risken för hot och trakasserier.

– Det är därför av stor vikt att kommunen har en tydlig strategi och riktlinjer för användningen av sociala medier. Detta inkluderar frågor kring säkerhet, moderering av kommentarer och hur kommunen hanterar desinformation samt skyddar anställda och förtroendevalda från digitala trakasserier. Vidare bör kommunen också utvärdera om det finns alternativa lösningar för digital kommunikation som kan vara mer anpassade till offentlig sektor och minska beroendet av kommersiella sociala medieplattformar, säger Fjodor Eklund (V).

– Mina frågor är:

1) Hur långt har kommunen kommit i arbetet med det digitala handslaget?

2) Hur mycket betalar Värnamo kommun årligen i licensavgifter till Microsoft?

3) Har kommunen gjort en ordentlig riskanalys över användandet av molnbaserade tjänster som Microsoft 365, särskilt med avseende på informationssäkerhet och GDPR?

4) Vilka alternativa IT-lösningar har kommunen övervägt för att minska beroendet av utomnordiska leverantörer?

5) Vilka åtgärder vidtas för att säkerställa att kommunens data är skyddad från åtkomst av obehöriga aktörer, inklusive utomstående myndigheter och företag?

6) Använder kommunen sig av kundhanterade krypteringsnycklar?

7) Vilka åtgärder vidtas för att hantera och minska risker kopplade till sociala medier, såsom desinformation och näthat?

8) Har kommunen övervägt att använda alternativa digitala kommunikationskanaler för att minska beroendet av kommersiella plattformar?

9) På vilket sätt säkerställs att invånares och kommunanställdas integritet skyddas vid användning av sociala medier?

Kommunstyrelsens ordförande Tobias Pettersson (M) besvarar interpellationen. Bild: David Alin

Kommunstyrelsens ordförande Tobias Pettersson (M) tar plats i talarstolen och besvarar interpellationen.

– Tack Fjodor för interpellationen. Frågorna är ställda till Servicenämndens ordförande och/eller kommunstyrelsens ordförande men jag anser egentligen att frågorna är av den karaktären att de i stället borde ha ställts direkt till våra tjänstepersoner på IT-avdelningen. Att trygghet och säkerhet är en viktig del av vår politiska prioritet hoppas jag inte har undgått någon. Detta omfattar givetvis även det digitala landskapet och de informationsflöden samt lagring och andra aspekter som finns där, inleder han med att säga innan han går över till att besvara frågorna:

1) Värnamo kommun samarbetar om digitalisering med övriga 12 kommuner inom kommunal utveckling i Jönköpings län. Kommunal utveckling är en gemensam utvecklingsavdelning som länets 13 kommuner har gemensamt och som samordnar initiativen inom Digitala Handslaget från SKR.

– I juni 2024 fick kommunerna erbjudande om att ansluta till det digitala handslaget av SKR. I september beslutade vi att Värnamo kommun skulle ansluta sig till det digitala handslaget.

– I januari 2025 startade arbetet med två av initiativ 1) införande av digital post och initiativ 2) säker digital kommunikation. Tidsplanen för full implementering är 2025-2026. IT-center deltar med resurser på båda initiativen för att stötta våra kommunala verksamheter i arbete med etablering och införande. Initiativ (3) breddinförande av vissa välfärdstekniska lösningar är ett sektorspecifikt utvecklingsarbete som samordnas inom kommunal utvecklings för IT-strateger/samordnare inom länets socialförvaltningar (omsorgsförvaltningen) och kommer att pågå under åren 2025 till 2027. Initiativ 4 identitet och behörighetshantering är ett SKR-arbete som kommunerna har ställt sig bakom. SKR gör analyser och kommer med rekommendationer. Genom IT-chefsnätverket inom kommunal utveckling får vi löpande information.

– Verksamhetschef för IT-center i Värnamo kommun deltar i ett nätverk för ansvariga för digitaliseringsarbetet som SKR driver. Här får kommunen löpande information om Digitala Handslaget. Denna del beräknas dra i gång våren 2025. Fler initiativ och erbjudanden förväntas löpande från SKR.

2) Kommunen använder både klient- och serverlicenser som används av olika verksamhetssystem. Klientlicenser anpassas efter användarnas behov, vilket innebär att prissättningen varierar. Den beräknade kostnaden för år 2025 är cirka 6,7 miljoner kronor.

3) Ja, en riskanalys för Microsoft 365 är genomfört och plan för åtgärder finns och arbetas med. I Värnamo kommun finns en riktlinje för molntjänster med grundläggande frågeställningar samt process och analysbehov av molntjänster. Processen omfattar en checklista där informationskartläggning och roller, informationsklassning samt riskanalys med bedömning av skyddsnivå ingår.

4) Konsekvensbedömningar för Microsoft 365 är genomfört i förstudie, främst utifrån offentlighets- och sekretesslagen (OSL) och GDPR, men också utifrån andra perspektiv som kan påverkas vid ett i anspråkstagande av Microsoft 365 som kommungemensam tjänst. Konsekvensbedömning i sin helhet finns i en separat rapport kallad ”Konsekvensbedömning utifrån olika perspektiv”: offentlighets- och sekretesslagen, Värnamo kommuns dataskyddsombuds kommentarer om införande av Microsoft 365, säkerhetssamordnarens tankar inför ett eventuellt införande av Microsoft 365, IT-säkerhetssamordnarens tankar inför ett eventuellt införande av Microsoft 365, kommentar angående Microsoft 365 och Nettan, konsekvensbedömning för avveckling av Microsoft 365 och barn och utbildningsförvaltningen  och IT-driftchefs tankar inför ett eventuellt införande av Microsoft 365. Alla förvaltningar får genom projektet ”Synergi” som drivs med projektledare från kommunens IT-center, stöd för att i steg ett genomföra informationshanteringsplan och i steg två sitt införande av Microsoft 365. I införandefasen ingår även ett solid utbildningsupplägg. Både arbetet med informationshantering och införandefasen genomförs med en pilotförvaltning, samhällsbyggnadsförvaltningen, innan ett breddinförande i hela vår organisation. Barn- och utbildningsförvaltningen använder redan Microsoft 365 och genomför informationshanteringsarbetet nu.

5) I en förstudie genomförd 2023 och 2024 för Microsoft 365 valde kommunen att granska fem riskanalyser som andra kommuner har gjort för att dra nytta av deras arbete och undvika onödigt dubbelarbete. Detta innebär att kommunen har kunnat bygga vidare på egen analys utifrån andra kommuners insikter och resultat, i stället för att starta från grunden. Kommunen har genom detta arbetssätt sparat tid och resurser som annars skulle ha krävts. Att granska andras riskanalyser ger oss en breddad synvinkel på de möjliga riskerna och utmaningarna som kan uppstå vid användningen av Microsoft 365. Grunden till varför vi inför Microsoft 365 som en tjänst i hela kommunen?

∗ Flexibel och kostnadseffektiv support

∗ Tillgänglighet av kompetens

∗ Innovation genom moln

∗ Effektiv digital arbetsplats (Funktionalitet som leverantörer levererar igenom M365, det hänger ihop med M365)

∗ Microsoft som ett ekosystem

∗ Microsoft 365 Copilot, AI-assistent för arbete

Det är även en strategisk fråga om vilka verktyg kommunen vill utbilda skolans elever i? Synergiprojektet har även i uppdrag att ta fram en exitplan (åtgärd från riskanalys)

6) Det generella svaret är att kommunens skydd av data utgår ifrån Värnamo kommuns riktlinje om informationssäkerhet, MSB:s metodstöd och råd för att arbeta systematiskt med informationssäkerhet och cybersäkerhet samt MSB och Säpos vägledning för fysiskt skydd. Grunden i skyddet av data är bland annat att verifiera identitet för anställda i Värnamo kommun. Kontoskapande sker automatiskt och är kopplat direkt till medarbetarens anställning och med hänsyn till eventuell skyddad identitet. All väsentliga data i systemen klassas och genomgår en risk och konsekvensanalys. Utifrån den informationen och vilka lagrum som gäller tillämpas olika skyddsåtgärder så som bland annat tvåstegsverifiering, separation från övriga nätverk med mera. Principen är att ingen användare skall ha access till servrar utan enbart de tjänster man är i behov av i sin roll som anställd. Konsulter för system, släps enbart in på begäran av systemets utsedda ansvarig person och då under kort period. Konsulter får enbart access till den server som arbetet avser och accessen avslutas automatiskt. Konsulter har aldrig fysisk access till systemen.

6)  Nej. Microsofts lösning Customer Key ger inte ett tillräckligt skydd av känsliga data för att kunna fylla en funktion. Åtgärd är att förvara känslig information på säkra platser och använda till exempel Microsofts tjänster enbart för kommunikation som uppfyller villkoren att den inte är känslig. Instruktioner och guider tas fram via Synergiprojektet för användning av Microsoft 365.

7) Att finnas på sociala medier gör att vi kan skapa trygghet i digitala kanaler. Om en desinformationskampanj uppstår på sociala plattformar, använder vi våra officiella kanaler för att sprida korrekt information. På så sätt kan vi både omvärldsbevaka och bemöta falska uppgifter. Vi får in många synpunkter och kommentarer, främst via Facebook. För att säkerställa att frågor besvaras snabbt och att eventuell desinformation bemöts, hanterar vårt Kontaktcenter inkomna kommentarer och direktmeddelanden genom ärendehanteringssystemet Artvise. Vi tolererar inte näthat i våra kanaler. Kommentarer med olämpligt innehåll sparas och dokumenteras innan de tas bort. Vi informerar alltid personen om varför kommentaren har raderats. Inför varje publicering görs en bedömning av risken för att innehållet kan leda till näthat eller spridning av desinformation. Vid behov samverkar vi även med andra relevanta aktörer, såsom polisen och länsstyrelse, för att hantera allvarliga fall av näthat och desinformation.

8)

Sociala medier:

Utbudet av icke-kommersiella sociala medier är begränsat. Kommunen har hittills valt att inte använda exempelvis Mastodon, som drivs av en tysk ideell organisation. Syftet med att använda Facebook, Instagram, LinkedIn och Bluesky är att nå ut med information och skapa dialog. Vi har bedömt att dessa kanaler är de mest effektiva för att nå flest invånare.

Webbplatser:

För närvarande använder kommunen ett kommersiellt webbpubliceringsverktyg. Vid nästa upphandling av webblösningar kommer kommunen att överväga alternativ med öppen källkod, såsom vissa kommuner i Skåne, exempelvis Helsingborg, redan gör. Redan nu jobbar Värnamo kommun med en kriswebb, som ska fungera om vår ordinarie webbplats går ner. Den görs i WordPress, som bygger på open source och är icke kommersiell.

9) Kommunen använder tvåstegsautentisering för redaktörer som loggar in i våra sociala medier, för att minimera risken för obehörig åtkomst samt utbildar kontinuerligt både nya och befintliga redaktörer om hantering av personuppgifter i digitala kanaler. Kommunen har tydliga rutiner för publicering av bilder i sociala medier för att säkerställa efterlevnad av GDPR. Om en bild på en person publiceras, sker det först efter att man fastställt en laglig grund och dokumenterat beslutet. På kommun.varnamo.se finns information om vad som gäller för den som använder kommunens sociala medier, exempelvis att inlägg är allmän handling och att man tar bort olämpligt innehåll. Medarbetare övervakar kommentarer och direktmeddelanden och tar bort sådant som innehåller känsliga personuppgifter som inte bör publiceras.