Sommarens IT-skandal på Transportstyrelsen har satt ljuset på Sveriges informationssäkerhet. Inte bara bland myndigheter utan också ute i kommunerna. För Morgans Lantz, ansvarig för IT-säkerheten i Mjölby och Boxholm, kan den omfattande medierapporteringen till och med leda till något positivt.

LÄS MER: Han tog sig in i kommunens samtliga system och servrar – på två timmar

– Ja det är knappt man vågar säga det men jag har ingenting emot att det sker en liten incident då och då som syns i media. Det hjälper oss faktiskt. Vi blir mer medvetna som användare om att sånt här kan hända. Och det gör även att vi kan få mer resurser till informationssäkerhet. Det blir en draghjälp för min organisation, säger han.

Känslig information

Hans ansvarsområde omfattar all typ av säkerhet, inklusive larm, hot och våld. Informationssäkerheten är bara en liten del, även om Morgans Lantz hoppas att den kan utökas framöver.

– 20 procent av min tid kan jag lägga på informationssäkerhet i Mjölby. För Boxholms del blir det ännu mindre tid, säger han.

Den information som kommunerna hanterar är mycket varierad och kan vara känslig på olika sätt. Dels handlar det om alla de personuppgifter som lagras hos till exempel socialtjänsten eller skolan och som framför allt är känsliga för den enskilda individen.

LÄS MER: Säpo IT-utbildar partier – för att undvika hackerattacker

Rör rikets säkerhet

Kommunerna hanterar även stora mängder verksamhetskritisk information, till exempel inom infrastruktur, industri, läkemedelshantering och trygghetslarm. Om sådana system havererar kan det innebära att äldre inte kan larma eller får fel medicin.

Slutligen hanterar kommunerna även information som rör rikets säkerhet och som av den anledningen inte får hamna i orätta händer.

Men trots det enorma ansvarsområdet är kommunerna dåliga på hantera informationen säkert. Det konstaterar flera undersökningar.

LÄS MER: Utländska IT-spioner bakom 100.000 nätattacker förra året

Kommunerna naiva

Kommunerna är betydligt sämre än andra branscher när det gäller att bedöma risker och skydda sin information. Det visar det IT-säkerhetsindex som tagits fram av bland annat informationssäkerhetsföretaget Advenica och Stockholms universitet. Finans- och försäkringsbranschen är bäst på IT-säkerhet, medan kommunerna hamnar i botten.

– Det finns en naivitet hos kommunerna. Till skillnad från landstingen, som inser att de har mycket skyddsvärd information som de måste hantera säkert, så är det som att kommunerna inte ens förstår att de sitter på all den här informationen, säger Anders Strömberg, marknadschef på Advenica och en av arkitekterna bakom indexet.

LÄS MER: Människor den svaga länken vid IT-attack

Saknas systematiskt arbete

Enligt en fördjupad analys som Myndigheten för samhällsskydd och beredskap (MSB) presenterade i januari saknar majoriteten, 70 procent, av landets kommuner ett systematiskt arbete med informationssäkerhet. I 40 procent av kommunerna saknas en riskanalys och i lika många kommuner saknas en utpekad funktion med ansvar för informationssäkerheten.

– Vi måste jobba på bred front men det går långsamt ibland. Det är ett komplext område, säger säkerhetssamordnaren Morgan Lantz i Mjölby.

Den tekniska infrastrukturen är bara en del i arbetet. Den mänskliga faktorn är minst lika viktig.

– Vi jobbar hårt med att utbilda alla våra medarbetare i informationssäkerhet. Det handlar mycket om att förändra beteeenden och att bli mer vaksam. För oavsett vad vi har installerat för system och oavsett vilka policies vi har så finns ändå risken att man en stressig morgon råkar klicka på fel länk, säger han.