Styrning av funktionssäkerheten i e-tjänster

Revisionsverkets ställningstaganden

Revisionens mål var att fastställa om det nuvarande systemet för styrning utvecklas på så vis att erforderlig funktionssäkerhet och tillgänglighet säkerställs i offentliga e-tjänster.

Föremål för revisionen var myndigheter som styr funktionssäkerheten i e-tjänster (statsrådets kansli, finansministeriet, kommunikationsministeriet). Hur styrningen fungerar granskades i följande myndigheter: statsrådets kansli och dess förvaltningsenhet (VNHY), Valtori, Befolkningsregistercentralen, Trafiksäkerhetsverket Trafi, utsökningsväsendet och justitieministeriet med ansvar för dess resultatstyrning samt IKT servicecentret Rättsregistercentralen.

Styrningsvägarna bör ses över och anvisningar uppdateras för att möta behov som följer av de snabba förändringarna i samhället

Finans- och kommunikationsministerierna har styrt tjänsternas kontinuitet och funktionssäkerheten ur sina utgångspunkter. Ansvarsfördelningen mellan finansministeriets avdelningar, t.ex. JulkICT och finanscontrollerfunktionen, förefaller något överlappande, vilket syns i deras anvisningar och rekommendationer. Ministeriernas styråtgärder har inte alltid nått de rätta målgrupperna i ämbetsverken. De har exempelvis avsett informationsförvaltningen när den rätta målgruppen hade varit den instans som ansvarar för ämbetsverkets tjänster. Olika myndigheter har tolkat styråtgärderna på olika sätt. Regelbunden översyn av styrningsvägarna och ansvarsfördelningen krävs för att möta behov som följer av de snabba förändringarna i samhället. Tolkningarna bör vara samstämmiga, framförallt i fråga om ministeriernas verksamhetsområden. Styråtgärderna bör också koordineras effektivare.

Det har utarbetats åtskilliga strategier för tryggandet av funktionssäkerheten men i nuvarande form är deras styreffekt svag. Strategiernas inbördes relation är oklar. Det finns sällan en tydlig ansvarig för verkställande åtgärder och tidtabeller för åtgärderna har inte fastställts. Uppföljning av verkställandet och måluppfyllelsen har inte planerats. Hädanefter är det viktigt att ta fram en gemensam vision och målsättning när strategier utarbetas.

Styråtgärderna har avsett enskilda ämbetsverk men behovet att styra helheter växer ständigt

På praktisk nivå har informationssäkerheten i statsförvaltningen framförallt styrts genom VAHTI-anvisningar, som utfärdas av ledningsgruppen för informations- och cybersäkerheten inom

förvaltningen. Informationsförvaltningsansvariga känner till dessa men inte nödvändigtvis så detaljerat eftersom anvisningarna är mycket omfattande. VAHTI-anvisningarna riktar sig till enskilda myndigheter och beaktar inte nya krav och behov som följer av det allt mer nätverksbaserade samhället. De bör förtydligas för att underlätta upprätthållandet och utnyttjandet av dem samt uppdateras för att bättre svara upp mot en tjänsteproduktion av nätverkskaraktär. Finansministeriet har vidtagit åtgärder för att se över VAHTI-anvisningarnas struktur. Man bör fortsätta detta arbete målmedvetet och även förnya innehållet i anvisningarna.

När kompetens, hantering och teknik för informationssäkerhet och beredskap centraliserades till Valtori var syftet att nå en betydligt bättre informationssäkerhets- och beredskapsnivå. Hittills har Valtori inte kunnat svara upp mot detta mål. Centraliserade lösningar kräver noggrann planering och skicklig förändrings- och riskhantering. Valtoris problem indikerar att man saknade tillräcklig beredskap för riskerna i startskedet.

Centraliserade lösningar förutsätter också harmonisering av praxisen inom statsförvaltningen. I maj 2017 tillkännagav finanscontrollerfunktionen en modell för riskhanteringspolitiken som kan betraktas som en rekommendation, men en centralisering förutsätter att ramar för riskhanteringen även skapas på förvaltningsområdes- och statsnivå.

Kostnaderna, nyttorna och åtgärdernas tillräcklighet bör bedömas i förhållande till riskerna

Myndigheterna anser att funktionssäkerheten i tjänsterna är viktig men att tryggandet av den sällan syns i resultatavtalen eller strategierna. Dessutom är ministeriernas eventuella funktions- eller informationssäkerhetsmål ofta riktade till IKT-enheterna. Verksamhetsarkitektur och strategiskt servicetänkande skulle utveckla funktionssäkerhetsplaneringen och vidga perspektivet bortom informationsförvaltning.

Aktörerna identifierar och vidtar riskhanteringsåtgärder som förbättrar funktionssäkerheten. Åtgärdernas kostnader och nyttor samt resurskraven bör dock bedömas i förhållande till riskerna och dokumenteras. Åtgärdernas effekter bör följas upp för att kunna trygga funktionssäkerheten mer kostnadseffektivt.

Transparens i leveranskedjorna är nödvändigt

I slutändan ansvarar respektive myndighet för funktions- och informationssäkerheten i sina tjänster. När en myndighet inte kan välja tjänsteleverantörer själv är maximal transparens i leveranskedjan en nödvändighet. Statens egna tjänsteleverantörer, t.ex. Valtori och Befolkningsregistercentralen, ska kunna rapportera och beskriva hur

kontinuiteten tryggas och tjänsterna återställs vid eventuella störningar. I nuläget fungerar inte informationsförmedlingen i alla delar av leveranskedjorna, som inte heller är tillräckligt transparenta för verksamhetens behov.

Myndigheterna ställer tillgänglighetskrav på datasystemen men Valtoris smala tjänsteutbud har begränsat möjligheterna att beakta dessa. Det har varit svårt att förhandla med Valtori om informationssäkerheten i tjänsterna. Enligt lag ska kunderna anlita Valtori för grundläggande tekniska tjänster. De har små möjligheter att påverka Valtoris tjänster och utbud.

Vid stora organisations- och strukturförändringar ska funktionssäkerheten i tjänsterna tryggas under hela förändringsprocessen

I organisationer som bildats genom stora omorganisationer upplevdes problem med hanteringen av tjänsternas kontinuitet. På praktisk nivå blir det lätt en oklar ansvarsfördelning, framförallt avseende störningar, vilket förlänger problemlösningstiden. Trots att vikten av tjänsternas kontinuitet betonades i förändringsprojektens planer kunde man inte hantera riskerna adekvat. Vid planerade organisations- och strukturförändringar ska man beakta de medverkande organisationernas erfarenheter, framförallt i förändringsprocesser som berör funktionssäkerheten.

Revisionsverkets rekommendationer

Revisionsverket rekommenderar att

• Finansministeriet ser till att dess avdelningar och enheter fortsätter koordineringen och samordningen av styråtgärder inom riskhantering och informationsförvaltning.

• Finansministeriet utvecklar förfaranden för att anvisningar tillhandahållna som praktiskt stöd, såsom VAHTI, ska bli enklare att utnyttja och upprätthålla samt snabbare svara upp mot omvärldsförändringar.

• Finansministeriet planerar och ger anvisningar för hur ramar och praxis för riskhanteringen ska skapas på förvaltningsområdes- och statsnivå med beaktande av olika användningsbehov.

• Finansministeriet bedömer och korrigerar sina styråtgärder för att förbättra Valtoris läge och harmoniserar styrningen av gemensamma IKT-lösningar och e-tjänster inom statsförvaltningen.

• Kommunikationsministeriet säkerställer att dess samarbetsformer och -metoder ger en bra utgångspunkt (bl.a. gemensam vision, säkring av engagemang) för sådana (styr)åtgärder som kräver åtgärder av organisationer inom andra förvaltningsområden. Ministeriet bör också planera uppföljningen av styråtgärderna enligt principen för kontinuerlig förbättring.