Anders Granvald är digitaliseringsdirektör vid Region Gotland. Han vill satsa upp emot 30 miljoner kronor på att höja säkerheten.
Efter den belastningsattack som drabbade Region Gotland förra våren har regionen satsat 2,7 miljoner kronor, först på att få igång systemen och sedan på nya tjänster. Nu vill it-avdelningen fortsätta satsningen på it-säkerhet, och föreslår att 25– 30 miljoner kronor satsas de kommande tio åren.
– Det är en blandad satsning på fler olika saker, säger Anders Granvald som är direktör för kvalitet och digitalisering, och som inte vill avslöja något i detalj om vilka planer regionen har för att höja it-säkerheten.
Region Gotlands digitala säkerhetssystem har dock granskats av konsultföretaget PWC, som 2020 lämnade en rapport som visade på flera brister.
Största bristerna fanns inom förmågan att upptäcka hot. PWC anmärkte på att det saknades tekniska lösningar, övervakning, detektering och analys av händelser, intrång och avvikelser, vilket försvårade skydd och hantering av säkerhetshändelser. Man konstaterade dock att regionen var medveten om problemet och arbetade med åtgärder.
Att en hackerattack kan vara mycket kännbar har Kalix kommun fått erfara. Den 16 december upptäcktes en allvarlig driftstörning. Hemtjänst och hemsjukvård fick organiseras med papper och penna. Löneutbetalningarna till 1 900 anställda påverkades och fakturor kunde inte betalas i tid.
En rapport från 2020 visade på flera brister i Region Gotlands digitala säkerhetssystem.
Det som drabbade Kalix var ett så kallat ransomware-angrepp, där hela it-systemet görs obrukbart men kan låsas upp om man betalar en lösensumma. Det gjorde inte Kalix, vilket ledde till en månads arbete med att restaurera systemen. Många andra organisationer betalar lösensumman för att komma igång snabbare.
– Det finns flera forum där kommuner kan diskutera och utbyta erfarenheter om säkerhetsfrågor, bland annat inom SKR (Sveriges kommuner och landsting). Ytterst är det MSB (Myndigheten för samhällsskydd och beredskap) som har ansvar för att samordna frågorna, säger Anders Granvald.
Regionen bedömdes emellertid vara medveten om riskerna.
I regionens egna riktlinjer om informationssäkerhet står det att "medarbetare ska göras medvetna om risker med skadlig kod". Anders Granvald konstaterar att hur mycket regionen än satsar på nya program och system handlar säkerheten ytterst om de anställda.
– Jag tycker att Region Gotland har god säkerhet. Det viktiga är dock hur medveten varje anställd är om riskerna. Det är lätt att klicka på någon länk utan att tänka sig för, eller öppna en fil som man inte borde ha öppnat, säger han.