Offentlig sektor under attack – men it-cheferna saknar resurser
It-attackerna mot offentlig sektor blir allt fler. Frågan om cybersäkerhet är brännhet, men kapacitet och resurser varierar kraftigt bland SKR:s medlemmar. Är det ens möjligt för en liten kommun med ansträngd budget att driva proaktivt it-säkerhetsarbete?
– Vi som jobbar med it vet att hotbilden förändras hela tiden och därmed också kraven på säkerhet. Så det gäller att alltid ligga steget före, säger Björn Nordle, molnexpert på Visma PubliTech.
För många it-avdelningar är det dock inte möjligt. Att planera och driva ett proaktivt it-säkerhetsarbete kräver tid, som istället slukas av driftfrågor och underhåll. Det här är uppgifter som egentligen kan skötas av extern part i en molntjänst, men efter attacken mot en större it-leverantör nyligen spred sig oron: törs man lita på molndrift och SaaS-tjänster? Låt oss titta närmare på tre vanliga påståenden.
Björn Nordle, molnexpert på Visma PubliTech.
Myt 1:
“Det är riskabelt att samla allt hos en leverantör”
Lägg inte alla ägg i samma korg, låt inte ett privat företag drifta alla kommuners system … eller? Molnexpert Björn Nordles rekommendation är i detta fall den motsatta: Låt företaget som levererar lösningen drifta den.
– Det handlar om att minska komplexiteten. Tjänsterna som vi utvecklat och levererat fungerar bäst om det också är vi som driftar dem. Att lägga driften på någon annan blir onödigt dyrt och krångligt.
Med SaaS-tjänster flyttar ansvaret från kund till leverantör, som står för installation, drift, underhåll, licenser, backup, teknisk expertis och säkerhet. Att upptäcka och täppa till ett hål genom att skapa, godkänna och köra en uppdatering går snabbt, förutsatt att det sköts av en och samma aktör med kontroll över hela produktionsledet. Visma PubliTechs SaaS-tjänster ligger dessutom i Vismas privata moln.
– Vi har utvecklat programmen och vårt moln tillsammans med kommuner och regioner för att de inte velat använda publika molntjänster. Våra kunder har alltså redan en slags lokal drift, inklusive
molnfördelar som automatisering och skalbarhet, säger Björn Nordle.
Myt 2:
“Vi förlorar kontrollen över våra egna system”
Björn Nordle önskar att fler organisationer som drar sig för att lägga driften på en extern part vågar lita på att de behåller kontrollen även med SaaS-tjänster.
– Jag anser att man får mer kontroll med SaaS. Vi ser ofta att avgörande kunskaper om drift och system bara finns hos enskilda personer i organisationen. Men risken är ju att någon blir sjuk, säger upp sig eller försvinner på annat sätt, och då har man verkligen förlorat kontrollen. Med SaaS-lösningar blir hanteringen av data mycket tydligare uppdelad. Det blir klarare vilket system som äger vad, vilken information som ska flöda vidare och hur. Minskad komplexitet, ökad transparens och tydliga roller ger mer kontroll.
Myt 3:
“SaaS-tjänster är för dyrt för oss”
Vid en upphandling skalar och anpassar Visma sin lösning kostnadsmässigt för att matcha kundens verksamhet och behov. Med den höga uppdateringsfrekvensen i SaaS innebär varje enskild uppdatering mindre påverkan. Det sparar tid och minskar risken för att något går fel. Säkerheten kan också översättas till rejäla besparingar för kommuner och regioner: en it-attack kan kosta flera miljoner.
– SaaS-lösningar ger säkerhet, stabilitet och snabbhet på en nivå som inte är möjlig att uppnå för de flesta som driftar själva. Det är inte ett ansvar som it-chefen ska bära. Däremot är det ditt ansvar som kund att ställa krav på leverantörerna. Jag skulle vilja skifta fokus från detaljer till hur
vi i stället löser era problem – på det bästa, säkraste och billigaste sättet, säger Björn Nordle.
*Ekot, Sveriges Radio, 2024-03-14
**”It-chefens omöjliga uppdrag” av Global Connect och Kantar Sifo