Det finns brister i IT-säkerheten vid landstinget i Västerbotten.
Landstingets revisorer har i fyra granskningar visat på brister i kontrollen av landstingets IT- och informationssäkerhet. Nu har de gjort ännu en och den visar att hälso- och sjukvårdsnämnden inte gjort sitt jobb och vidtagit tillräckliga åtgärder för att bättra på säkerheten.
Bara fyra av 20 tidigare rekommendationer har genomförts. Nu får nämnden en uppläxning av revisorerna. De konstaterar att landstinget saknar en policy för arbetet med informationssäkerhet. Det finns inga riskanalyser. Regler och riktlinjer har inte kommit medarbetare till del. Kontroll och uppföljning av om dessa följs saknas.
Inget attacktest
Det saknas en förteckning över landstingets informationssystem. Man har heller inte beslut om vilka system som ska återstartas först om det blir ett IT-avbrott.
Det finns heller inget som säkerställer att det görs kontroller av anställdas behörigheter till IT-systemen.
”Det är bara att konstatera att vi har trott att IT-avdelningen ska fixa mycket av det här. ”
När det gäller de tre serverhallarna saknas kriterier för säkerhet och det görs inte periodiska kontroller av tillträde till hallarna, servrar och inloggningar.
Man har heller inte gjort några attack- eller penetrationstester på tio år.
Listan på brister är lång och det är även listan på revisorernas rekommendationer för att få bukt med bristerna.
– Kritik riktas både mot nämnden och styrelsen. Det är bara att konstatera att vi har trott att IT-avdelningen ska fixa mycket av det här. Nu måste vi jobba med de brister vi har och se det mer som en helhet, säger Karin Lundström.
– Det är saker som återkommer i kritiken, bland annat att det saknas riktlinjer och uppföljningar. Jag skulle inte säga att jag är jätteorolig, det är saker som ständigt förbättras, säger Daniel Öhgren (C), förste vice ordförande, som påpekar att det yttersta ansvaret ligger på landstingsstyrelsen och inte på nämnden.
Karin Lundström konstaterar att frågan om IT-säkerhet blir allt viktigare.
– Det är mycket som görs via digitala verktyg, och vi hanterar personuppgifter och annat, tillägger Karin Lundström och fortsätter:
– Det blir en ny organisation från 2019. Då blir det här en mer naturlig del där vi ser allt som en helhet.