Det här är historien om hur en liten kommun lyckades åstadkomma något stort.
Bland sjöar och skogar i södra Småland ligger Älmhults kommun. Här grundades en gång IKEA – ett arv som fortfarande präglar bygden. Med sina artontusen invånare är Älmhult fortfarande en plats som präglas av stark företagskultur, pragmatisk problemlösning och en koppling till omvärlden. Här skär Södra stambanan rakt igenom huvudorten och knyter Älmhult till både Stockholm och Köpenhamn.
Kanske har den stolta företagarandan även färgat av sig på kommunens tjänstemän. För när de i början av 2024 tog sig an den nya cybersäkerhetslagen var det med ett självklart lösningsfokus. Istället för långbänkar och förstudier präglades arbetet av energi, pragmatism och en obändig tro på den egna förmågan. Uppkavlade ärmar istället för papperstigrar.
Förmågan att få saker gjorda har lett till att Älmhult idag har en stark grund att stå på inom organisationen. De har strukturen, systematiken och inte minst spårbarheten på plats. Allt inom ett och samma systemstöd.
Men för att få svar på hur de kom hit behöver vi backa bandet.
Splittrat utgångsläge
Precis som i många andra kommuner var Älmhults informationssäkerhetsarbete både splittrat och svårt att överblicka. Insatserna var utspridda på många olika ställen. Och utan ett systemstöd att falla tillbaka på var medarbetarna beroende av dokument i Word och Excel.
I slutet av 2023 startade utredningen av den nya svenska cybersäkerhetslagen. Den nya lagen ställde skärpta krav på riskhantering, incidentrapportering, leverantörskontroll och ledningens ansvar för cybersäkerheten. Med det i åtanke räckte det inte längre med ad hoc-lösningar och reaktiva åtgärder.
För Robert Palmqvist, CIO och IT-chef, ställde skeendet frågan om systematik på sin spets:
- Vi kunde inte längre blunda för behovet av att ta sig an arbetet med informationssäkerhet på ett nytt sätt. Vi behövde ta ett ordentligt grepp om frågan, säger Robert.
Robert Palmqvist, CIO och IT-chef, Älmhult kommun
Handling – bästa vägen framåt
I mars 2024 slog sig tjänstemännen på Älmhults kommun ned med en övergripande fråga på dagordningen: Hur i all världen ska vi ta oss an allt kopplat till den nya lagen?
Frågorna som omgärdade arbetet med informationssäkerhet var många, med mycket att bena i. Exakt vad det skulle betyda för den småländska kommunen var fortfarande en öppen fråga, även om tjänstemännen insåg vikten av ett systematiskt och strukturerat efterlevnadsarbete.
Trots många frågetecken fanns det ingen brist på handlingskraft. Medarbetarna insåg att just handling var den bästa vägen framåt. Det var inte läge att vila på hanen, som Robert själv uttrycker det när han ser tillbaka på tiden.
Efter detta var det första viktiga steget att informera kommunstyrelse och ledningsgrupper. I en mindre kommun som Älmhult är det ovanligt enkelt, enligt Robert:
- Vi är en liten organisation där alla känner alla. Vi vet vad som ska göras och är inte hierarkiska av oss. Framför allt är vi inte rädda för att kavla upp ärmarna och lösa saker tillsammans.
Inventeringen av nuläget genomfördes i tre workshops tillsammans med ledningsgrupper och chefer inom organisationen. Förutom kartläggning bidrog de till att skapa förståelse för vad NIS2 innebar i praktiken för varje verksamhet.
Arbetet bröts ner i tydliga delmoment, där fokus låg på ett steg i taget, snarare än att ta ett helhetsgrepp från början. Kommunstyrelsen informerades tidigt om att ansvaret enligt NIS2 ligger på ledningen, med tydliga konsekvenser vid bristande efterlevnad. Kritiskt var att förmedla innebörden av NIS2-direktivet på ett sätt som gjorde det relevant för hela organisationen, för att inte projektet skulle riskera att bli en IT-fråga.
Systemstödet – en förutsättning
Det var ingen tvekan om att det skulle krävas ett gediget systemstöd för att lyckas. Med valet av Stratsys produkt Informationssäkerhet & Dataskydd fick Älmhult den nödvändiga grundstrukturen. Och det gick snabbt. Implementeringen tog mindre än en månad.
Förankringen inom organisationen var en annan knäckfråga. Vad var det bästa sättet att involvera organisationen på, med tanke på skiftande kompetenser och mognadsnivåer?
Tjänstemännen insåg snabbt att MSB:s metodstöd för systematiskt informationssäkerhetsarbete i organisationer skulle bli alltför invecklat och tekniskt att luta sig på. Att överhuvudtaget prata om processer var inte rätt ände att börja i för en mindre kommun. Fanns det ett annat sätt att göra informationssäkerhet begripligt för medarbetarna?
- Det enklaste sättet att få medarbetarna att förstå projektet var att börja med inventeringen av våra IT-system. Under tre månader var det precis det vi gjorde. Vi dokumenterade alla IT-system, i samtliga kommunala bolag – och matade in resultatet i Stratsys, säger Robert.
Efter inventeringen var det dags att klassificera informationen. I samråd med Stratsys skapades en informationsklassningsbank för att kunna välja rätt klassningsnivå.
- Vi jobbade handgripligt och skrev på gula lappar. Sedan kavlade vi upp ärmarna och lade in tvåtusen känslighetsattribut i systemet, manuellt. Efter tre månader hade vi klassificerat all information.
Viktig förstärkning
När riskanalysen inleddes med en heldag i Växjö var det inte bara en viktig milstolpe för projektet. Det var också då systemförvaltaren Christoffer Mowide anslöt – en viktig förstärkning till organisationen, inte minst tack vare bakgrunden som statsvetare med erfarenhet från politiken. Rekryteringen innebar också att Robert kunde släppa ifrån sig en del av ansvaret.
Det som följde var en intensiv sommar och höst, där ett centralt riskbibliotek byggdes upp i nära samarbete med Stratsys. Parallellt med detta jobbade tjänstemännen även med att ta fram åtgärdsplaner.
Cyber Due Diligence har stöttat oss jättemycket i leverantörsuppföljningen. Det hade inte gått annars.
Under hösten genomfördes även due diligence-arbete som gick förvånansvärt lätt:
- Vår senaste produkt från Stratsys är Cyber Due Diligence. Den har stöttat oss jättemycket i leverantörsuppföljningen, som inte hade gått annars. Med Cyber Due Diligence har vi en produkt som vi inte behöver skruva på utan kan sätta igång med direkt.
Christoffer Mowide, Systemförvaltare, Älmhult kommun
Framgångsfaktorer
Efter två års intensivt arbete var grunden på plats. Robert och kollegorna har hela tiden varit medvetna om att det inte handlar om att bli klara, utan om att skapa systematik i arbetet. Och till hösten är det dags för en ny runda med riskanalyser.
Innan Stratsys var arbetet ostrukturerat. Nu har både organisation och ledning en överblick.
Nu finns det utrymme att reflektera. Vilka är framgångsfaktorerna som gjort det möjligt att gå från ett osäkert läge till kontroll?
- Innan Stratsys präglades arbetet av ostrukturerad information, utan ansvariga som följde upp. Nu har både organisation och ledning en överblick över informationstillgångar och risker i ett och samma system, säger Robert.
Med Stratsys kan vi koppla ihop allt vi gör – till exempel informationssäkerhet med cyber due diligence. Det ger synergieffekter i systemet.
Christoffer understryker vikten av samarbetet med Stratsys:
- Stratsys har varit en absolut förutsättning i arbetet. Utan Stratsys hade vi inte varit där vi är idag. Partnerskapet har hjälpt oss att gå från diskussioner om risk till konkreta prioriteringar och beslut. När man sitter i Word får man inte överblicken. Men med stödet som Stratsys ger går det att koppla ihop allt vi gör – till exempel informationssäkerhet med cyber due diligence. Det ger synergieffekter i systemet. Och samarbetet i sig har fungerat jättebra – vi känner oss verkligen lyssnade på.
Just förankringen uppåt i organisationen har varit en nyckel för att lyckas. Christoffer berättar att det systematiska arbetet har gjort hela organisationen medveten om vad som är känsligt och skyddsvärt. I ledningsgruppen har de till exempel ofta en punkt på agendan som rör informationssäkerhet och cybersäkerhet. Ledningen har ögonen på bollen.
Idag är det inte ovanligt att kommuner vänder sig till Älmhult för att ta reda på vad det är som gjort att de varit så framgångsrika i arbetet. Vad har då tjänstemännen att säga till andra kommuner? Här drar Christoffer en parallell till annan lagstiftning:
- Det är lätt att fastna i att göra hundra procent på en gång. Inom socialarbetet började man på femtiotalet med att hämta barn som for illa, man applicerade inte dagens sociallagstiftning direkt. Vad jag försöker säga är att man måste bygga upp det successivt. Det behöver inte vara perfekt från början. Det viktiga är att ha modet att sätta igång.
Tydligt kvitto
För Älmhults tjänstemän har ansträngningarna burit frukt. I MCF:s efterlevnadsanalys lever idag kommunen upp till cirka sjuttiofem procent av kraven.
Med de siffrorna i ryggen har de kommit längre än många andra kommuner. Stoltheten lyser igenom när Robert och Christoffer beskriver vad de har åstadkommit och hur organisationen har slutit upp. Men på många sätt har arbetet bara börjat.
Vill du veta mer om hur Stratsys kan hjälpa er organisation med informationssäkerhets-arbetet? Läs mer om våra produkter, eller kontakta oss så berättar vi gärna mer.
