Transportstyrelsen: Regeringskansliets nästa steg
"28 år av prickfri och lojal statlig tjänstgöring bakom sig, varav 15 år som GD." I dagens DN, den 29 augusti 2017, har tidningen sitt fokus på Transportstyrelsens avskedade generaldirektör Maria Ågren. Ågrens framtid i staten kommer att hanteras i Statens ansvarsnämnd i slutet av september i år. Det gör ont i hjärtat på mig, som känner henne som en lojal och plikttrogen tjänsteman i staten. I dag står hon till Regeringskansliets disposition.
Flyktingfrågan tog fokus
Hösten 2015, när it-säkerhetsproblemen på Transportstyrelsen kulminerade, hade Sverige en flyktingkris. En politiskt insatt vän påminde mig i går. Andra frågor får sällan medialt utrymme under sådana perioder, vilket också påverkar Regeringskansliets agenda. Att hantera en myndighets it-problem under en sådan period blir snabbt bortprioriterat.
Varför ingrep inte Regeringskansliet när den fått information? Myndigheterna informerar kanslihuset löpande om sin verksamhet och sina utmaningar. Normalt sett lyssnar man bara som tjänsteman och försöker bedöma hur frågan ska hanteras vidare. Regeringen styr sina myndigheter skriftligen, via regleringsbrev och särskilda regeringsuppdrag, på en övergripande nivå. Att Regeringskansliet skulle lägga sig i hur en myndighet sköter en enskild upphandling ter sig för mig besynnerligt. Även om myndigheten väljer att göra avsteg från lagar, kan Regeringskansliet inte göra mycket som jag bedömer. Ministerstyre är förbjudet i Sverige.
Regeringskansliet är, som sagt, en arbetsplats som hanterar enorma informationsflöden med hög komplexitet. Varje dag, året runt. Årligen kommer säkert 30-40 ärenden som kan bli mediekriser om ett par år, om jag förstod min vän rätt i går. Under de många år som jag arbetade i kanslihuset, hade jag nästan alltid svårt att sova. Hjärnan orkade helt enkelt inte hantera all information, alla analyser och beslut som arbetet krävde.
Att Erik Bromander, statssekreterare hos tidigare infrastrukturminister Anna Johansson, inte har uttalat sig i ärendet förvånar mig. Han är den som bäst kan ge svaret på vad som sades och vad som hände. Jag förväntar mig att han kallas in till konstitutionsutskottet i riksdagen (KU), så att vi får veta mer under förhören.
Vad händer framöver?
Just nu är Regeringskansliet i slutfasen att färdigställa budgetpropositionen. När budgeten lämnas till riksdagen den 20 september, vidtar planeringen inför höstens regleringsbrevsarbete. Normalt sett är det relativ stiltje de första veckorna i Regeringskansliet innan budgeten har lagts. Därefter är det full fart igen.
Jag tror att följande kommer att hända under hösten. Möjligtvis blir tidsplanen försenad beroende på om aktörerna väljer att invänta slutrapporten från KU-förhören, som väntas färdigställas sommaren 2018.
1. Regeringen lägger ett särskilt uppdrag till säkerhetsmyndigheternas (Polismyndigheten, Must, Säpo, Försvarsmakten och MSB) att klargöra hur myndigheterna ska hantera sin informationssäkerhet framöver. Myndigheten för samhällsskydd och beredskap, kallad MSB, samordnar uppdraget. Frågan avrapporteras i slutet av 2018 eller i början av 2019.
2. Regeringskansliet tillsätter en intern utredning för att klargöra hur risk- och sårbarhetsfrågor, med fokus på it-säkerhet, ska hanteras i kanslihuset. Tidigare hanterades risk- och sårbarhetsanalyserna av Försvarsdepartementets enhet för civil beredskap, Fö/SSK (som för övrigt hade låg status inom departementet, då de militära frågorna var i fokus). Samtidigt verkar nuvarande regering ha placerat ett säkerhetspolitiskt råd under Justitiedepartementet. It-frågorna hanteras av näringsminister Mikael Damberg. Denna fråga kan säkert hanteras relativt skyndsamt.
2. Enheten för statlig förvaltningspolitik på Finansdepartementet tar fram en handledning hur myndighetshandläggarna på departementen ska läsa och tolka myndigheternas risk- och sårbarhetsanalyser, som brukar rapporteras till Regeringskansliet i december varje år. Dessa brukar ligga i myndighetshandläggarens aktlåda i några månader till dess att myndighetsdialogen börjar förberedas under våren året efter. Handledningen kan säkert ta tid att få fram, då Regeringskansliet kan vilja avvakta uppdragen om it-säkerhet från myndigheterna.
3. MSB får uppdraget att analysera samtliga myndigheters risk- och sårbarhetsanalyser. Dessa skickas till respektive departement som är ansvarig för myndigheten i fråga. Detta arbete är inte på plats förrän om ett drygt åt. Regeringskansliet kommer att kunna ge mer omfattande analyser och bedömningar av myndigheternas risk- och sårbarhetsanalyser först under 2019.
4. Enheten för statlig förvaltningspolitik på Finansdepartementet sätter i gång ett internt arbete för att bedöma hur myndighetsdialogerna bör utformas. I dag ligger fokus på utvärdering av kärnverksamhet och ekonomi. Regeringskansliet behöver nu klargöra hur politiken och dess tjänstemän ska hantera övriga frågor, som risk- och sårbarhetsbedömningar. Detta arbete är nog på plats om drygt ett år. En förtydligad handledning inför myndighetsdialogerna kommer att vara klar våren 2019.
5. En utredning tillsätts om säkerhetsmyndigheternas uppdrag. Säkerhetsmyndigheterna har i dag bara en rådgivande funktion lärde jag mig på Twitter. Därför kunde de inte agera gentemot Transportstyrelsen när de kommit fram till att känsliga uppgifter kunde hamna i orätta händer. Samtidigt är myndigheterna oberoende och självständiga i Sverige, vilket gör problemet svårhanterligt.
6. Arbetsgivarverket påbörjar ett internt arbete för att klargöra hur myndigheternas bör vara organiserade för att hantera säkerhetskriser. En it-säkerhetsexpert som jag talat med nyligen berättade att Transportstyrelsen har en säkerhetsansvarig kopplad till staben. Den personen saknar dock nära samarbete med it-chefen, som sköter driften. Policydokument, rutiner och riskbedömningar är inte fullgoda. Denna utmaning delar säkert Transportstyrelsen med fler myndigheter.
7. Riksrevisionen lägger årligen upp en granskningsplan för myndigheterna. Troligtvis kommer ett särskilt fokus att läggas på effektivitetsgranskning av myndigheternas it-säkerhet. Resultatet framkommer säkert först om ett år. Med stor sannolikt kommer flera myndigheter att utsättas för kritik.
Hur ser din bedömning ut? Jag lägger gärna pussel ihop med andra, som har andra kunskaper och erfarenheter än jag.
Jag har bloggat om Transportstyrelsen och dess problem med it-säkerhet i juli i år.
Flyktingfrågan tog fokus
Hösten 2015, när it-säkerhetsproblemen på Transportstyrelsen kulminerade, hade Sverige en flyktingkris. En politiskt insatt vän påminde mig i går. Andra frågor får sällan medialt utrymme under sådana perioder, vilket också påverkar Regeringskansliets agenda. Att hantera en myndighets it-problem under en sådan period blir snabbt bortprioriterat.
Varför ingrep inte Regeringskansliet när den fått information? Myndigheterna informerar kanslihuset löpande om sin verksamhet och sina utmaningar. Normalt sett lyssnar man bara som tjänsteman och försöker bedöma hur frågan ska hanteras vidare. Regeringen styr sina myndigheter skriftligen, via regleringsbrev och särskilda regeringsuppdrag, på en övergripande nivå. Att Regeringskansliet skulle lägga sig i hur en myndighet sköter en enskild upphandling ter sig för mig besynnerligt. Även om myndigheten väljer att göra avsteg från lagar, kan Regeringskansliet inte göra mycket som jag bedömer. Ministerstyre är förbjudet i Sverige.
Regeringskansliet är, som sagt, en arbetsplats som hanterar enorma informationsflöden med hög komplexitet. Varje dag, året runt. Årligen kommer säkert 30-40 ärenden som kan bli mediekriser om ett par år, om jag förstod min vän rätt i går. Under de många år som jag arbetade i kanslihuset, hade jag nästan alltid svårt att sova. Hjärnan orkade helt enkelt inte hantera all information, alla analyser och beslut som arbetet krävde.
Att Erik Bromander, statssekreterare hos tidigare infrastrukturminister Anna Johansson, inte har uttalat sig i ärendet förvånar mig. Han är den som bäst kan ge svaret på vad som sades och vad som hände. Jag förväntar mig att han kallas in till konstitutionsutskottet i riksdagen (KU), så att vi får veta mer under förhören.
Vad händer framöver?
Just nu är Regeringskansliet i slutfasen att färdigställa budgetpropositionen. När budgeten lämnas till riksdagen den 20 september, vidtar planeringen inför höstens regleringsbrevsarbete. Normalt sett är det relativ stiltje de första veckorna i Regeringskansliet innan budgeten har lagts. Därefter är det full fart igen.
Jag tror att följande kommer att hända under hösten. Möjligtvis blir tidsplanen försenad beroende på om aktörerna väljer att invänta slutrapporten från KU-förhören, som väntas färdigställas sommaren 2018.
1. Regeringen lägger ett särskilt uppdrag till säkerhetsmyndigheternas (Polismyndigheten, Must, Säpo, Försvarsmakten och MSB) att klargöra hur myndigheterna ska hantera sin informationssäkerhet framöver. Myndigheten för samhällsskydd och beredskap, kallad MSB, samordnar uppdraget. Frågan avrapporteras i slutet av 2018 eller i början av 2019.
2. Regeringskansliet tillsätter en intern utredning för att klargöra hur risk- och sårbarhetsfrågor, med fokus på it-säkerhet, ska hanteras i kanslihuset. Tidigare hanterades risk- och sårbarhetsanalyserna av Försvarsdepartementets enhet för civil beredskap, Fö/SSK (som för övrigt hade låg status inom departementet, då de militära frågorna var i fokus). Samtidigt verkar nuvarande regering ha placerat ett säkerhetspolitiskt råd under Justitiedepartementet. It-frågorna hanteras av näringsminister Mikael Damberg. Denna fråga kan säkert hanteras relativt skyndsamt.
2. Enheten för statlig förvaltningspolitik på Finansdepartementet tar fram en handledning hur myndighetshandläggarna på departementen ska läsa och tolka myndigheternas risk- och sårbarhetsanalyser, som brukar rapporteras till Regeringskansliet i december varje år. Dessa brukar ligga i myndighetshandläggarens aktlåda i några månader till dess att myndighetsdialogen börjar förberedas under våren året efter. Handledningen kan säkert ta tid att få fram, då Regeringskansliet kan vilja avvakta uppdragen om it-säkerhet från myndigheterna.
3. MSB får uppdraget att analysera samtliga myndigheters risk- och sårbarhetsanalyser. Dessa skickas till respektive departement som är ansvarig för myndigheten i fråga. Detta arbete är inte på plats förrän om ett drygt åt. Regeringskansliet kommer att kunna ge mer omfattande analyser och bedömningar av myndigheternas risk- och sårbarhetsanalyser först under 2019.
4. Enheten för statlig förvaltningspolitik på Finansdepartementet sätter i gång ett internt arbete för att bedöma hur myndighetsdialogerna bör utformas. I dag ligger fokus på utvärdering av kärnverksamhet och ekonomi. Regeringskansliet behöver nu klargöra hur politiken och dess tjänstemän ska hantera övriga frågor, som risk- och sårbarhetsbedömningar. Detta arbete är nog på plats om drygt ett år. En förtydligad handledning inför myndighetsdialogerna kommer att vara klar våren 2019.
5. En utredning tillsätts om säkerhetsmyndigheternas uppdrag. Säkerhetsmyndigheterna har i dag bara en rådgivande funktion lärde jag mig på Twitter. Därför kunde de inte agera gentemot Transportstyrelsen när de kommit fram till att känsliga uppgifter kunde hamna i orätta händer. Samtidigt är myndigheterna oberoende och självständiga i Sverige, vilket gör problemet svårhanterligt.
6. Arbetsgivarverket påbörjar ett internt arbete för att klargöra hur myndigheternas bör vara organiserade för att hantera säkerhetskriser. En it-säkerhetsexpert som jag talat med nyligen berättade att Transportstyrelsen har en säkerhetsansvarig kopplad till staben. Den personen saknar dock nära samarbete med it-chefen, som sköter driften. Policydokument, rutiner och riskbedömningar är inte fullgoda. Denna utmaning delar säkert Transportstyrelsen med fler myndigheter.
7. Riksrevisionen lägger årligen upp en granskningsplan för myndigheterna. Troligtvis kommer ett särskilt fokus att läggas på effektivitetsgranskning av myndigheternas it-säkerhet. Resultatet framkommer säkert först om ett år. Med stor sannolikt kommer flera myndigheter att utsättas för kritik.
Hur ser din bedömning ut? Jag lägger gärna pussel ihop med andra, som har andra kunskaper och erfarenheter än jag.
Jag har bloggat om Transportstyrelsen och dess problem med it-säkerhet i juli i år.
Kommentarer