Kommunalrådet Lars Rosander (C) menar att själva it-säkerheten inte är dålig.
Ett flertal kommuner i landet har utsatts för hackerattacker de senaste åren och drabbats hårt när system efter system blivit nedsläckta. Kalmar kommun drabbades under 2024 av den ryska hackergruppen Akira och då slogs delar av verksamheten ut.
Att reparera skadorna efter attacken kostade närmare tio miljoner kronor.
– Efter att Akira bröt sig in i Kalmar och ställde till med massa bekymmer bestämde vi oss för att granska det här och vi har sett en hel del brister som vi presenterat i kommunstyrelsen, sa revisionens ordförande Torbjörn Carlsson (V) vid fullmäktigesammanträdet i februari.
Rapporten, som revisionen beställt från KPMG, sågade Hultsfreds kommun it-säkerhetsarbete.
– Jag har varit i politiker i många år, men aldrig upplevt att kommunen blir så sågad av revisionen. Jag är tacksam för den revisionen för det är så många brister. Jag sitter som andre vice ordförande i socialnämnden och har en fundering till Rosander: hur kommer socialnämnden bli involverad i arbetet och hur ser tidsaspekten ut? frågade sig en förbluffad Jonny Bengtsson (S).
Menar att det vinklats felaktigt
Bristerna ansågs bland annat bestå av följande:
* Otillräcklig planering
* Inte säkerställt att upprätthålla kontinuitet vid IT-händelser
* Bristande styrning
* Tydliga krav och enhetliga arbetssätt saknas
* Kontinuitetsarbetet varierar mellan olika kommunala verksamheter/enheter
* Det finns inga dokumenterade kontinuitetsplaner
* Risken för IT-bortfall har inte beaktats tillräckligt
* Informationssäkerhetsarbetet bedrivs inte strukturerat
* Det finns allvarlig risk för IT-avbrott
Lars Rosander (C) tycker dock att det hela vinklats felaktigt.
– Vissa tolkade det som att själva it-säkerheten var dålig, men det är inte det revisorerna granskat. De har granskat vad som händer om it-säkerheten är nere. Det handlar om att hantera vardagen med skriftliga rutiner etcetera. Där har vi lite att göra och ska återkomma med det till revisorerna, säger han.
Vad säger du om bristerna man pekade på?
– Vi kan konstatera att vi inte uppfyller kriterierna vi behöver göra. Nu har vi en process att göra och vi behöver en komplett planering för åtgärder om vi står utan it, men sammanfattningen av det här är att vi ska se över det.
Var inte kritiken skarp från revisorerna?
– Jo, men man fokuserade på fel saker. Revisorerna reviderade inte själva it-säkerheten som vissa trodde. Det man kritiserade, vilket också är ett problem i sig, och det man reviderade är vad som händer om det är borta. Vissa har uppfattat det fel och vi ville tydliggöra det.
Jag tror allmänheten kan ha svårt att se någon skillnad. Är det inte en del av it-säkerheten?
– Det är inte vad de har granskat. Men för oss är det en viktig punkt och vi jobbar med det inom kommunledningen för att hitta rutiner. Det kan handla om att samverka med andra och vad det rör sig om för kostnader. Jag tycker att det är bra att det granskas och att vi får det belyst för att kunna vidta åtgärder innan det händer något och det blir skarpt läge. Det finns mycket rutiner men det är inte sammanställt.
Det har skett attacker mot flera andra kommuner. Hur rustade är ni nu?
– Det är svårt att säga. Det finns olika typer av attacker och vi avvärjer attacker varje dag. Hittills har vi klarat oss, men osvuret är bäst. Vi vill ständigt bli bättre och det jobbar vi med.
Gett svar till revisorerna
Om exempelvis socialförvaltningens system skulle gå ned finns det rutiner, menar Lars Rosander.
– Ingen som har hemsjukvård eller annan hjälp från hemtjänsten skulle drabbas. Vi klarar oss med papper och penna, men det som behövs är en komplett planering för det här och även i vilken mån vi behöver öva. Det är något vi ska se över nu i och med det svaret vi ger.
Kommunstyrelsen formulerade sitt svar till revisorerna som att man ska se över det här och återkomma med en komplett planering i augusti senare i år.
– Vi behöver ha en komplett planering för åtgärder om vi står utan it-stöd. Vi ska redovisa åtgärder som vidtas fram till augusti och dessa planer ska vara kända av medarbetarna. Vi måste också se över om vi behöver samverka mer med andra och om det behövs gemensamma resurser. Det här är alltid en levande fråga och det förändras hela tiden.