Österbottniska kommuner fick dåliga vitsord för webbsäkerhet – IT-chefer är inte oroliga

ICT-chefen Teemu Lehtonen i Vasa anser inte att det IT-säkerhetstest som Svenska Yle har gjort ger orsak till oro. Enligt Cybersäkerhetscentret är testet ändå riktgivande för hur bra webbsäkerheten är.

Åttio procent av kommunerna får betyget F, det vill säga underkänt, i företaget Mozillas säkerhetstest. Bland dem finns Vasa och de flesta andra kommuner i Österbotten.

Teemu Lehtonen har inte i detalj satt sig in i just Mozillas säkerhetstest men säger att testresultatet beror på testet och vad som mäts.

– Just det här testet är lite konstigt eftersom nästan alla får vitsordet F. Testar man finska Yles sidor eller Microsofts sidor får man samma resultat med testet. Så kanske det inte är en så stor grej, säger han.

Cybersäkerhetscentret vid myndigheten Traficom och IT-säkerhetsföretaget Silverskin kommenterar däremot att testresultaten är riktgivande för säkerheten.

Resultatet är alltså ingen absolut sanning, men ger en fingervisning om hur bra säkerheten är.

Lehtonen säger att Vasa stad använder sig av andra IT-säkerhetstest, som till exempel Microsoft gör, och att de är väldigt viktiga för staden.

– Där hittar vi de stora sakerna som vi måste jobba på hela tiden.

Vasa tidigt ute med viktig säkerhetsfunktion

Samtidigt hör Vasa till pionjärerna. Svenska Yle lade i samband med granskningen märke till att staden är en av sju kommuner som använder sig av säkerhetsfunktionen DNSSEC (säker DNS).

Det är en funktion som Cybersäkerhetscentret säger att alla webbsajter i Finland borde ta i bruk så snart som möjligt – särskilt den offentliga sektorns sajter.

"Finns hela tiden saker att förbättra"

Enligt Teemu Lehtonen dyker det ständigt upp sådant som måste förbättras vad gäller IT-säkerheten.

– Varje dag kommer det nya saker som vi måste ta hand om. Det tar aldrig slut.

Det är Teemu Lehtonen som i egenskap av ICT-direktör vid Vasa stad i sista hand ansvarar för att stadens webbplats är säker, men rent tekniskt sköts Vasa stads webbplats av en utomstående leverantör.

Teemu Lehtonen försäkrar att man som Vasabo kan känna sig trygg när man till exempel fyller i en dagvårdsansökan på stadens webbplats.

– Man kan vara helt säker. När du fyller i någonting gör du det inte via stadens webbplats utan i ett annat system med en helt annan nivå av säkerhet.

Lehtonen nämner skolornas administrationsprogram Wilma som
exempel.

– Wilma finns på stadens webbplats men när du klickar på Wilma för att anmäla dig till något så använder du dig av Wilma.

Dåligt betyg på flera håll i Österbotten

Pedersöre kommun fick D+ i Yles test av kommunens webbplats. IT-ansvarige Guy Sjö i Pedersöre är beredd att lyssna på vitsordet.

– Det är en stor utmaning ta till sig ny dataskyddsförordning, utveckla system, ändra tankesätt och öka datasäkerheten - arbetet är inte klart och det finns möjligheter till förbättring.

Alla – du jag, chefer, anställda, alla behöver vi öka kunskap om hur man skyddar information.

Guy Sjö, IT-ansvarig Pedersöre

Sedan tidigare skyddar man i Pedersöre ändå vissa system mer än andra, till exempel har integritetskänsligt material högre prioritet än infokanaler. Och Sjö berättar att man också gör egna säkerhetstester, och från dem har han inte kunnat se något alarmerande.

– Det finns säkert mer ingående tester, men generella tester jag utfört har inte visat på allvarliga säkerhetsbrister.

Förbättringar på gång

Korsnäs fick F i betyg när kommunens webbsida testades av Yle, men Tobias Andtfolk som ansvarar för IT-frågor i Korsnäs är inte bekymrad.

– För tillfället tar vi inte emot några personuppgifter på kommunens hemsida så det är ingenting som har varit kritiskt. Vi fixar en ny hemsida som bäst med förstärkt säkerhet.

Kommunens social- och hälsovårdsinformation sköts i dag tillsammans med Malax kommun, och den sidan har alla krypteringar och all säkerhet som krävs, berättar Andtfolk.

Han säger också att de här frågorna är något som allt fler blivit aktsamma på den senaste tiden.

– Medvetenheten har ökat allt mer under senare år.

Guy Sjö säger att datasäkerhet är en fråga för hela den organisation där man verkar, från chefen och nedåt. Men också att det är något som var och en ska tänka på.

– Alla – du jag, chefer, anställda, alla behöver vi öka kunskap om hur man skyddar information, säger Guy Sjö.

Artikeln är uppdaterad 30.8.2019 kl. 14.15 med hänvisning till Cybersäkerhetscentrets och företaget Silverskins kommentarer. Ett positivt exempel gällande Vasa stad (om säker DNS) lades också till.