Regeringens och myndigheternas informationssäkerhet får underkänt

Det beror på "att förståelsen för vikten av en god informationssäkerhet överlag är alltför liten".

Detta gäller även regeringen, skriver Riksrevisionen i sin rapport. Regeringen "borde kunnat vara tydligare med att styra myndigheterna i frågan som för myndigheternas ledningar, som inte prioriterat arbetet med informationssäkerhet i den utsträckning som krävs".

Riksrevisionen har benchmarkat mot Myndigheten för samhällsskydd och beredskaps föreskrifter som bland annat innebär att myndigheterna ska
* tillämpa ett ledningssystem
* upprätta en policy för informationssäkerhet
* klassificera information utifrån risk- och sårbarhetsanalyser
* avgöra hur risker ska hanteras efter inträffade incidenter.

Riksrevisionen kommer fram till att:

* Trots att myndigheterna har tagit fram riktlinjer och handledningar om informationssäkerhet är kännedomen låg hos medarbetarna och cheferna.

* Säkerhetsarbetet implementeras inte i verksamheten.

* Kärnverksamheten uppfattar inte att den har något ansvar för informationssäkerheten.

* Det brister i förståelsen för behovet av säkerhetsinvesteringar utan "synbar nytta".

* Riskanalyser sker på varierande sätt och samordnas inte.

* Det saknas en strukturerad uppföljning av hur ledningssystemet fungerar.

Riksrevisionens har granskat Arbetsförmedlingen, Svenska kraftnät, Bolagsverket, Försäkringskassan, Lantmäteriet, Migrationsverket, Post- och telestyrelsen, Sjöfartsverket samt Statens tjänstepensionsverk. Regeringen, Regeringskansliet och Ekonomistyrningsverket har också ingått i granskningen.

Riksrevisionen har särskilt granskat Arbetsförmedlingen, Försäkringskassan och Migrationsverket med ett mätinstrument och djupintervjuer med 30 anställda.