Inrikes
I en intern rapport slås det fast att Riksbankens kontroll och styrning av arbetet mot cyberhot är otillfredsställande. Foto: Gustav Sjöholm/TT / Skärmdump

Riksbankens arbete mot cyberhot ”ej tillfredsställande”

Uppdaterad
Publicerad

Riksbankens kontroll och styrning av arbetet mot cyberhot är otillfredsställande. Det slås fast i en intern rapport som SVT tagit del av. Rapporten är kraftigt maskad, och på förstasidan står ”MYCKET KÄNSLIG” med stora bokstäver. 

Bankens internrevisorer har gjort granskningen efter ett initiativ från det Europeiska centralbankssystemet, ESCB, med syftet att undersöka hur väl rustade man är mot cyberhot och cyberattacker. 

Revisorerna har tittat på tre områden: IT-säkerhetskontroller, sociala medier och bankernas självskattning. Utgångsläget för granskningen har varit ”it-komponenter som på något sätt kan påverka ESCB-information”.

“Ej tillfredsställande” 

Revisorerna konstaterar att Riksbanken visserligen når upp till ESCB:s krav på hantering överlag, men att den ”sammanfattande bedömning av den interna styrningen och kontrollen inom det granskade området” är ”ej tillfredsställande”. 

Det är den näst allvarligaste graderingen och innebär att det finns “väsentliga brister inom flera delar av det granskade området”. 

Måste förbättra rutiner 

De brister man funnit är till stora delar sekretessbelagda, men det framgår bland annat att man måste förbättra rutinerna kring loggning av ”speciellt viktiga händelser”, för att vara säker på att loggarna inte ska kunna manipuleras eller ändras i efterhand. 

Även inom IT-säkerhetskontrollerna föreslås åtgärder, liksom i hanteringen av sociala medier, där det framgår att det finns frågetecken kring hanteringen av Riksbankens konton och möjligheten att spåra vem som gjort vad. 

“Skulle kunna drabbas av skada” 

De utbildningar i säkerhet Riksbanken erbjuder bedöms ge resultat. Samtidigt noterar man att det inte är planerat eller fastställt att samtliga medarbetare regelbundet är ålagda någon form av kunskapshöjande aktivitet inom området, och skriver: 

“Att medarbetare inte regelbundet utbildas i informations- och it-säkerhet skulle kunna innebära att Riksbanken skulle kunna drabbas av skada.” 

Åtgärder under året

Mindre brister konstateras när det gäller rapporteringsrutiner för IT-säkerhetsincidenter och insatser för att höja medarbetarnas kompetenser. 

Riksbankens ansvariga instämmer i granskningsrapportens slutsatser och kommer att genomföra de föreslagna åtgärderna under 2019.

Ledningen: Mindre del av verksamheten

Från Riksbankens ledning uppger man att de bristande rutiner som revisorerna identifierat handlar om en mindre del av verksamheten. Man vill av sekretesskäl inte ge någon närmare förklaring, men ifrågasätter inte revisorernas samlade bedömning att kontrollen och styrningen är otillfredsställande.

– Vi tar det på största allvar. Vi ser granskningen som ett gott hjälpmedel i vårt arbete att förbättra vår säkerhet, säger Marianne Olsson, chef för Avdelningen för verksamhetssupport på Riksbanken.

Hon förklarar att rapporten fått beteckningen ”Mycket känslig” eftersom informationen om rutinerna skulle kunna utnyttjas av en angripare.

– Skulle den komma i orätta händer skulle det inte vara bra.

Relaterat

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.