Två män och en kvinna står runt ett bord.
Foto: Anna-Lena Lundqvist

Om IT-säkerhet: Misstänksamhet istället för tillit

Håll ämnet levande genom ständigt pågående kommunikation, utnyttja de nationella resurserna och samarbeta med andra pastorat - tre viktiga byggstenar i Falköpings pastorats IT-säkerhetsarbete.

Falköpings pastorat tog ett omtag i säkerhetsarbetet inför införandet av GDPR som 2018 ersatte den svenska personuppgiftslagen. Det lokala dataskyddsombudet kom då med ett antal förbättringsförslag. Det handlade bland annat om rutiner för in- och utloggningar i system, uppdateringar av lösenord och av mjukvaror och hur den personliga IT-utrustningen ska hanteras (till exempel inte lånas ut). Men också om hanteringen av pappersutskrifter som man kanske inte alltid tänker på som IT.
– Vi gör vad vi kan för att skydda oss mot intrång och sabotage. Men det finns ändå alltid en oro för att något kan hända. Den oron bygger mer på vad den mänskliga faktorn och handhavande kan ställa till med, än på tekniska brister. Ett lösenord på villovägar kan orsaka en hel del problem, säger Sebastian Streith, områdeschef kommunikation i pastoratet.

I FALKÖPING HAR det bland annat hänt att medarbetare fått sin e-postadress kapad, vilket ställt till oreda både internt och externt. Därför pågår ständigt ett internt informationsflöde med notiser och påminnelser som uppmanar med-arbetare att vara säkerhetsmedvetna, följa gällande rutiner, uppdatera program och rensa bort information man inte längre behöver. Sebastian Streith för också tillsammans med administratören Jenny Carlson en dialog med  alla yrkeskategorier om IT och säkerhet.

Kyrkoherde Jonas Hagström jämför med hur Svenska kyrkan arbetade innan den första vågen av digitalisering började ta fart i början av 1990-talet. Då förvarades kyrkoarkivet med kyrkobokföring och annat i ett låst skåp som bara ett fåtal personer hade nyckel till.
– De användarnamn och lösenord vi använder nu motsvarar dåtidens nycklar och de måste användas med stor pietet. Om vi kan få in det tänkandet så tror jag att det blir tydligare hur viktigt det här är.
I pastoratet används numera Svenska kyrkans gemensamma IT-plattform GIP (som betyder just gemensam IT-plattform) som omfattar klient, server, applikationer och kommunikation sedan den introducerades. 
– Ett stort och mer förutsägbart system där man minskat antalet angreppspunkter känns tryggare är att jobba med än små lokala lösningar. Vi får uppdateringar när det behövs och jag tror också att frestelsen att bryta mot regler eller att begå brott blir mindre, säger Jonas Hagström.

NORMALT JOBBAR DE flesta medarbetare i tunna klienter direkt mot en server och i Kyrknät som är ett slutet nätverk. Vid hemarbete under pandemin har de i stället fått arbeta via en bärbar dator och därifrån loggat in på sitt GIP-konto. Båda alternativen har fungerat bra säkerhetsmässigt.

Där finns en jättestor potential för många att samverka mer. I kombination med det nationella stödet gör det arbetet mer effektivt och ger oss mer tid till vår egentliga uppgift: att vara kyrka.

Utbildning är också en viktig del av säkerhetsarbetet. Exempelvis genomfördes en utbildning i migrering av uppgifter i samband med att man gick över till molnbaserade Microsoft 365.
– Behoven av utbildning varierar mycket, både mellan individer och yrkeskategorier. Där använder vi de resurser som finns inom Svenska kyrkan i kombination med interna utbildningar, säger Jenny Carlson.
Vid sidan om det vertikala perspektivet där man drar nytta av utbildningar, plattformar och andra resurser som finns på nationell nivå är man i Falköping också bra på att titta i sidled och samarbeta med andra pastorat och församlingar kring gemensamma frågor.
– Där finns en jättestor potential för många att samverka mer. I kombination med det nationella stödet gör det arbetet mer effektivt och ger oss mer tid till vår egentliga uppgift: att vara kyrka, säger Sebastian Streith.

I Svenska kyrkan är tillit en grundläggande tanke. Vi vill ju lita på folk. Men här måste vi tyvärr tänka lite annorlunda och vara misstänksamma.

ATT DET FINNS hot mot IT-säkerheten i Svenska kyrkan råder det inget tvivel om. Exempelvis utsätts man, precis som många privatpersoner, kontinuerligt för lösenordfiske av typen ”ditt konto kommer att upphöra om två dagar om du inte klickar på länken och följer instruktionerna…”.

Att ett pastorat ska råka ut för något som liknar den ransomewa-re-attack med krav på lösensumma som drabbade Kalix kommun förra året är inte alls otänkbart.
– Den händelsen visar att det är extra viktigt att skydda sitt lönesys-tem och ekonomisystem. Kommu-nen hade ju problem med att göra utbetalningar i flera veckor, säger Jonas Hagström.
– I Svenska kyrkan är tillit en grundläggande tanke. Vi vill ju lita på folk. Men här måste vi tyvärr tänka lite annorlunda och vara misstänksamma. För det finns tyvärr människor där ute som vill lura oss för att ställa till skada eller komma åt uppgifter och pengar. Då får vi inte vara naiva, avslutar han.

Text: Thomas Östberg

Detta reportage har tidigare publicerats i den tryckta versionen av Ductus, nr 1/2022.

Ducatus på webben kompletterar den tryckta medlemstidningen Ducatus. Den både återpublicerar tryckt material och producerar eget, exklusivt för webben. 

Ducatus i tryckt version utkommer med fyra nummer per år. Den ingår i medlemsavgiften till Svenska kyrkans arbetsgivarorganisation. Läs mer och skaffa egen prenumeration!