Kommunen varnades för säkerhetsrisker redan i höstas

Redan i oktober 2020 varnades kommunen för att en övergång till Teams-telefoni sannolikt skulle komma att bryta mot lagen. Hanteringen av frågan får nu hård intern kritik.

ANNONS
|

I slutet av augusti 2020 fick kommunens informationssäkerhetsstrateg Klas Höglund uppdraget att genomföra en riskanalys inför att ersätta kommunens telefonisystem i Skype med Microsoft Teams. IT-avdelningen hade bråttom – riskanalysen skulle vara klar i mitten av oktober.

Riskanalysen resulterade i en rapport den 6 oktober och detta dokument har nu Hallands Nyheter tagit del av. I riskanalysen identifieras en rad risker med en övergång till Teamstelefoni.

”Medelhög sannolikhet” för att kommunen begår lagbrott

Det gäller till exempel punkt 29 i riskanalysen: ”Bryter mot GDPR genom att känsliga personuppgifter (uppgift om samtal till biståndsmyndigheten) lagras i molnet”. Denna risk bedöms ha ”mycket hög sannolikhet”.

Mycket hög sannolikhet bedöms också för risken i punkt 31: ”Microsoft samkör telefonloggar med övrig information i Teams”.

ANNONS

Punkt 24 i riskanalysen är: ”Vi begår ett lagbrott genom att lägga telefonin hos Microsoft”. Denna risk bedöms ha medelhög sannolikhet. Det framgår att en arbetsgrupp i analysarbetet har bedömt risken som ännu högre.

Av riskanalysen framgår också att det redan från början varit en förutsättning att kommunen ska införa Microsoft Teams-telefoni. En lösning med enbart telefoni från Telenor undersöks inte närmare: ”Då målbilden är en framtida lösning med Teams-telefoni (inklusive Telenor) diskuterades inte en Telenor-lösning fördjupat efter detta”, heter det i ett av riskanalysens inledande avsnitt.

Kan bryta mot kommunstyrelsens reglemente

När Klas Höglund i dag ser tillbaka på processen kring beslutet om Teams-telefoni är han kritisk på flera punkter.

– Jag håller med vårt dataskyddsombud i den kritik som hon har framfört, konstaterar han.

Utöver detta ifrågasätter Höglund ytterligare en rad aspekter kring beslutet. Bland annat om politikerna i servicenämnden ens har varit behöriga att besluta i frågan.

– Jag har framfört synpunkten att det här beslutet är så genomgripande att det bör fattas på kommunstyrelsenivå. Det framgår också om man läser kommunstyrelsens reglemente, säger Höglund.

Höglund är också kritisk till att övriga delar av kommunens organisation inte fått komma till tals.

– Det har inte skett något remissförfarande där övriga nämnder fått chansen att komma in med sina synpunkter, detta trots att telefonilösningen kommer påverka hela kommunen, säger Höglund.

ANNONS

Han menar också att det rent generellt är svårt att bedöma it-säkerheten när det gäller molnlösningar som Microsoft Teams.

– Förutsättningarna förändras ständigt och beskeden från leverantören kan ibland vara otydliga. Det gäller exempelvis var och hur informationen lagras, säger Höglund.

Han konstaterar också att Teams är en del av Microsofts Office 365-paket och att det finns otydligheter kring säkerheten beträffande detta paket.

– Det finns ett kommunstyrelsebeslut från 2013 om att bara helt harmlös information får hanteras i Office 365, det är det jag delvis lutar mig mot, säger Höglund.

Höglund kan heller inte köpa servicenämndens resonemang om att det inte finns några alternativ till Microsoft Teams.

– Det finns 289 andra kommuner som uppenbart har lyckats lösa detta på andra sätt, så det resonemanget har jag svårt att få ihop, säger han.

– Det man ska säga till it-avdelningens fördel är att man faktiskt har genomfört de här risk- och konsekvensanalyserna. Men sedan är ju frågan vad man gjort med det som framkommit där, säger Höglund.

It-chefen försvarar beslutet

Kommunens it-chef Håkan Axelsson står däremot fast vid att beslutet att gå över till Teams-telefoni är lagligt.

– Det som har hänt är att det har kommit ett nytt yttrande från dataskyddsombudet efter servicenämndens beslut. Det yttrandet har vi tittat på och vi har pausat vår process för att utreda frågan ytterligare, säger han.

ANNONS

Enligt Axelsson är Teams-telefonin inte mindre säker än vanliga mobiltelefoner.

Axelsson menar också att övriga förvaltningar inom kommunen har informerats kontinuerligt på tjänstemannanivå.

– Det har inte skett något remissförfarande på politikernivå, men vi har under hela det år som detta pågått informerat övriga förvaltningar på tjänstemannanivå. Och det har inte kommit några invändningar förrän nu i elfte timmen från socialförvaltningen och i viss mån kommunstyrelseförvaltningen.

Han anser inte att servicenämnden varit obehörig att fatta beslut i frågan.

– Det står i servicenämndens reglemente att servicenämnden ska fatta beslut i telefonifrågor. Vi har diskuterat detta med kommunens kanslichef, säger han.

Axelsson säger att Teams-telefonin bara omfattar en del av den telefoni som finns inom kommunen. Av kommunens 4 000 telefonabonnemang är bara 1 000 knutna till den nuvarande Skype-växeln (övriga har fristående abonnemang via Telenor), och det är bara dessa som flyttas vidare till Teams och påverkas av förändringen, säger Axelsson.

– De som i dag har fristående telefoner fortsätter som vanligt, säger han.

Lokala servrar avvecklas

Enligt Axelsson är huvudorsaken till att Skype-telefonin nu måste bytas till Teams att kommunen annars hade behövt göra ett omfattande underhållsarbete på sina lokala servrar.

Genom att flytta över telefonin till Teams så behövs inte dessa servrar längre, utan informationen kommer i stället att lagras i ”molnet”, det vill säga på servrar hos Microsoft. Och det är också denna detalj som gör att förflyttningen från Skype till Teams blir juridiskt och säkerhetsmässigt komplicerad.

ANNONS

– Inom Teams-telefonin kan vi inte lagra informationen lokalt på våra servrar. Det handlar om telefoniloggarna, alltså vilka samtal som har ringts. Inte innehållet i själva samtalen, säger han.

När det gäller servicenämndens behörighet att fatta beslut i den aktuella frågan säger Varbergs kommuns kanslichef Josefin Winnfors att:

– Det har fattats ett delegeringsbeslut om så kallad ”facility management” där det sägs att tjänsten telefoni ska vara samordnad. Nämnden har att samordna och utveckla effektiva stödfunktioner för övriga nämnder och i det ska den tillhandahålla tjänster avseende telefoni. Därför betraktar vi det som att frågan kan hanteras av servicenämnden, trots att det kan tolkas av reglementet som att den bör hanteras i kommunstyrelsen.

Vem hade rätt att fatta beslutet?

I reglementet för kommunstyrelsen i Varbergs kommun, paragraf tre punkt fyra under rubriken ”Styrelsens övergripande uppgifter” står att: ”(Styrelsen ska) leda och samordna kommunens övergripande IT-strategi och informationssäkerhet, samt fatta beslut om övergripande IT-lösningar”.

I det aktuella fallet har beslutet om att gå över till Teams-telefoni tagits på en lägre politisk nivå, av politikerna i servicenämnden.

I servicenämndens reglemente står i andra paragrafen under rubriken ”Servicenämndens ansvarsområde” räknas telefoni upp som ett av de områden där nämnden ska ”tillhandahålla tjänster”.

ANNONS