I rapporten En bild av myndigheternas informationssäkerhetsarbete 20141, som MSB släppte 1 september, redovisas hur väl föreskriften MSBFS 2009:102 tillämpas ute på myndigheterna.
Resultaten som redovisas är överlag är dystra. Exempelvis har endast 35 % av myndigheterna en kontinuitetsplan. Av dessa har 36 % även övat den. Ca 13 % har således både tagit fram en plan och övat den.
13 % är en riktigt dålig siffra! Eller? Hur är det med detta egentligen? Vi kan anta att det faktiskt inte alls är bra, men ingen vet hur pass dåligt det är i praktiken. Vi kan inte heller ta reda på detta!
Det finns inom statsapparaten ingen sammanställd statistik över brister och incidenter, och det finns inte heller någon rapporteringsplikt. Vi kan därför inte analysera om efterlevnad av föreskrifterna faktiskt ger en säkerhetshöjande effekt.
Nu när MSBFS 2009:10 är under revision så hade det varit guld värt att veta vilka krav i föreskriften som faktiskt har givit resultat, vad som behöver läggas till eller förtydligas och inte minst vad som kostar mer än det smakar – och ska tas bort. Lägga till och fördyra är lätt, att ta bort krav kräver mod och underlag.
Många år av prat om ”ständig förbättring” har passerats. Evidensbaserad infosäk fortsatt svår att hitta.