Efter den it-attack som Svenska kyrkan i höstas utsattes för har kyrkostyrelsen beslutat om nya krav för anslutning till kyrknätet.
Bland annat får den som är ansvarig för församlingens it inte längre använda sitt personliga konto för administratörsbefogenheter, utan måste ha ett separat admin-konto. Det är inte heller tillåtet att ha ett gemensamt konto för alla som till exempel använder en dator i en reception. I stället måste var och en ha ett personligt konto.
– Det är en förändring för att vi så långt som det är möjligt ska undvika att lämna öppningar för den som vill hacka sig in i vårt system, säger Wanja Lundby-Wedin, kyrkostyrelsens förste vice ordförande.
It-utrustning ska uppdateras
Kraven innebär också att it-utrustning ska ha de senaste uppdateringarna och säkerhetsövervakningsprogram och att alla ska gå en it-säkerhetsutbildning.
De flesta av de nya reglerna träder i kraft den 7 mars. Några, som att endast servrar tillhandahållna av kyrkostyrelsen tillåts vara anslutna till kyrknätet, dröjer dock till november.
För användare som inte klarar att uppfylla kraven, kan det innebär avstängning.
– Om en församling säger att den inte kan uppfylla kraven finns stöd att få. Och det finns tydliga regler om återanslutning, så jag tror inte att det behöver inträffa, säger Wanja Lundby-Wedin.
Alla församlingar ännu inte i kyrknätet
Kyrkomötet har tidigare beslutat att den digitala infrastrukturen ska bli obligatoriskt och bekostas gemensamt av alla Svenska kyrkans ekonomiska enheter från den 1 januari 2025. Nu har kyrkostyrelsen beslutat om bestämmelser kring den nya avgiften.
Den ersätter den nuvarande avgiften för Gemensam it-plattform och inkluderar i stället hela den digitala infrastrukturen, där bland annat kyrknätet, Microsoft 365-licens och elektroniskt arkiv ingår.
Församlingar och pastorat betalar utifrån hur många användare de har. Men de församlingar som ännu inte hunnit anslutas till kyrknätet, kommer inte att behöva börja betala förrän de är anslutna. Exakt hur stor avgiften blir 2025 bestäms av kyrkostyrelsen i april.
Säkerhetshöjande åtgärder ska ge trygghet
I avgiften ingår också “nödvändiga säkerhetshöjande åtgärder”.
– Det är en trygghet att det ingår att Svenska kyrkan nationellt ständigt gör säkerhetshöjande åtgärder. Och det behöver vara en ständigt pågående process för att vi ska ha en tillräckligt motståndskraft mot cyberattacker eller annat.
I januari berättade Wanja Lundby-Wedin att kyrkostyrelsen ska tillsätta en extern utredning av cyberattacken.
– De nya kraven är inte att föregripa utredningen, utan att ta hand om det vi redan ser behöver göras. Då behöver vi agera snabbt och kan inte vänta på utredningen.
Vill vara lika säker som svenska myndigheter
Målet för it-säkerheten är att den ska vara på en nivå motsvarande en liten statligt myndighet.
– Vi tror att de här kraven är på den nivån. En utvärdering kring vad som hände vid cyberattacken på ett djupare plan kan komma fram till att vi behöver ha flera saker, men just nu tror vi att det här är tillräckligt, säger Wanja Lundby-Wedin.
– Jag känner mig trygg med att vi vidtagit de rätta åtgärderna i dagsläget. Den tryggheten hoppas jag kunna vidareförmedla, för många är nog skärrade efter det som hände.
