Utvärderingar: Så klarade Svenska kyrkan it-attacken

Wanja Lundby-Wedin

"Det är tydligt att vår organisation är svår att förstå" säger Wanja Lundby-Wedin. Foto: Mikael M Johansson och Marcus Gustafsson

Nyhet |

Två utvärderingar av Svenska kyrkans hantering av cyberangreppet visar att attacken hanterades korrekt och att kyrkan ändå kunde utföra sitt kärnuppdrag. Men båda rapporterna kritiserar kyrkans organisation: den gjorde arbetet onödigt trögt och ineffektivt.

 

Detta är en låst artikel. Logga in
DIGITAL PRENUMERATION

9 kr per månad i tre månader

Få tillgång till alla på sajten (ord pris 125 kr/mån) Därefter 50 % rabatt i ett halvår. Avsluta när du vill. 

  • Eget konto med full tillgång till kyrkanstidning.se
  • E-tidning - papperstidningen i digital form
  • Nyhetsbrev, temabilagor, poddar, quiz och det praktiska verktyget Idé & inspiration
Köp

Taggar:

IT Cyberattacken
Wanja Lundby-Wedin

"Det är tydligt att vår organisation är svår att förstå" säger Wanja Lundby-Wedin. Foto: Mikael M Johansson och Marcus Gustafsson

- Vi klarade kyrkans grunduppdrag. Det blev jobbigt, men det blev ingen stor kris och vi vidtog rätt åtgärder. Det är jag stolt över, säger Wanja Lundby-Wedin, Socialdemokraterna, förste vice ordförande i kyrkostyrelsen. 

Kyrkostyrelsen tog emot två utvärderingar av attacken vid sitt sammanträde den 13 juni. Svenska kyrkan agerade instinktivt korrekt när cyberattacken inträffade, står det i KPMG:s utvärdering av hur Svenska kyrkan tekniskt hanterade angreppet i november 2023. 

Dock saknades nödvändiga instruktioner och riktlinjer för hur it-enheten skulle agera i en krissituation, vilket skapade ett starkt beroende av externa parter, enligt rapporten.

Starkare inflytande från ledning hade behövts

KPMG anser att Svenska kyrkans ledning bör stärka styrningen över stift, pastorat och församlingar för att snabbare kunna ta beslut. 

-Det är tydligt att vår organisation är svår att förstå - de tror att det går att bestämma mer från toppen. Det gör det inte. Men utan vår starka samverkan i it-frågor hade vi inte klarat detta, säger Wanja Lundby-Wedin.

I utvärderingen av hur krisledningen fungerade, gjord av Ramboll, framhålls att kyrkans kärnuppdrag kunde utföras väl, trots it-attacken. Det berodde främst på att verksamheterna tog ett stort ansvar och snabbt anpassade sig till situationen.

Arbetssätt för krishantering har saknats

Mycket information delades, skriver Ramboll, men inte systematiskt och förutsägbart. Bland annat hade mottagarna svårt att avgöra vad som var den senaste informationen och spridningen skedde ojämnt så alla fick inte samma information samtidigt. Det skapade osäkerhet och förvirring.

Det saknades också gemensamma arbetssätt för krishantering på olika nivåer och enheter. Dessutom fattades kanaler där personer med specialistkompetens kunde kommunicera om frågor inom sitt område.

Enligt utvärderingen av krisledningen är Svenska kyrkans organisation alltför hierarkisk för att kunna hantera kriser effektivt. Information och beslut lyftes ibland till en alltför hög nivå, vilket gjorde arbetet trögt och långsamt. Resultatet blev att krisledningen snarare försvårade arbetet. 

Bättre samverkan kring it-frågor

-Vi har ingen koncernstruktur, vi måste bygga vidare på samverkansstrukturer mellan församlingar, pastorat, stift och nationell nivå. Strukturerna skapar vi och utvecklar vi i vardagen, men vi måste också finna former som fungerar i kriser, säger Wanja Lundby-Wedin.

Hade du velat ha mer av en koncernstruktur? 

-Nej det önskar jag inte. Men jag är glad över att insikten om att vi behöver stärka vår samverkan kring it-frågor i kyrkan har vuxit fram. Det är nödvändigt när it-säkerheten blir så viktig.

Fakta: Wanja Lundby-Wedins lärdomar av IT-attacken:

  • Kyrkan har en organisation som klarade att fullfölja sitt grunduppdrag mitt i krisen.
  • Det finns goda förutsättningar för Svenska kyrkan att stärka och utveckla sin krishanteringsförmåga i hela organisationen.
  • It-kriminaliteten söker nya former - vi måste vara på tårna.
    Information och kommunikation är a och o i en kris. Vi måste:
    • vara tydliga med vilka informationsvägar som ska användas
    • skapa en insikt om att vi alla har ett ansvar att söka information samtidigt som ledningen har ett ansvar att göra det möjligt för alla att göra rätt.

Fakta: Några slutsatser i rapporten om krisledningen under it-attacken (Ramboll)

  • Krisledningsarbetet utgick från sin grundstruktur men var sedan flexibel. Viss otydlighet fanns kring vem som hade rätt att fatta beslut.
  • Krisledningens arbete har delvis fungerat i enlighet med styrdokument, som beredskapsplanen, men de har inte uppfattats som helt relevanta. 
  • Arbetssätt utvecklades av krisledningen under arbetets gång. 
  • Bristen på information skapade frustration i stift och församlingar. 
  • Viss information vidarebefordrades snabbt, annan långsammare. Informationen på intranätet Kornet upplevdes av vissa som ostrukturerad. Detta skapade osäkerhet kring vad som var den senaste informationen, och till vem den riktades. 
  • Svenska kyrkan är decentraliserad och behöver samverka fram gemensamma arbetssätt för krishantering.

Fakta: Ur sammanfattningen av utvärderingen av hanteringen av cyberangreppet (KPMG)

  • Svenska kyrkan agerade instinktivt korrekt i samband med att cyberangreppet inträffade.
  • I situationen var kyrkan beroende av bland andra it-säkerhetsföretaget Truesec då it-enheten till stor del saknade nödvändiga instruktioner och riktlinjer. 
  • Svenska kyrkan behöver förbättra sin informationssäkerhet. 
  • Kyrkostyrelsens styrning behöver stärkas över hela trossamfundet även stift och pastorat och församlingar. 
  • Ett oönskat stort antal användare med administrativa rättigheter har funnits i systemmiljön. 
  • Strukturerat riskarbete saknas.
  • Säkerhetskrav på externa leverantörer formuleras nu, det har inte skett tidigare.