Försvarets Radioanstalt, FRA, är ansvariga för att testa säkerheten i svenska myndigheters it-system. Testerna utförs på begäran av myndigheterna själva och utförs av en speciell avdelning inom FRA som är uppbyggd av statligt anställda hackare och it-säkerhetsexperter.

Nu varnar FRA för att it-kompetensen, och specifikt kompetensen när det gäller it-säkerhet, sjunker i snabb takt när stora delar av myndigheternas it-drift varit outsourcad under en längre tid.

– När man väl outsourcat verksamheten första gången så blir det lätt så att man tappar sin it-kompetens, det är ju hela idén med att man outsourcar, att man inte behöver ha dyr kompetens anställd själv, säger Fredrik Wallin som är talesperson på FRA.

Problemet är att många myndigheter enligt FRA i dag inte längre har kompetensen för att upphandla leverantörer av it-tjänster efter en första outsourcing.

– Då blir det problem med kravställningen, säger Fredrik Wallin.

Han menar att kompetensen i bland är så låg att myndigheten inte har ens den mest grundläggande kunskaperna när det gäller it-säkerhet.

– I några fall har det varit så att myndigheten saknar kompetensen att ens tillgodogöra sig våra rapporter om brister, säger Fredrik Wallin.

Relaterat: Riksrevisionen: Underkänt för statens it-säkerhetsarbete

När en myndighet outsourcat sin verksamhet hindrar det också ofta FRA från att handgripligen testa säkerheten i systemet, eftersom det inte ingår i avtalet med leverantören.

Fredrik Wallin menar att outsourcing kan vara effektivt och rationellt i vissa situationer.

– Men en samhällsviktig verksamhet behöver ställa helt andra krav när det gäller it-säkerhet. Om man inte har kompetensen att ställa rätt krav så får man ofta ett standardpaket som är utformat för att ge lägsta möjliga kostnader. Då kommer säkerhetsaspekterna inte i första hand, säger han.

Ställs rätt krav ökar priserna enligt FRA så mycket att det kanske inte ens blir billigare att lägga ut it-driften. Ett alternativ för staten skulle kunna vara att bygga ett eget moln.

– Det som man egentligen skulle behöva när man tänker på myndigheter är någon form av statlig driftcentral som sköts av någon som tänker på säkerheten och ser till att personuppgiftsbehandlingen sköts enligt svenska lagar. Där skulle staten ha sådana stordriftsfördelar att det skulle vara lämpligt att göra det själv, säger Fredrik Wallin.

FRA får till viss del medhåll av regeringen för sina tankar efter att Riksrevisionen i går kritiserat hur it-säkerheten hanteras på myndigheter.

– Det blir en form av internt outsourcing och jag är inte främmande för den tanken, men det kräver mycket mer utredning än vad Riksrevisionen gjort, säger Anders Ygeman, S, som är minister med ansvar för it-säkerhetsfrågor.

Relaterat: It-säkerhetsministern lovar bot och bättring