Kontinuitetslösning för kritiska personutbetalningar via SUS
Kommuner, myndigheter och andra offentliga organisationer genomför ett stort antal personutbetalningar via Swedbanks utbetalningssystem SUS. Utbetalningarna omfattar bland annat ekonomiskt bistånd, löner, arvoden och andra ersättningar till privatpersoner.
I många organisationer sker personutbetalningar genom en automatiserad kedja av verksamhetssystem, ekonomisystem, integrationsplattformar och filöverföringstjänster. Detta skapar effektiva arbetsprocesser men innebär samtidigt beroenden till flera tekniska system och leverantörer. Om någon del av kedjan blir otillgänglig kan organisationen sakna möjlighet att skapa eller överföra det utbetalningsunderlag som banken kräver för att verkställa utbetalningen.
Myndigheten för civilt försvar (tidigare MSB) vill göra det tydligt att:
”… ungefär hälften av alla it-incidenter [2024] orsakades av misstag eller systemfel. Med det rådande säkerhetspolitiska läget måste motståndskraften att stå emot och bemöta it-incidenter öka …”
Frågan är därför inte enbart hur utbetalningar genomförs under normala förhållanden, utan även hur verksamheten säkerställer fortsatt förmåga att genomföra personutbetalningar när ordinarie system eller integrationer inte är tillgängliga.
Kritiska personutbetalningar kan inte vänta
Alla utbetalningar är inte lika tidskritiska. För vissa typer av utbetalningar kan ett avbrott på några dagar vara hanterbart. För andra verksamheter kan även kortare förseningar få betydande konsekvenser för både mottagare och organisation.
Ekonomiskt bistånd är ett tydligt exempel. För den enskilde mottagaren kan utbetalningen vara avgörande för möjligheten att betala hyra, köpa livsmedel eller hantera andra nödvändiga levnadsomkostnader. Även löneutbetalningar, familjehemsersättningar, arvoden och andra återkommande personutbetalningar är ofta beroende av att organisationen kan verkställa utbetalningen på utsatt datum.
I många organisationer betraktas därför förmågan att genomföra personutbetalningar som en verksamhetskritisk funktion. Kontinuitetsplanering handlar inte enbart om att skydda it-system, utan om att säkerställa att verksamheten fortfarande kan leverera sina viktigaste tjänster även när ordinarie system inte fungerar.
Utbetalningskedjan består av fler beroenden än man först tror
När en utbetalning genomförs via SUS är det sällan en enskild applikation som ansvarar för hela processen. Ofta ingår flera olika system och leverantörer i samma kedja.
Exempel på beroenden kan vara:
- Verksamhetssystem för socialtjänst eller handläggning
- Lönesystem
- Ekonomisystem
- Integrationsplattformar
- Filöverföringstjänster
- Identitets- och behörighetssystem
- Driftleverantörer
- Nätverks- och kommunikationstjänster
Det innebär att förmågan att skapa en SUS-fil ofta är beroende av att ett flertal system fungerar samtidigt. Ett avbrott i någon del av kedjan kan vara tillräckligt för att stoppa hela utbetalningsprocessen.
Exempel på situationer där ordinarie rutiner kan påverkas
Organisationer genomför regelbundet risk- och kontinuitetsanalyser för verksamhetskritiska funktioner. För personutbetalningar kan exempelvis följande situationer påverka möjligheten att skapa eller överföra SUS-filer:
- Driftstörningar hos systemleverantörer
- Felaktiga programuppdateringar
- Avbrott i integrationsplattformar
- Ransomware eller andra it-angrepp
- Fel i identitets- och behörighetssystem
- Kommunikationsavbrott mellan system
- Otillgängliga databaser
- Planerade underhållsarbeten som tar längre tid än förväntat
- Felaktiga konfigurationer eller mänskliga misstag
Flera av dessa scenarier förekommer regelbundet inom både offentlig och privat sektor och behöver inte vara resultatet av ett antagonistiskt angrepp. En stor andel av rapporterade it-incidenter orsakas av systemfel, konfigurationsfel eller mänskliga misstag.
Frågan att ställa
Myndigheten för civilt försvar lyfter en viktig fråga i sina checklistor:
Hur kan utbetalningar av ekonomiskt bistånd säkerställas vid omfattande strömavbrott eller utan fungerande it-system?