Debatt
It-säkerhet
8 december 2019 kl 05:05

”Inrätta en haverikommission för it-frågor!”

Inom it finns det i motsats till många andra områden inget etablerat system för att ta reda på vad som har lett till att samhällsviktiga system fallerar eller varför incidenter inträffat. Därför bör det etableras en it-haverikommission som kan ta reda på vad som hänt i samband med incidenter, skriver Niels Paarup-Petersen (C) tillsammans med flera it-experter. 

Det här är en opinionstext

Så många som 3 400 hårddiskar kraschade för ungefär en månad sedan hos Västra Götalandsregionen. Stabsläge utlystes på flera sjukhus. På Sahlgrenska gick 1 500 av 6 000 datorer sönder. Orsaken förefaller att ha varit ett fel i en bestämd typ av hårddisk som gör att den kraschar efter precis 32 768 timmar utan möjlighet till återstart. Datan är borta. Men möjligheten att lära sig av problemet finns kvar. Och det borde Sverige bli bättre på. 
 
Att de samhällskritiska digitala systemen i Sverige är sårbara är nämligen inget nytt. Riksrevisionen har visat att säkerhetsanalyser ofta glöms eller är bristfälliga. Säpo har varnat för att outsourcing kan innebära säkerhetsrisker. Även Myndigheten för samhällsskydd och beredskap har larmat om att myndigheter slarvar med informationssäkerheten. 

Vi har sett läckta personnummer till personer med skyddad identitet från Skatteverket och en katastrofal hantering av datasäkerhet hos Transportstyrelsen. Vården har flera gångar varit helt utan tillgång till journaler och andra viktiga datasystem. Polisens system Pust Siebel kostade miljarder utan nytta. Försäkringskassan, Försvarsmakten, Kronofogdemyndigheten och Arbetsförmedlingen är andra exempel på organisationer där samhällskritiska digitala system och processer har fallerat. 
 
Det är helt enkelt dags att få ett mer systematiskt arbete med it-säkerhet inom offentlig sektor och andra samhällsviktiga organisationer.
 
Inom it finns det i motsats till många andra områden inget etablerat system för att ta reda på vad som har lett till att samhällsviktiga system fallerar eller varför incidenter inträffat. Som bäst kan en organisation själv undersöka vad som inträffat eller en minimal mängd information ges till tillsynsmyndigheter under till exempel den svenska implementeringen av NIS-direktivet. Därmed kan det offentliga systemet inte på ett effektivt sätt dra lärdomar från de misslyckade projekten eller inträffade incidenterna för att undvika fel i framtiden. 
 
Med tanke på it-systemens kostnad och avgörande betydelse för välfärden och samhällets beredskap anser vi att det bör etableras en it-haverikommission som kan ta reda på vad som hänt i samband med incidenter eller när it-projekt med stor betydelse för samhället fallerar. 
 
It-haverikommissionens undersökningar ska dock inte syfta till att fördela skuld eller ansvar, vare sig straffrättsligt, civilrättsligt eller förvaltningsrättsligt. Det handlar helt enkelt om att besvara tre, till synes enkla, frågor.

Vad hände? Varför hände det? Hur undviker vi att det händer igen?

Och att sedan sprida denna information så att alla organisationer med samhällsviktiga system lär sig av andras misstag. Och till exempel kunna byta ut datorer med hårddiskar som snart kommer krascha.
 
I Holland har en sådan kommission etablerats och med framgång genomlyst stora offentliga it-projekt.
 
It-haverikommissionen bör ha möjlighet att ta på sig att undersöka regionala eller lokala it-investeringar. It-haverikommissionen bör vara fristående från myndigheter med tillsynsansvar för att säkra öppenhet från de som utreds. Det innebär inte att It-haverikommissionen måste vara en fristående myndighet utan kan vara en funktion hos en annan myndighet, exempelvis hos Statens haverikommission, som kan ges ett utökat mandat. 

I takt med digitaliseringen ökar också den digitala sårbarheten om ingenting aktivt görs. Att via överbelastningsattacker, ren hackning eller annat komma över information eller blockera kommunikation lär vara återkommande skeenden framöver. Då är det än mer viktigt att den offentliga it-strukturen står pall och lär av de misstag som redan skett. 
 
Det finns redan ett förslag om ít-haverikommission som kommer upp för riksdagsbehandling snart. Regeringen och övriga riksdagen borde stödja förslaget och lägga grunden för ett långsiktigt utvecklingsarbete av Sveriges digitala säkerhet.

Det här är en opinionstext publicerad i Dagens Samhälle. Åsikterna som uttrycks i artikeln står skribenten/skribenterna för.