”Stor risk för att cyberhotet fortsätter att öka”

Vi och andra aktörer inom cybersäkerhetsområdet har under lång tid ventilerat vår oro över regeringens brist på både strategier och åtgärder för att öka informationssäkerheten i vårt samhälle. Det bristande engagemanget är svårbegripligt, då it-utvecklingen gått snabbt framåt under 2000-talet samtidigt som sårbarheten ökat markant. Många länder, som Tyskland, Frankrike och Finland, arbetar sedan länge aktivt för att minska samhällets sårbarhet. Men inte Sverige.

Vår analys av regeringens nya strategiutredning om ökad informations- och cybersäkerhet i samhället (SOU 2015:23) är försiktigt positiv, med vissa förbehåll. Förslaget att ge Myndigheten för samhällsskydd och beredskap, MSB, ett tydligare ansvar för informationssäkerheten i landet, bland annat utövandet av nationell tillsyn, är bra och kommer förstärka möjligheterna att öka säkerheten. I linje med detta har dessutom ansvaret numera också tydliggjorts inom regeringskansliet, genom inrättandet av en inrikesminister. Det tidigare delade ansvaret mellan flertalet departement har förhindrat ett tydligt ägandeskap och nödvändig fokus på informationssäkerhet.

Förslaget om ett författningsreglerat rapporteringskrav av it-incidenter för statliga myndigheter är också positivt. Det kommer ge en värdefull lägesbild över myndigheternas säkerhetsarbete över tiden och samtidigt erbjuda verktyg för vidareutveckling av cybersäkerheten i landet. Förslaget om en förordning som tydliggör myndigheternas ökade ansvar för informationssäkerhet, där bland annat kravet på en årsredovisning med intern revision av informationssäkerheten ingår, ligger också i linje med detta. Rapportering och revisionsarbete kan därmed samspela för ökad fokus på it-säkerhet.

Att utredningen också belyser möjligheterna att upphandla it-säkerhetsprodukter enligt lagen om upphandling på försvars- och säkerhetsområdet, i stället för lagen om offentlig upphandling, är bra. Det kan i många fall förenkla för myndigheterna att köpa in produkter som erbjuder högre informationssäkerhet, i stället för att fokusera på lägsta pris.

Det vi framför allt saknar i utredningen är förslag på en övergripande strategi för hela samhället. Det finns förvisso rimliga skäl till att, som utredningen föreslår, påbörja arbetet inom statliga myndigheter. Man måste börja någonstans, det är lättast här, tids- och resursperspektiv sätter begränsningar och det är viktigt att sopa rent framför egen dörr innan man ställer krav på andra samhällsbärande organisationer och företag. Men behovet av ökad informationssäkerhet är i dag påtagligt inom många områden, och ett allt mer sårbart samhälle kan därför inte längre varken ignoreras eller accepteras.

LÄS MER: Debattera IT och digitalisering. 

Inom bland annat sjukvård och kritisk infrastruktur är säkerhetsbristerna tydliga och oroväckande. IT-incidenter som intrång, dataläckage och sabotage på vitala verksamhetssystem sker regelbundet och har blivit ett allt större hot under de senaste åren. Exempelvis KPMG:s undersökning från 2014 visar att nära 80 procent av de deltagande myndigheterna och företagen läckte information till obehöriga på grund av olika typer av dataintrång. Vinterns artikelserie ”Det sårbara digitala samhället” i Dagens Nyheter belyser också den ökade hotbilden väl.

Vi saknar dessutom ett tydligare initiativ för ansvarstagande. Tidigare utredningar har präglats av den offentliga förvaltningens ansvar att säkerställa cybersäkerhet och informationsskydd, snarare än att betona statens ansvar, vilket resulterat i att ingen tagit ansvar. Den nya utredningen pekar på statens ansvar. Nytt och nödvändigt anser vi, men inte tillräckligt. Mer ansvarstagande inom myndighets-Sverige behöver också utkrävas utifrån uppfyllandet av statens krav. Inte minst det personliga, vilket i dag är obefintligt.

Sverige ligger redan i dag långt efter många länder avseende samhällets informations- och cybersäkerhet. Risken är stor att vi tappar ytterligare mark och att vår sårbarhet för cyberhot fortsätter att öka. Aktuell utredning och dess förslag är förvisso ett steg i rätt riktning, men inte tillräckligt genomgripande. Regeringen kan därför inte enbart nöja sig med att fullfölja utredningens förslag med utpekad fokus på statlig förvaltning, utan måste även ta ett aktivt ansvar och ledarskap för ökad informationssäkerhet inom all samhällsbärande verksamhet i Sverige.

Andreas Linde, vd cybersäkerhetsföretaget Advenica AB