"Statens säkerhet borde vara viktigast i valet oaktat politisk kulör"
Lars Nicander, tidigare chef för Centrum för asymmetriska hot- och terrorismstudier vid Försvarshögskolan, tycker att Sveriges cybersäkerhet är ett svart hål. Foto: Mostphotos, Lars Nicander.
DEBATT. Sveriges cybersäkerhet hanteras av minst fem departement och nio myndigheter, men ingen har det samlade ansvaret. Därför ligger Sverige efter på säkerhetsområdet. För att lösa problemen krävs bland annat en cybersäkerhetskoordinator i Statsrådsberedningen och att någon myndighet får huvudansvar för cybersäkerheten. Det skriver Lars Nicander.
Det här är en debattartikel. Åsikterna som framförs är skribentens egna.
1995 skickade riksdagens försvars- och trafikutskott en gemensam skrivelse till regeringen där de efterfrågade vilken minister som hade det samlade ansvaret för informations-/cybersäkerheten. Frågan är i dag 27 år och minst sju statliga utredningar senare om utformning av en nationell cybersäkerhetsstrategi fortfarande obesvarad. Cybersäkerheten hanteras idag av minst fem departement och nio myndigheter, men det finns ingen maestro för denna ”orkester”.
Denna oklarhet har medfört att Sverige på ett allvarligt sätt halkat efter övriga jämförbara länder beträffande skyddsåtgärder trots att vi annars är mycket framstående när det gäller digitalisering.
Fyra områden är här särskilt av vikt att belysa och åtgärda.
Kopplingen hot-planering på såväl statsmakts- som myndighetsnivå
Inom regeringskansliet är det Försvarsdepartementet med myndigheterna FRA och Försvarsmakten inom sitt ansvarsområde som inte är harmoniserade med Justitiedepartementet och dess myndigheter SÄPO och MSB. FRA är den myndighet som troligen bäst har koll på cybersäkerhetshotet mot Sverige men de har inget generellt uppdrag att leverera aggregerad hot- och sårbarhetsinformation till regeringskansliet vilket bland annat Riksrevisionen kritiserat.
Ett så kallat dubbelt regleringsbrev från Justitiedepartementet till FRA vid sidan av det Försvarsdepartement skulle kunna vara en lösning som gör att hotinformationen bättre kan omvandlas till planering för adekvata skyddsåtgärder.
Det nationella cybersäkerhetscentrat (NCSC)
Initieringen av att inrätta ett center med syfte att överbrygga ansvarsområden skedde 2019 men det är ännu långt kvar till att bli fullt operativt. Detta beror till största delen på obefintlig styrning från regeringen. Centret är ännu inte en egen organisatorisk entitet. Därmed kan endast de sju myndigheterna – varav fyra (FM, FRA, SÄPO och MSB) som utgör kärnan – utgöra funktion som juridisk person.
Genom att det inte finns någon huvudman så måste handlingar stämplas in på fyra myndigheter, det finns fyra olika säkerhetsprövningsrutiner, fyra olika upphandlingssystem och så vidare. Regeringens nuvarande inriktning är att myndigheterna själva ska föreslå ledningsformer till 2023 då regeringen sagt sig komma med nya anvisningar.
När dessutom en av de fyra kärnmyndigheterna (MSB) inte är en underrättelsemyndighet kan det uppstå flaskhalsar i informationsdelningen och svårigheter att dela känslig information inom centret. En permanent lokallösning så att man sitter samlat är likaså planerad först till 2026.
Det är därför glädjande att Riksrevisionen nu inlett en granskning av hur regeringens strategi från 2017 om samhällets informations- och cybersäkerhet implementerats, då man pekar på kvarvarande problem på alla områden.
Regelöversyn privat-offentligt
Det enda tydliga medskicket som regeringen har gjort i den nu gällande (obefintliga) inriktningen är att utforma samverkansformer mot det privata näringslivet, men några framsteg där har inte synts till vilket också beklagats av företagen. Istället är det initiativ utifrån som lyfter frågeställningar där exempelvis den brittiska ambassaden nyligen bjöd in till ett seminarium där de brittiska och nederländska cybersäkerhetscentrumen presenterades. I bägge dessa finns ett nära samarbete där företag bjuds in att delta direkt i dessa centras arbete, och där sekretessbelagd hotinformation kan delas.
Våra befintliga sekretessregler är mycket förlegade och förhindrar att viktig hotinformation delges till de som ansvarar för vitala samhällsintressen i privat regi.
En liten ljuspunkt är att regeringen nyligen beslutade att FRA ska få stödja även samhällsviktiga privata aktörer, men detta torde i praktiken närmast handla om penetrationstester och akut incidenthantering snarare än någon mer grundläggande samverkan.
Förutom en i jämförelse med till exempel Storbritannien en historiskt introvert kultur i berörda underrättelsemyndigheter så kan det också finnas behov att snabbt se över våra befintliga sekretessregler. Dessa synes mycket förlegade i dagens omvärld och förhindrar att viktig hotinformation delges till de som ansvarar för vitala samhällsintressen i privat regi.
Under många år har exempelvis viktiga svenska företag under hand berättat att de får mer relevant hotinformation från utländska underrättelse- och säkerhetstjänster än från våra egna trots att samma information torde finnas även där. Det duger inte.
Den pyramid som brukar användas för att beskriva att den mest skyddsvärda informationen finns i toppen stämmer heller inte längre. Ingenjörsvetenskapsakademin (IVA) beskrev i en studie för några år sedan att metaforen nu snarare handlar om en ”lasagne”, där kopplingar, beroenden och sårbarheter mellan vitala statliga och privata verksamheter flyter samman i helt nya former. Detta gör att den information som MSB får från näringslivet via sin CERT.se måste kunna på ett rimligt sätt fusioneras med den underrättelseinformation som FRA har för att få en heltäckande lägesbild.
Ett annat näraliggande juridiskt hinder för just representation i ett cybersäkerhetscenter kan handla om icke-preferens – det vill säga om det behövs särskilda kriterier för vilka företag som kan bjudas till en plats i det svenska cybersäkerhetscentret. När den första cybersäkerhetsutredningen (Ag IW) presenterade sin rapport 1998 valdes en modell med dåvarande Näringslivets säkerhetsdelegation som opartisk aktör mellan stat och näringsliv.
Orsaken var att det då ansågs finnas juridiska hinder för staten att peka ut vissa företag framför andra och bryta mot konkurrensneutralitet. Frågan är om denna invändning fortfarande idag har juridisk relevans och bör snabbt klarläggas för att hinna ifatt den snabba utvecklingen.
Det behövs en stark cybersäkerhetskoordinator i Statsrådsberedningen
Den viktigaste övergripande åtgärden är att få regeringen att styra riket som Regeringsformen stadgar. Därför behövs det en departementsövergripande instans med starkt mandat i Statsrådsberedningen, då det endast är där man kan avväga departementens budgetinriktningar och övriga styrningar. Det fanns under en kort tid en sådan koordinator men departementens centrifugalkrafter blev för starka och ”det svarta hålet” i regeringens cybersäkerhetsansvar bestod.
Dagens administrativa och förvaltningsmässiga gränser med rötter från Axel Oxenstierna är förlegade i cyberrymden.
Sverige måste nu återta sin tidigare ledande roll på cybersäkerhetsområdet. Dagens administrativa och förvaltningsmässiga gränser med rötter från Axel Oxenstierna är förlegade i cyberrymden.
Inför det stundande valet torde skyddet av statens säkerhet vara det viktigaste fundamentet för alla regeringar oaktat kulör.
Lars Nicander (PD), tidigare chef för CATS, Centrum för asymmetriska hot- och terrorismstudier vid Försvarshögskolan, sekreterare i Regeringens arbetsgrupp för övergripande informationssäkerhet och informationskrigföring 1997-02 samt expert i den senaste cybersäkerhetsutredningen.
Läs mer om ämnet: