”Hög tid att rensa i ’alternativa fakta’ om it-säkerhet”

Nyhetsflödet om it-risker i samhället växer men faktaunderlaget förblir tunt. Ett aktuellt exempel är ett inlägg på DN Debatt den 14 februari av fyra myndighetschefer. De försvarar generell datalagring, stick i stäv med EU-domstolens beslut, och utan en enda faktauppgift om risker eller nytta, till exempel hur många brott som klaras upp tack vare generell datalagring.

Ett annat exempel är utspelet från Försvarets radioanstalt, FRA, inför konferensen Folk och Försvar i januari. FRA menar att utländska angripare utför 10 000 nätaktiviteter per månad mot svenska mål. Samma uppgift återkommer i FRA:s årsredovisning. Preliminära siffror på anmälda brott 2016 från Brottsförebyggande rådet ger andra perspektiv.

Datorbedrägerier fortsätter att rusa i höjden, från drygt 67 000 anmälningar 2015 till drygt 93 000 under 2016, en ökning på närmare 40 procent. I jämförelse med 2011 är det en ökning på 470 procent. Att döma av Polismyndighetens Nationellt it-brottscentrum, NIB, handlar en stor andel om enkla brott, till exempel att erbjuda något mot betalning utan att infria leveransen. It-användare är naiva.

När det gäller rikets säkerhet kan läget sammanfattas som ”på östfronten inget nytt”. För 2016 registrerades elva anmälda brott, i jämförelse med åtta för 2015 och tretton för 2011. Inget tyder på en ökning, trots en satsning på förbättrad statistik. Sedan 2016 gäller sex brottsrubriceringar i stället för en enda.

Brottsstatistiken är mager och förenad med stor osäkerhet. Det finns sannolikt incidenter som inte anmäls. Organisationer föredrar att inte blotta sina svagheter. Det finns också it-störningar som inte är it-brott. Oviljan att blotta sig är dock mer talande för interna brister och fel än externa cyberhot.

Under 2016 rapporterade statliga myndigheter ett par hundra it-incidenter till MSB. Att döma av nyhetsrapporter påminner de om telekombranschens incidentrapporter till Post- och telestyrelsen, PTS. I PTS riskanalys 2016 framgår att handhavandefel, felaktig hårdvara och mjukvara är de vanligaste störningarna mellan 2012 och första halvåret 2016. Antalet rapporter var i princip konstant. En mindre andel bedömdes vara av nationell betydelse, en andel som har minskat.

Sammantaget verkar de svagaste länkarna i en mängd it-relaterade störningar och brott vara naiva och slarviga it-användare, vare sig de är amatörer eller experter, samt undermåliga it-produkter och tjänster. Bilden speglar dock varken nyhetsmediernas rapportering eller samhällets resursfördelning.

Miljardsatsningar går till nationell it- och cybersäkerhet med fokus på infrastruktur och samhällsviktig verksamhet. Nyhetsbevakningen präglas av spekulativa hotbilder, anekdoter och marknadsundersökningar. Kvalitetssäkrad statistik och fakta är marginella inslag i debatten.

Läget skulle vara rationellt om sällsynta och storskaliga it-incidenter kostade samhället mer än summan av alla vardagsincidenter. Då behövs ingen statistik. Om det vet vi inget. Vi saknar statistik. Min hypotes är att daglig ärendehantering kostar mer. Inte sällan är det interna system- och handhavandefel som öppnar för externa störningskällor.

NIB, Internetstiftelsen i Sverige och andra aktörer gör viktiga förebyggande insatser, men i sin helhet är statens satsningar inriktade på skydd mot storskaliga cyberhot snarare än vardagliga it-risker. Situationen borde väcka frågor om resursfördelning. Var gör samhällets begränsade resurser störst nytta?

För att reda ut reella säkerhetsrisker och behov måste statistiken utvecklas och kvalitetssäkras. Det förutsätter öppenhet och transparens, mindre sekretess och hemlighetsmakeri. Det förutsätter också en bred syn på incidenter, inte godtyckliga avgränsningar mellan vardagliga, kontra allvarliga incidenter.

Förslagsvis utvecklas officiell statistik som bygger på organisationers ärendehantering, där en standard som ITIL kan vägleda valet av variabler. Med ett sådant underlag skulle vi bättre kunna svara på var samhällets begränsade resurser bäst kan användas.

Se öppenhet i dessa frågor som en säkerhetsåtgärd, inte en säkerhetsrisk.

Tom Andersson, Fil dr kognitionsforskning, Fil lic matematisk statistik, tidigare senior analytiker på Myndigheten för samhällsskydd och beredskap.