”Cyberhot kräver mer resurser på alla nivåer”

2018-11-22 11:04  
Richard Oehme, expert på cybersäkerhet och skydd av samhällskritiska tjänster på revisionsbyrån PWC. Tidigare bland annat verksamhetschef på MSB, Kansliråd samt analytiker på FRA.

Det här är en debattartikel. Åsikterna som framförs är skribentens egna.

DEBATT. Det krävs kraftigt ökade resurser till informations- och cybersäkerhet. Men inom regeringskansliet saknas kompetens att prioritera resurser och samordna de sju myndigheter som ansvarar för vår nationella säkerhet, skriver Richard Oehme, expert på cybersäkerhet, PWC.

Behovet av informations- och cybersäkerhet ökar alltmer. Enligt en undersökning som PWC har tagit fram svarar 7 av 10 större svenska bolag att de tror att cyberbrotten ökar under 2018. Vi måste ta till krafttag på alla nivåer i samhället för att betala den säkerhetsskuld som år av intensiv digitalisering skapat.

Vi kan konstatera att regeringens styrning och de resurser som har tillförts inte står i proportion till cyberhotens ökning. Konsekvenserna blir tydliga. De myndigheter som har ett nationellt ansvar för cybersäkerhet är visserligen generellt väldigt kompetenta, men de lyckas inte hela vägen när det gäller att utveckla den samlade nationella förmåga som krävs för ökad cybersäkerhet.

I våra grannländer finns ett helt annat förhållningssätt. Såväl Norge som Danmark har tagit frågan på större allvar och öronmärkt stora summor för ökad nationell cybersäkerhet. Forskning inom informations- och cybersäkerhet är ett annat område där Sverige behöver satsa resurser. USA har arbetat målmedvetet för att skapa förutsättningar mellan stat och näringsliv. Israel har också storsatsat på området i ett nära samarbete mellan centrala myndigheter, forskningsinstitutioner och företag. Även Tyskland och flera andra länder är på gång med liknande satsningar.

Vilka är då orsakerna till att vi har halkat efter våra nordiska grannar? I nuläget finns till exempel en påtaglig institutionell tröghet inom regeringskansliet när det gäller beredningen mellan departementen. I regeringskansliet saknas också den kompetens om informations- och cybersäkerhet som krävs för att kunna väga av motsatta intressen i beredningen av regeringsunderlag. Resultatet har ofta blivit att myndigheters olika uppfattningar tar ut varandra i beredningen, med konsekvensen att inga eller väldigt urvattnade beslut fattas.

Dessutom finns en institutionell tröghet inom och mellan berörda myndigheterna som inte underlättas av att det är sju myndigheter som har nationellt övergripande ansvar. Försvarsmakten, MSB, FRA, Säpo, FMV, Polisen och PTS gör mycket gott arbete, men prioriteringen har fram till nu inte varit tillräcklig, och samarbete har ägt rum i för låg omfattning. Visst finns det undantag, exempelvis på MSB, där verksamheten utvidgats kraftigt, och inom underrättelse- och säkerhetstjänsterna, men det räcker inte till för att möta behoven i informationssamhället som utvecklas med ljusets hastighet.

Det finns ljuspunkter i cybersäkerhetsarbetet i form av det nya dataskyddsdirektivet (gdpr), nät- och informationssäkerhetsdirektivet och snart en ny säkerhetsskyddslag som ställer tydligare krav på samhällets aktörer. Men även här saknas en myndighet som har ansvar för helheten i hur dessa regelverk ska sättas i relation till varandra och omsättas i praktiken.

Vad bör då den nya regeringen göra för att förbättra arbetet med informations- och cybersäkerheten?

Etablera en stark huvudman i regeringskansliet. Här behövs en chefstjänsteman med tillhörande enhet med ansvar för bredning och styrning. Tillför därefter sakkunniga specialister från de centrala myndigheter och regeringskansliet till enheten.

Säkerställ att en myndighet tar helhetsgreppet och kan röra sig i hela hot- och riskskalan utan att behöva samverka med sex andra myndigheter. Se till att myndigheten har tillräckliga legala förutsättningar, resurser och den kompetens som krävs.

Fortsätt satsa på underrättelse- och säkerhetstjänsternas unika förmåga i cyberdomänen, men säkerställ att den unika information som dessa kan få fram på olika sätt kan nå ut till olika samhällsviktiga aktörer.

Etablera ett cybersäkerhetscenter vid någon av myndigheterna och säkerställ att de andra myndigheterna sekonderar personal dit. Se även till att kritisk infrastruktur från framför allt telekommunikation- och energisektorn adjungeras till centret.

Säkerställ att samhällets aktörer får tydliga regelverk och tillgång till rådgivning samt hotinformation. Där så krävs, ska också kontroll av efterlevnaden ske. Varje organisation, offentlig som privat, behöver sedan ta sitt ansvar för sin informations- och cybersäkerhet.

Nu behöver vi få till kraftigt ökade resurser för att säkra våra kritiska informationstillgångar. Dels för våra centrala myndigheter med ansvar för olika delar av det nationella cybersäkerhetsarbetet, dels, och kanske främst, för alla de offentliga och privata samhällsviktiga och kritiska funktionerna.

Därför behöver vi en kursändring från den nya regeringen, innan vårt samhälle hamnar i ett allvarligt läge till följd av avsaknad av politiska beslut inom cybersäkerhetsområdet.

Richard Oehme, expert på cybersäkerhet och skydd av samhällskritiska tjänster på revisionsbyrån PWC. Tidigare bland annat verksamhetschef på MSB, Kansliråd samt analytiker på FRA.

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Dagens viktigaste nyheter

Debatt