”Myndigheten fortsätter blunda för sårbara it-system”

Så var den då här. Efter många år av larm om vårt sårbara digitala samhälle har lagen om informationssäkerhet för samhällsviktiga och digitala tjänster blivit klubbad i riksdagen.

Vi är många som under lång tid sett på när sårbarheter så stora att vi tappat hakan har byggts in i samhällets viktigaste it-system. Vi har sett systemleverantörer som ansett att deras lösning självklart är säker oavsett hur illa den sett ut. Vi har i media sett hur köparna av de här systemen – tillika tjänsteleverantörer till samhället – slår ifrån sig och menar att de måste kunna lita på sina systemleverantörer. Och vi har i Sverige sett hur man i efterhand skyller på aningslöshet trots att larm efter larm och undersökning efter undersökning visat på samma brister år efter år.

Till slut hann politikerna ifatt. Marknadens aktörer klarade inte av att själva lösa situationen. Det tog några år för NIS-direktivet i EU, och därtill ett par år innan Sverige till slut antog en lag som skulle skydda medborgarna från leverantörernas vidlyftiga risktagande. Det skulle inte längre vara tillåtet att riskera samhällets väl för att tjäna några kronor extra. Om detta var nu många överens.

Men det fanns ett problem kvar. Och det problemet finns fortfarande. Exakt vilka säkerhetsåtgärder som ska vidtas – eller ens kan vidtas – är inte alltid så lätt att ange. It-baserade system kommer med olika tekniska möjligheter och förutsättningar. Prislapp och hotbild kan variera. Det kan också finnas andra minst lika viktiga saker som man behöver ta hänsyn till som kan stå i direkt konflikt med traditionella skyddsåtgärder mot angripare. Allt detta varierar dessutom över tid.

Ur lagstiftarens perspektiv finns redan ett sätt att hantera den typen av situation. Lagen hålls generell och därefter ger man en myndighet föreskriftsrätt för att ange närmre bestämmelser. Så har gjorts många gånger tidigare och kommer fortsätta göras även framöver. Idén är bra. Men vad händer när myndigheten man delegerar till inte heller tar i problemet?

Myndigheten för samhällsskydd och beredskap, MSB, har nu kommit med sitt förslag på föreskrifter för leverantörer av samhällsviktiga tjänster. Myndigheten har sedan tidigare en föreskrift för statliga myndigheters informationssäkerhet. Och om man nu har något som fungerar, varför inte återanvända det? Så det är vad MSB har gjort. Kraven som ställs på leverantörer av samhällsviktiga tjänster är i stort desamma som ställs på statliga myndigheter. Allt är väl med det. Eller?

Nej. För i ovanstående stycke smög det sig in en premiss som visat sig felaktig. Det MSB har är nämligen inte något som fungerar. Deras lösning är att hänskjuta besluten till tjänsteleverantörerna. Alltså samma tjänsteleverantörer som från början inte klarat av att hantera situationen och vars misslyckande är grunden till att NIS-direktivet behövs. Hur dessa leverantörer plötsligt blivit fria från den moraliska risk som ligger i situationen nämns intet.

Det ligger något typiskt svenskt över det. Man vill inte riskera att stöta sig med någon. Inte riskera någon konflikt. Inte ens antyda att någon annan kanske inte kan sin sak eller att de tar jäviga beslut på lösa grunder. Det är så illa att MSB:s förslag till föreskrift faktiskt är så okontroversiell och så verkningslös att även MSB själva konstaterar att föreskriften för de flesta som omfattas av den inte kommer göra någon skillnad.

Men problemet är att man då inte heller kommer uppnå något. På sin högsta nivå har NIS-direktivet syftat till att samhället ska återta kontrollen över de risker som leverantörerna annars utsätter samhället för. Men med sitt försynta svenska sätt gör MSB nu det omvända och lagfäster att leverantörerna ska få utsätta samhället för vilka risker de än vill.

Allt som krävs är att leverantören själv säger att risken är låg. En bedömning som inte ens behöver baseras på något särskilt utan kan vara helt tagen ur tomma luften. Eller från mindre kompetenta personer som vill fokusera på annat och bara tycker att det där med säkerhet är uppblåst och onödigt.

Carl-Johan Bostorp, IT-säkerhetsspecialist