V vill ha böter för myndighet som slarvar med it-säkerhet

CYBER. Det finns brister i säkerheten i myndigheternas it-system. Vänsterpartiet anser att det är dags att införa ekonomiska sanktioner mot myndigheter som inte når upp till kraven på säkerhet.

Foto: Pixabay
Per-Anders Sjögren

– Det brukar vara så här i världen att det gör mest ont i plånboken både för privatpersoner och för myndigheter, säger Stig Henriksson (V), ledamot i försvarsutskottet, till Altinget.

I denna vecka ska riksdagen debattera en rapport från Riksrevisionen som har påtalat brister i nio myndigheters informationssäkerhet. Ingen av myndigheterna når kraven i Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter om statliga myndigheters informationssäkerhet, enligt rapporten. Studien gäller nio myndigheter, men det går inte att utesluta att de finns fler myndigheter med stora brister i säkerheten, enligt Riksrevisionen.

Det är inte första gången som Riksrevisionen har pekat på säkerhetsbrister i IT-systemen. Stig Henriksson påminner om att myndigheten redan för nio år sedan konstaterade att informationssäkerheten var under all kritik och i en senare uppföljning visade att i princip inget har hänt.

– Och då måste man vidta mer kraftfulla åtgärder, säger Stig Henriksson.

Riksdagen bör fastställa en tidsplan och överväga sanktionsmöjligheter för de myndigheter som inte uppfyller godtagbara krav på informationssäkerhet, skriver Henriksson i en reservation i det betänkande som riksdagen ska debattera och besluta om på torsdag i denna vecka.

Ska stärka IT-säkerhet

Detaljerna i ett sådant sanktionssystem får man reda ut, menar Henriksson. Men i stora drag skulle det kunna innebära att MSB gör en bedömning om kraven uppfylls och att regeringen senare beslutar om sanktioner mot den felande myndigheten som får betala ur sitt anslag.

– Det är tanken att de pengar som dras in kan styras direkt mot IT-säkerhetsarbetet på just den myndigheten så att man inte kommer undan, säger Stig Henriksson.

Övriga partier i riksdagen ställer sig dock inte bakom Vänsterpartiets idé. Men frågan om sanktioner mot myndigheter som inte upprätthåller IT-säkerheten lever vidare ändå.  Anledningen är att Sverige ska genomföra ett EU-direktiv om IT-säkerhet i nätverks- och informationssystem (NIS-direktivet), ett regelverk som kommer att skärpa kraven.

– NIS-direktivet kommer att höja säkerhetsnivån i Sverige såväl som i andra medlemsstater, sade inrikesminister Anders Ygeman (S) vid Folk och Försvars rikskonferens i Sälen.

Den utredning som just nu arbetar med att gå igenom hur svensk lag ska leva upp till EU-direktivets krav analyserar bland annat hur sanktioner ska användas och om de ska kunna riktas också mot offentliga aktörer.

– Frågan om sanktioner är inte helt lätt, men inom ramen för EU-direktivet så tittar man på den frågeställningen, säger Richard Oehme, chef för verksamheter för cybersäkerhet och skydd av samhällsviktig verksamhet vid MSB, till Altinget.

Med EU-direktivet kommer kraven på att rapportera IT-incidenter att omfatta betydligt fler aktörer – offentliga som privata, och regeringens utredare ska vara klar med sitt arbete och redovisa sina förslag i början av maj i år.

LÄS MER: Fler aktörer ska rapportera it-hot

Inväntar regeringens strategi

Försvarsutskottet poängterar att det är oroande att IT-säkerheten har stora brister hos myndigheter som hantera en rad känsliga uppgifter och dessutom stora belopp. Men i nuläget kommer inga krav på skarpa åtgärder från riksdagen. I stället inväntar riksdagen och myndighetssverige den nationella strategi för samhällets informations- och cybersäkerhet som regeringen har aviserat. Enligt regeringens planer ska denna skrivelse lämnas i maj och den kommer i så fall att behandlas av riksdagen i höst.

En viktig del av underlaget för en sådan strategi är den utredning som tillsattes av den borgerliga regeringen och som lade fram sina förslag för snart två år sedan. Utredningen föreslog en strategi för IT-säkerhet i staten med sex mål: att stärka styrning och tillsyn, att staten ska ställa tydliga krav vid upphandling på IT-området, att statliga myndigheter ska kommunicera säkert, att arbetet med att förebygga och bekämpa IT-relaterad brottslighet stärks, att Sverige ska vara en stark internationell partner och att samtliga statliga myndigheter rapporterar it-incidenter.

Ska rapportera

I den senare delen infördes ett nytt system i april 2016 där myndigheterna är skyldiga att  rapportera IT-incidenter, från överbelastningsattacker till dataintrång, till MSB. Om det finns en misstanke att det ligger ett brott bakom har MSB i dag en skyldighet att uppmana myndigheten att anmäla det till polisen.  

Men det finns ingen skyldighet för den myndighet som har utsatts för attacken att följa MSB:s uppmaning. Och det finns en stor risk i att många allvarliga IT-incidenter inte polisanmäls. Därför planerar regeringen en förändring av de relativt färska reglerna.

I en departementspromemoria som har varit ute på remiss föreslogs att MSB ska vara skyldig att skyndsamt lämna uppgifter till Polismyndigheten om en IT-incident där det finns anledning att anta att ett brott ligger bakom. Det är ett förslag som MSB har motsatt och ett skäl till detta är att den obligatoriska incidentrapporteringen infördes den 1 april 2016 och att det är för tidigt att göra stora förändringar i ett komplicerat system.

LÄS MER: Myndigheter skeptiska till nya krav om anmälan av it-brott

 

Dokumentation

Riksrevisionen har granskat hur nio myndigheter arbetar med sin informationssäkerhet.

  • Arbetsförmedlingen
  • Affärsverket svenska kraftnät
  • Bolagsverket
  • Försäkringskassan
  • Lantmäteriet
  • Migrationsverket
  • Post- och telestyrelsen
  • Sjöfartsverket
  • Statens tjänstepensionsverk.


Enligt rapporten finns flera brister i myndigheternas arbete med informationssäkerhet, vilket är oroande enligt försvarsutskottet som inväntar regeringens nationella strategi för it- och cybersäkerheter.



E-postPolitik på allvar

Få GRATIS nyheter och en daglig politisk överblick från Altinget

0:000:00