Debatt: 8 av 10 myndigheter har svårt att upprätthålla rätt säkerhetsnivå

DEBATT. Det finns inte trovärdigt skydd till många säkerhetskänsliga verksamheter och 8 av 10 myndigheter har svårt att upprätthålla rätt informationssäkerhetsnivå, skriver Jakob Delden, PA Consulting.

Jakob Delden
Säkerhetsskyddsexpert, PA Consulting Group

 

Sverige är i dag ett av de ledande länderna på digitalisering inom EU. Det har gjort oss snabba och kostnadseffektiva men också sårbara. Skadlig påverkan inom ett område kan snabbt få omfattande konsekvenser även på andra. Elförsörjning och betalningssystem är tydliga exempel.

Föråldrade it-system

En granskningsrapport från Riksrevisionen i oktober, visar att 31 av 49 statliga myndigheter som man studerat har problem med föråldrade it-system. Riksrevisionen menar att myndigheterna inte arbetat långsiktigt med frågan vilket orsakar en rad problem.

Till exempel uppger cirka 80 procent av myndigheterna i granskningen att de har svårt att upprätthålla eftersträvad informationssäkerhetsnivå i ett eller flera av sina verksamhetskritiska system. Mer än var tionde myndighet svarar att detta gäller för alla, eller en majoritet, av systemen.

Tillsammans med exempelvis it-händelserna på Transportstyrelsen för några år sedan sätter Riksrevisionens granskning fingret på att säkerhet generellt har haft en alltför låg prioritet i många stora offentliga projekt i Sverige.

Långt ifrån tillräcklig

I våras kom den nya säkerhetsskyddslagen. Den ska förbättra skyddet mot bland annat aktörsdrivna hot för att minimera uppkomsten av allvarliga nationella konsekvenser. Men den nationella förmågan inklusive tillgängliga resurser är fortfarande långt ifrån tillräcklig för att leva upp till lagstiftningens intentioner.

Aktörsdrivna hot

Om 80 procent av de tillfrågade myndigheterna inte lyckas upprätthålla eftersträvad informationssäkerhetsnivå så gäller det troligtvis även system som klassas som säkerhetskänslig verksamhet. Vi pratar här om verksamheter som enligt den nya säkerhetsskyddslagen måste skyddas från aktörsdrivna hot med risk för allvarliga nationella konsekvenser om systemet går ner, attackeras eller görs otillgängligt.

Föreställ er en attack

Sverige är i dag ett väsensskilt samhälle jämfört med för det som den gamla säkerhetsskyddslagen skulle skydda. En viktig skillnad är att hot eller attacker inte längre avgränsas av nationsgränser utan sker internationellt med en enorm spridning.

Föreställ er själva om en attack slog ut centrala betalningssystem i Sverige. Hur många timmar eller dagar skulle det ta innan det fick allvarliga nationella konsekvenser?

Resursbehoven

I utredningar som SOU 2018:82 föreslås också nya tillsynsmyndigheter för säkerhetsskyddet såsom Finansinspektion, Transportstyrelsen, Svenska kraftnät, Post- och telestyrelsen och Energimyndigheten. Dessa är i sak positiva till sin nya roll. Däremot är osäkerheten stor vad gäller resursbehov, avgränsning, samordning och de nya sanktioner som föreslås. Flera av de nya tillsynsmyndigheterna har dessutom tillsynsobjekt som inte tidigare omfattades av säkerhetsskyddslagen.

Resursfrågan är som i alla stora samhällsprojekt avgörande för framgång och bör inte underskattas. Endast Finansinspektionen uppskattar ett behov på tio heltidstjänster för att att hantera sin nya roll.

Pekat med hela handen

Sverige kan i dag inte erbjuda ett trovärdig skydd till många av landets säkerhetskänsliga verksamheter. Man har inom vissa sektorer inte ens lyckats säkerställa vilka dessa verksamheter är.

Men med den nya säkerhetskyddslagstiftningen på plats inklusive andra utredningsförslag kommer vi förhoppningsvis att se en förändring. Lagstiftaren har pekat med hela handen för hur vi ska hantera det som får Sverige som nation att fungera.

Nu måste alla aktörer, både privata och offentliga, lägga tid och framför allt resurser på att integrera ett trovärdigt säkerhetsskydd i sin verksamhet.

Beslutskedja: Genomförande av EU-direktiv om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem

31/3
2016
2/5
2017
15/8
2017
15/2
2018
6/4
2018
31/5
2018
13/6
2018
13/12
2019

Forrige artikel Hökmark: Staten behöver inte äga Telia för att uppnå säkerhet Hökmark: Staten behöver inte äga Telia för att uppnå säkerhet Næste artikel 10 hetaste säkerhetsdebatterna 2019 10 hetaste säkerhetsdebatterna 2019
  • Rapportera

    Lars Jonsson · Expert

    Tillsynsmyndigheter

    Tror att säkerhetsskyddsexperten rörde till det lite om tillsynsmyndigheterna. De myndigheter som räknas upp är inte alla nya tillsynsmyndigheter. Post- och telestyrelsen, Svenska kraftnät och Transportstyrelsen (samt länsstyrelserna) har delat på ansvaret för de enskilda verksamhetsutövarna under lång tid.

  • Rapportera

    Jakob Delden

    Hej Lars

    Tack för din kommentar! Vad jag försökte få fram att utifrån det breddade anslaget i vad som är skyddsvärt så blir tillsynsområdet för de tillsynsmyndigheter som berörs i tex 2018:82 helt annorlunda. Därmed ”nya”. Om propositionen dessutom innehåller allt det som föreslås i SOUn med tex ingripanden och sanktioner etc så blir uppgiften väldigt annorlunda. Självklart medveten om länsstyrelsernas roll. Men som indikerades i den SOU som jag nämner ovan så har knappt någon tillsyn skett. ”Vår kartläggning visar att länsstyrelserna i princip inte har utfört någon tillsyn över säkerhetsskyddet” från sidan 385. Det har sedan SOUn publicerades såklart skett många positiva förändringar men mycket arbete återstår.

    Den gamla säkerhetsskyddslagen är inte den nya. Den nya är betydligt mer komplex och träffas fler aktörer som måste påbörja det komplexa analysarbetet och sedan implementera det ganska så komplexa ramverket för att skydda det som är skyddsvärt.

    Ibland kan man inte ta upp allt i en artikel.


Ryssland vill ta in säkerhetspolitik i Arktiska rådet

Ryssland vill ta in säkerhetspolitik i Arktiska rådet

DIPLOMATI. Säkerhetspolitik ska inte längre hållas utanför Arktiska rådet, anser Ryssland, som nästa år sätter sig på rådets ordförandestol. En expert tvivlar dock på att Ryssland kommer att lyckas sätta säkerhetspolitik på rådets formella agenda.