Debatt

Debatt: 8 av 10 myndigheter har svårt att upprätthålla rätt säkerhetsnivå

DEBATT. Det finns inte trovärdigt skydd till många säkerhetskänsliga verksamheter och 8 av 10 myndigheter har svårt att upprätthålla rätt informationssäkerhetsnivå, skriver Jakob Delden, PA Consulting.

Detta är en opinionsartikel som speglar skribentens åsikter.
Jakob Delden
Säkerhetsskyddsexpert, PA Consulting Group

 

Sverige är i dag ett av de ledande länderna på digitalisering inom EU. Det har gjort oss snabba och kostnadseffektiva men också sårbara. Skadlig påverkan inom ett område kan snabbt få omfattande konsekvenser även på andra. Elförsörjning och betalningssystem är tydliga exempel.

Föråldrade it-system

En granskningsrapport från Riksrevisionen i oktober, visar att 31 av 49 statliga myndigheter som man studerat har problem med föråldrade it-system. Riksrevisionen menar att myndigheterna inte arbetat långsiktigt med frågan vilket orsakar en rad problem.

Till exempel uppger cirka 80 procent av myndigheterna i granskningen att de har svårt att upprätthålla eftersträvad informationssäkerhetsnivå i ett eller flera av sina verksamhetskritiska system. Mer än var tionde myndighet svarar att detta gäller för alla, eller en majoritet, av systemen.

Tillsammans med exempelvis it-händelserna på Transportstyrelsen för några år sedan sätter Riksrevisionens granskning fingret på att säkerhet generellt har haft en alltför låg prioritet i många stora offentliga projekt i Sverige.

Långt ifrån tillräcklig

I våras kom den nya säkerhetsskyddslagen. Den ska förbättra skyddet mot bland annat aktörsdrivna hot för att minimera uppkomsten av allvarliga nationella konsekvenser. Men den nationella förmågan inklusive tillgängliga resurser är fortfarande långt ifrån tillräcklig för att leva upp till lagstiftningens intentioner.

Aktörsdrivna hot

Om 80 procent av de tillfrågade myndigheterna inte lyckas upprätthålla eftersträvad informationssäkerhetsnivå så gäller det troligtvis även system som klassas som säkerhetskänslig verksamhet. Vi pratar här om verksamheter som enligt den nya säkerhetsskyddslagen måste skyddas från aktörsdrivna hot med risk för allvarliga nationella konsekvenser om systemet går ner, attackeras eller görs otillgängligt.

Föreställ er en attack

Sverige är i dag ett väsensskilt samhälle jämfört med för det som den gamla säkerhetsskyddslagen skulle skydda. En viktig skillnad är att hot eller attacker inte längre avgränsas av nationsgränser utan sker internationellt med en enorm spridning.

Föreställ er själva om en attack slog ut centrala betalningssystem i Sverige. Hur många timmar eller dagar skulle det ta innan det fick allvarliga nationella konsekvenser?

Resursbehoven

I utredningar som SOU 2018:82 föreslås också nya tillsynsmyndigheter för säkerhetsskyddet såsom Finansinspektion, Transportstyrelsen, Svenska kraftnät, Post- och telestyrelsen och Energimyndigheten. Dessa är i sak positiva till sin nya roll. Däremot är osäkerheten stor vad gäller resursbehov, avgränsning, samordning och de nya sanktioner som föreslås. Flera av de nya tillsynsmyndigheterna har dessutom tillsynsobjekt som inte tidigare omfattades av säkerhetsskyddslagen.

Resursfrågan är som i alla stora samhällsprojekt avgörande för framgång och bör inte underskattas. Endast Finansinspektionen uppskattar ett behov på tio heltidstjänster för att att hantera sin nya roll.

Pekat med hela handen

Sverige kan i dag inte erbjuda ett trovärdig skydd till många av landets säkerhetskänsliga verksamheter. Man har inom vissa sektorer inte ens lyckats säkerställa vilka dessa verksamheter är.

Men med den nya säkerhetskyddslagstiftningen på plats inklusive andra utredningsförslag kommer vi förhoppningsvis att se en förändring. Lagstiftaren har pekat med hela handen för hur vi ska hantera det som får Sverige som nation att fungera.

Nu måste alla aktörer, både privata och offentliga, lägga tid och framför allt resurser på att integrera ett trovärdigt säkerhetsskydd i sin verksamhet.


E-postPolitik på allvar

Få GRATIS nyheter och en daglig politisk överblick från Altinget

0:000:00