Debatt

En cyberkommission måste beakta hela samhället

Efter it-attacken mot cyberföretaget Tietoevry har tonläget varit högt. Politiker åt både höger och vänster har varit ute och krävt en kommission för att utreda händelsen. Det är bra, men fler perspektiv behövs ha med när det gäller cybersäkerhet. Det skriver Christina Backlund, som är vd vid it-säkerhetsföretaget Shibuya. 

”Frågan om vilka som sitter i kommissionen kommer vara central både för resultatet och för hur diskussionen förs”, skriver debattören. 
”Frågan om vilka som sitter i kommissionen kommer vara central både för resultatet och för hur diskussionen förs”, skriver debattören. Foto: Fredrik Sandberg/TT
Detta är en opinionsartikel som speglar skribentens åsikter.

Carl Oskar Bohlin (M) och Peter Hultqvist (S) anser båda att det bör tillsättas en cyberkommission för att utreda hur den stora it-attacken mot Tietoevry för ett par veckor sedan kunde få så omfattande konsekvenser för svenska myndigheter och företag. Inte för att “peka finger” utan att söka lösningar.

 Det som nu krävs är en gemensam syn på problematiken och en vilja till samarbete och öppenhet mellan myndigheter och företag. Cyberangrepp som sopas under mattan lär vi oss inget av.

Initiativet med en kommission är bra av flera skäl. Framför allt för att få klarhet i exakt vad som hände och hur det kunde få så omfattande konsekvenser. Men kommissionen bör även syfta till att skapa enighet, där en gemensam aktionsplan för hur myndigheter och företag kan möta de ökande cyberhoten tillsammans.

Det som minst av allt behövs är politiska markeringar om vem som kom med förslaget först. I rådande läge är det knappast läge att göra partipolitik av en fråga som både handlar om nationell säkerhet och Sveriges fortsatta konkurrenskraft. Det som nu krävs är en gemensam syn på problematiken och en vilja till samarbete och öppenhet mellan myndigheter och företag. Cyberangrepp som sopas under mattan lär vi oss inget av. Dessutom är ett robust säkerhetsarbete aldrig starkare än sin svagaste länk.

Fortsätt värna digitaliseringen 

Kommissionen bör adressera flera, centrala frågeställningar:

Sverige, till skillnad från andra länder i vår närhet, är sena när det gäller att på allvar adressera cyberhot genom nationella initiativ. Ett tydligt exempel på det är Riksrevisionens starka kritik i sin rapport om regeringens styrning av samhällets informations- och cybersäkerhet som kom under 2023.

Som nation var vi tidiga med digital utveckling av företag, erbjudanden och affärsmodeller. Något som vi ska fortsätta värna om då säkra digitala lösningar är och kommer fortsätta vara grunden till innovation och svensk konkurrenskraft.

En risk med många digitala lösningar är deras exponeringen mot sårbarheter. Sårbarheter som kan vara både kända och okända och något som vi i näringslivet dagligen behöver hålla oss à jour med för att mota potentiella intrång.

En välkommen åtgärd vore att se över möjligheterna till ett gemensamt nationellt nätverk där information om pågående cyberattacker delas mellan myndigheter och företag. Det görs i viss mån idag, men oftast på egna grupperingars initiativ och långt efter att attacken faktiskt har skett. Med snabbare flöde av information ges möjligheter för andra aktörer att snabbt agera proaktivt och söka, identifiera och blockera hot innan ytterligare attacker är ett faktum.

Ta in flera perspektiv 

I år och nästa år kommer nya regleringar som ställer ökade krav på myndigheter och företag. Med bland annat NIS2 förväntas verksamheter som representerar samhällskritisk verksamhet ha full koll på hela sitt ekosystems cybersäkerhetsarbete för att upptäcka och åtgärda brister. Antalet organisationer som omfattas ökar i antal med den nya definitionen om “samhällskritisk verksamhet” och de som inte är bemannade för den här typen av översyn kommer ha en grannlaga uppgift. Här bör kommissionen fokusera på hur myndigheter och företag blir mer kompetenta beställare mot sina leverantörer.

Frågan om vilka som sitter i kommissionen kommer vara central både för resultatet och för hur diskussionen förs. Den bör naturligtvis innehålla både politiska företrädare, forskare och experter från offentlig sektor. Men det bör inte stanna där. Med företrädare från näringslivet breddas diskussionen om hur beslut i frågorna tas i praktiken och var flaskhalsarna till att implementera ett robust cyberskydd finns både ekonomiskt och organisatoriskt. Dessutom bör kommissionen överväga att ha med beteendevetare eller annan expertis inom organisation och ledarskap. Vi vet att utöver de tekniska aspekterna spelar den mänskliga faktorn stor roll vid cyberangrepp.

Sverige behöver ett pågående säkerhetsarbete 

En inkluderande kultur där alla har kunskap om hoten och hur man konstruktivt arbetar för att motverka dem samt tillåts synliggöra svagheter och risker är kanske den enskilt viktigaste åtgärden. Vågar man säga till om man upptäcker problem eller erkänna att man gjort ett misstag? Har bolaget en ledning som är genuint intresserade av sin organisations kunskap och vill införliva den i viktiga beslut?

Slutligen: En kommission har en början och ett slut. Men det Sverige behöver är inte ett bokslut utan en ständigt pågående process och organisation för att samordna cybersäkerhetsarbetet mellan myndigheter och företag, där transparens, öppenhet och snabbhet genomsyrar arbetet.

Det är enorma värden som står på spel. Men med Sveriges framträdande roll inom digitaliseringen har vi nu alla möjligheter att ta en aktiv roll även inom cybersäkerhetsområdet.

Nämnda personer

Carl-Oskar Bohlin

Minister för civilt försvar (M)
Juridik (Uppsala uni., 2011)

Peter Hultqvist

Ordförande försvarsutskottet (S)
Gymnasieutbildning (Soltorgsskolan och Hagaskolan, Borlänge)

E-postPolitik på allvar

Få GRATIS nyheter och en daglig politisk överblick från Altinget

0:000:00