Den it-attack som drabbat världen

Herr talman! Mikael Oscarsson har frågat mig vad min kortsiktiga plan för att stärka informationssäkerheten på våra myndigheter är och vad den långsiktiga strategin för att skydda samhället från attacker mot it-system är.

Informationssäkerhet är ett högt prioriterat område. Regeringen har vidtagit en rad åtgärder för att stärka samhällets informationssäkerhet. Obligatorisk it-incidentrapportering för statliga myndigheter har införts, en utredning om risker i samband med utkontraktering av säkerhetskänslig verksamhet har tillsatts och ett tekniskt detekterings- och varningssystem riktat till de mest skyddsvärda verksamheterna tillhandahålls av Försvarets radioanstalt.

Det pågår ett arbete med att modernisera och skärpa säkerhetsskyddslagen. Myndigheten för samhällsskydd och beredskap har tillförts ökade resurser för att stärka samhällets motståndskraft mot it-angrepp, och Försvarsmakten har regeringens uppdrag att med stöd av Försvarets radioanstalt och eventuellt övriga berörda myndigheter utveckla och förstärka Sveriges cyberförsvar.

Regeringen kommer inom kort att presentera en nationell strategi för samhällets informations- och cybersäkerhet. Strategin ska bidra dels till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cybersäkerhet, dels till att höja medvetenheten och kunskapen om dessa frågor i samhället.

EU:s direktiv om en hög gemensam nivå av säkerhet i nätverk och informationssystem innebär också att det kommer att ställas särskilda krav på säkerhetsåtgärder och it-incidentrapportering för vissa leverantörer av samhällsviktiga och digitala tjänster. Regeringen har gett en särskild utredare i uppdrag att föreslå hur NIS-direktivet ska genomföras i svensk rätt, och utredningens betänkande remissbehandlas för närvarande.

Jag kommer att fortsätta att noga följa arbetet med att stärka samhällets informationssäkerhet och vid behov vidta ytterligare åtgärder.

Herr talman! Jag tackar statsrådet för svaret. Cybersäkerhet, och närmare bestämt svensk cybersäkerhet, är en jätteviktig fråga.

Det är ett känt faktum att vi är väldigt sårbara. FRA gick tidigare i år ut och berättade att Sverige varje månad utsätts för 10 000 cyberattacker från utländsk makt. Man berättade också att det finns cyberspioner som jobbar aktivt på att kunna släcka ned Sverige, någonting som exempelvis Ukraina har blivit utsatt för två år i rad. Sist var det en kall natt förra året - jag tror att det var den 22 december - när uppemot en kvarts miljon ukrainare blev utan ström.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Vad detta skulle kunna få för konsekvenser i ett skymningsläge i svensk försvarsförmåga är någonting vi bara kan spekulera i, men vi är väldigt sårbara. En attack mot Sverige sker naturligtvis mot den svagaste punkten, och detta är en svag punkt. Det är också någonting som har visats på olika sätt; exempelvis gjorde Riksrevisionen en undersökning för tio år sedan och ytterligare en undersökning nyligen, och man kom fram till att det inte har blivit bättre.

Man pekar på att de statliga myndigheterna jobbar var och en för sig på detta och inte har någon särskild nivå. Det blir alltså väldigt olika nivåer på hur det fungerar, och man säger att det inte blir bra. Det blir dyrt, och det fungerar inte tillräckligt bra. Då är frågan: Vad, mer bestämt, tänker statsrådet göra?

Jag är med i Försvarsberedningen, och vi var i Litauen alldeles nyligen. Där har man ett imponerande arbete när det gäller cybersäkerhet. Man har helt enkelt gjort så att man har en speciell myndighet som har ansvaret för försvarsmakten, de statliga myndigheterna och även it-infrastruktur som är betydelsefull för landet. Man är också noga med att man har en lagstiftning som fungerar och som gör att man exempelvis kan stänga ned en dator - var den än finns i landet - så länge det behövs om man kan spåra att viktig information tas därifrån.

Det skulle vara mycket välgörande och intressant att i nästa inlägg få höra mer specifikt vad som är nästa steg. Tycker statsrådet att det är okej att vi som i dag har sex myndigheter som ansvarar för cybersäkerhet? Är det inte väldigt stor risk att det faller mellan stolarna? Är det inte bättre att som i Litauen skapa en cybersäkerhetsmyndighet? Många andra länder har det, och myndigheten har då ansvaret. Riksrevisionen påpekade att man från MSB inte får tillräckligt mycket hands-on när det gäller hur man gör.

Frågan är om detta är någonting som regeringen ser framför sig. Hur ser statsrådet på lagstiftningen - är den tillräcklig? Jag är säker på att statsrådet har tittat på Baltikum och Litauen och att han vet ungefär hur man har lagt upp det där. Med tanke på att cyberattackerna ökar - vi hörde nu i helgen om den i Storbritannien - vad är regeringens plan för att förbättra cybersäkerheten mer specifikt?

Herr talman! Låt mig först bara notera att de som föreslår en cybersäkerhetsmyndighet inte tycker att exempelvis FRA ska sluta med sitt cybersäkerhetsarbete, vilket innebär att det skulle bli sju myndigheter som hade ansvaret i stället för sex. Du kan nämligen inte frigöra den enskilda myndighetens ansvar för den egna informationssäkerheten och it-säkerheten. Det riskerar alltså att bli spel för galleriet - det låter politiskt kraftfullt men är i praktiken en mindre säker lösning.

Den riksrevisionskritik Mikael Oscarsson tar upp är naturligtvis graverande. Men det hade ändå varit klädsamt om du berättade vad som var huvudpunkten i Riksrevisionens kritik, Mikael Oscarsson, nämligen att den borgerliga regeringen inte hade agerat trots rapporten åtta år tidigare. Man hade - det var den viktigaste punkten - inte infört obligatorisk itincidentrapportering, trots att Riksrevisionen hade föreslagit det. Jag kan som ödmjukt ansvarigt statsråd konstatera att vi nu har gjort detta och därmed prickat av den viktigaste punkten i Riksrevisionens granskning, vilket den borgerligt ledda regeringen inte klarade av under åtta år vid makten.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Vi går också vidare. Vi skärper säkerhetsskyddslagen, det vill säga både klassificeringen av information och vilket säkerhetsansvar de olika myndigheterna har. Vi kommer inom kort att presentera en ny nationell informations- och cybersäkerhetsstrategi, vilket jag gav uttryck för i svaret. Vi har gett i uppdrag till alla de bevakningsansvariga myndigheterna att redovisa vilka åtgärder de vidtar för sitt systematiska säkerhetsskyddsarbete.

Vi har gett ökade anslag till Myndigheten för samhällsskydd och beredskap för att stärka förmågan att stå emot it-angrepp och stärka det psykologiska försvaret. Vi har tagit emot utredningen om NIS-direktivet, där det sannolikt blir ytterligare områden i samhället som omfattas av den obligatoriska it-incidentrapporteringen. Vi har också tagit fram förslag till hur Myndigheten för samhällsskydd och beredskap, MSB, ska kunna tillhandahålla sensorkapacitet till myndigheterna. Det ökar också värdet för myndigheterna av att vara med och bidra till det obligatoriska it-incidentrapporteringssystemet.

Sammantaget vidtar vi en lång rad olika åtgärder för att stärka vår förmåga att detektera och hantera it-angrepp. Detta är en fråga som inte kommer att försvinna. I takt med att samhället digitaliseras alltmer - i takt med att information i allt lägre grad finns i pappersform och i allt högre grad i digital form - krävs det att alla som hanterar informationen har ett aktivt säkerhetsskyddsarbete. Vilken information är viktigast att värna? Hur kan vi värna informationen?

Det kanske till och med är så att man på de mest säkerhetsberoende myndigheterna får ha systemen off-grid, det vill säga utan uppkoppling till internet, och i värsta fall bara ha dem i analog form - i pappersform - för att säkerställa att informationen inte sprids. För övriga myndigheter och verksamheter krävs dock att man har höga säkerhetsambitioner.

Herr talman! Som jag var inne på förut är detta ett stort och växande problem. Vi har sett hur man agerar i valrörelser i lite olika delar av världen, inte minst i Amerika.

Nyligen gick också FRA ut och pekade ut en statlig aktör som ansvarig för den mycket omfattande it-attacken Cloud Hopper mot Sverige. Detta var någonting som drabbade oss i början av april. FRA gick igenom hur en främmande stat infiltrerar företag och myndigheter genom tjänsteleverantörer. Skadlig kod placeras ut för att skapa en fjärrkontroll. Den främmande staten kommer via betrodda administratörskonton åt kunder hos tjänsteleverantörer, myndigheter, statliga bolag och industrier. Den främmande staten kommer även åt deras nätverk. Därefter kan den främmande staten helt sonika - som i en kiosk, mer eller mindre - ta den information som finns.

Det var precis detta som Riksrevisionen påpekade när man sa att cybersäkerheten är alldeles för dålig hos en lång rad myndigheter.

Naturligtvis är detta alliansregeringens fel - det är alltid så i interpellationsdebatter. Trots att regeringen nu har haft ansvaret i tre år pekar man alltid på något som skedde för åtta eller tolv år sedan. Men nu, herr talman, ligger ansvaret på regeringen att göra någonting.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

En annan incident skedde i maj. Då drabbades minst 99 av världens 195 självständiga stater av en cyberattack. Detta var en annan typ av attack, där datorer blev låsta och angriparna krävde motsvarande 5 000 kronor för att låsa upp dem. Detta stoppade operationer i Storbritannien och skapade problem runt om i världen.

I mars blev även den norska försvarsmakten hårt attackerad.

Tycker statsrådet att det är rimligt att sex myndigheter delar på ansvaret? Om statsrådet inte vill ha en ny myndighet kunde han åtminstone ge en myndighet huvudansvaret - vore inte det mer rimligt? Denna myndighet skulle kunna se till att erbjuda den hjälp som efterfrågas av de statliga myndigheterna, vilket också påpekades i Riksrevisionens rapport.

Det finns i dag ingen lägstanivå som myndigheterna behöver ligga på, vilket gör att säkerheten skiftar väldigt mycket mellan de olika myndigheterna.

Frågan är då: Hur ska detta lösas? Det är bra att detta med att man ska anmäla incidenter har kommit, men hur är det med privata företag? Är det inte rimligt att även de rapporterar in incidenter?

Frågan kvarstår alltså: Hur tänker regeringen agera framöver? Och hur ser ministern på det system som finns i Litauen, som är framstående vad gäller it-säkerhet?

Herr talman! Jag tror att det exempel som Mikael Oscarsson tog upp med ransomware illustrerar problematiken ganska väl. Detta var ett säkerhetshål som var vida känt. De företag, myndigheter och privatpersoner som antingen hade uppdaterat sin programvara eller hade en fungerande brandvägg var alltså inte mottagliga för detta hot.

Detta är den mest rudimentära nivån av it-säkerhet - man bör ha en fungerande brandvägg och uppdaterade program. Det finns ingenting i vår myndighetsstruktur som kan se till att detta händer. Det är i stället den enskilda myndigheten, den enskilda privatpersonen och det enskilda företaget som måste ta ansvar för att den mest basala it-infrastrukturen finns på plats.

Det vore som att fråga sig varför vi inte har någon ansvarig låsmyndighet när någon har gjort inbrott då dörren stod öppen. Det måste finnas ett eget ansvar. Det är kristallklart att myndigheterna har detta ansvar och att de ska ta det.

Men för att ytterligare tydliggöra detta kommer nu en ny säkerhetsskyddslag. Där tydliggör vi myndigheternas ansvar, vilken nivå de ska ligga på samt klassificeringen av olika slags information och vilka säkerhetsåtgärder som måste vidtas.

Mikael Oscarsson frågade om obligatorisk it-incidentrapportering inte också borde gälla privata sektorer som är viktiga för hela samhället. Mitt enkla svar på den frågan är: Ja. Det kommer med NIS-direktivet. Jag tror att det är de åtta sektorer som pekas ut där, bland annat bank- och finansvärlden, som ska vara delar av detta.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Jag tror att detta är viktigt för att stärka vår förmåga. Den obligatoriska it-incidentrapporteringen är naturligtvis också viktig för att stärka möjligheten för andra att dra nytta av detta - om någon har råkat ut för ett hot eller någon sorts påverkan kan man stärka den andra myndigheten.

Detta rullar vi alltså ut. Men oavsett om det rör sig om FRA, polisen, MSB eller den av Mikael Oscarsson efterfrågade digitalsäkerhetsmyndigheten kommer myndigheten i fråga inte att vara ute och uppdatera folks programvaror eller brandväggar. Man måste klara den delen av it-säkerheten själv - som privatperson, som företag och som myndighet.

Jag besökte FBI häromåret. De har producerat en lista med de åtta vanligaste säkerhetsluckorna, via vilka tusentals människor råkar ut för intrång. Dessa åtta säkerhetsluckor är kända. De finns publicerade på varenda hemsida. De har tryckts upp i tidningar av FBI. De ingår i varenda uppdatering av Windows och av brandväggar. Men ändå drabbas miljoner av detta.

Svaret på detta är inte en ny myndighet. Svaret är i stället att höja medvetandegraden bland användare, it-säkerhetschefer, kommuner och myndigheter. Man kan inte lägga ansvaret för it-säkerheten på vaktmästaren, utan man måste ta ett eget ansvar för den information man hanterar och för den verksamhet man bedriver, precis som i alla andra aspekter av verksamheten. It är inte någonting separat vid sidan om, utan det är en del av kärnverksamheten.

Därför är det också feltänkt att föreslå att vi ska ha en speciell it-säkerhetsmyndighet. Detta är en del av grunduppdraget. It är en del av det man sysslar med, och man måste klara den säkerheten. Det är precis som med låset på dörren.

Herr talman! Det är viktigt att ha lås på dörren, men jag tycker att ministern gör det lite för lätt för sig genom att säga att detta är någonting som alla ska tänka på.

Det här är någonting som uppgraderas runt om i hela världen. Det här är någonting som lyfts fram som ett allt större hot.

Under Försvarsberedningens besök i Litauen blev det väldigt tydligt att man där är mycket noga med att ha lagstiftning på plats. I ett kritiskt läge kan detta få avgörande betydelse för landet.

Jag nämnde tidigare angreppet som Ukraina råkade ut för, där landet blev nedsläckt och elströmmen försvann under kalla nätter. Om andra saker slutar att fungera - till exempel kraft eller någon annan typ av kommunikation - tror jag att det är viktigt att se den stuprörsmentalitet som finns i Sverige på detta område, eftersom vi har sex olika aktörer.

Mitt och Kristdemokraternas förslag är en cybersäkerhetsmyndighet, som många andra länder har. Detta kan ske genom att en myndighet, förslagsvis MSB, får huvudansvaret och då kan ge den praktiska hjälp som myndigheterna efterfrågar.

Jag tror dock inte att de it-konsulter som vi talade om, som kostar så mycket pengar, behöver vara oroliga, herr talman. De kommer också att få arbete framöver. Men jag vill uppmana regeringen att titta på Litauen och på lagstiftningen för att stärka detta område, för det kommer att behövas framöver.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Herr talman! Frågan är inte om vårt skydd mot it-angrepp är viktigt, utan frågan är hur vi skärper vår förmåga. Då tror jag att en speciell itsäkerhetsmyndighet vore en sämre lösning än den vi har nu. Den slutsatsen har också flera utredningar landat i, och jag tror att de gjort rätt bedömning.

Vi skärper nu vår förmåga med en ny nationell strategi och en ny säkerhetsskyddslag, och vi har infört den obligatoriska it-incidentrapportering som den tidigare regeringen inte klarade att införa på åtta år.

Nu utökar vi dess kapacitet till fler branscher med införlivandet av EU:s NIS-direktiv. Detta gör inte att vi har kommit tillräckligt långt. Vi måste göra mer tillsammans. Men vi har vidtagit ett antal skarpa, kraftfulla åtgärder för att skärpa svensk it-beredskap och svenskt it-skydd.

Överläggningen var härmed avslutad.