Nationell strategi för samhällets informations- och cybersäkerhet

Debatt om förslag 24 januari 2018

Protokoll från debatten

Anföranden: 9

Anf. 1 Allan Widman (L)

Nationell strategi för samhällets informations- och cybersäkerhet

Fru talman! Åtminstone delar av försvarsutskottet har i dag samlats i kammaren för att debattera den nationella strategi för samhällets informations- och cybersäkerhet som regeringen har arbetat fram. Strategin är naturligtvis ett biflöde av den nationella säkerhetsstrategi som regeringen valde att presentera på Rikskonferensen Folk och Försvar 2017 i Sälen. Den nationella säkerhetsstrategin har inte varit föremål för något ställningstagande eller någon behandling i riksdagen. Även denna gång fastställer inte riksdagen strategin, utan vi avser att lägga den till handlingarna.

Strategin vänder sig till alltifrån våra viktigaste statliga myndigheter över till regioner, landsting, kommuner, företag och även enskilda medborgare. Det är väl måhända därför som denna strategi är tämligen abstrakt och generell. Den låter sig egentligen sammanfattas i ett antal korta punkter.

STYLEREF Kantrubrik \* MERGEFORMAT Nationell strategi för samhällets informations- och cybersäkerhet

Det handlar om att säkerställa en systematisk och samlad ansats i arbetet med informations- och cybersäkerhet.

Det handlar om att öka säkerheten i nätverk, produkter och system.

Det handlar om att stärka förmågan att förebygga, upptäcka och hantera cyberattacker och andra it-incidenter.

Det handlar om att öka möjligheten att förebygga och bekämpa it-relaterad brottslighet, öka kunskap och främja kompetensutveckling samt stärka det internationella samarbetet.

När man tar del av punkterna i strategin förstår man att regeringen känner ett behov av att snart uppdatera strategin på nytt och förhoppningsvis göra den mer konkret och därmed mer praktiskt användbar för dem som är tänkta att tillämpa den. Redan under 2018, alltså innevarande år, säger regeringen att det kommer att ske en översyn av strategin.

I går presenterade Transportstyrelsen sin egen utredning om det som statsminister Löfven kallade för "haveriet" under sommaren. Av utredningen framgår att över 80 personer, medborgare i Rumänien, Ungern, Tjeckien och Serbien, från början av 2016 till och med oktober 2017 obehörigen hanterat viktig och skyddsklassad information som gäller Sverige och svenska medborgare.

Nu kommer riksdagen under våren att granska affären genom konstitutionsutskottet, och det finns ett antal utredningar utöver Transportstyrelsens egen som kommer att dra slutsatser och komma med förslag på hur vi ska undvika att liknande saker inträffar i framtiden.

Alliansen i försvarsutskottet har pekat på ett viktigt förhållande, nämligen att om det finns möjligheter för statliga myndigheter när de gör sina upphandlingar av it-tjänster att i stället för att använda lagen om offentlig upphandling, som mer fokuserar på pris och kvalitet i generella termer, välja att använda sig av lagen om upphandling på försvars- och säkerhetsområdet, som mer betonar behovet av skydd och säkerhet för våra itsystem, kan viktiga fördelar vinnas. Vi tyckte att det är ett bra medskick från riksdagen när regeringen ska uppdatera strategin, men dessvärre fick vi inte gehör för detta. I reservation 7 utvecklar vi i Alliansen våra resonemang om detta.

Fru talman! För tids vinnande är det enbart till reservation 7 som jag yrkar bifall.


Anf. 2 Pål Jonson (M)

Fru talman! Låt mig inledningsvis säga två saker.

För det första står jag givetvis bakom alla alliansgemensamma och moderata reservationer, men för tids vinnande yrkar jag bifall endast till reservation nr 1 och reservation nr 7.

För det andra eftersträvar vi inom säkerhets- och försvarspolitiken alltid breda politiska lösningar. Men med tanke på antalet reservationer som finns i detta relativt korta betänkande måste jag konstatera att det i dag tyvärr saknas en bred parlamentarisk samsyn om hur vi ska hantera cybersäkerhetsfrågorna. Det är allvarligt, och det gagnar ingen annan än främmande makt som inte har Sveriges bästa för sina ögon. Jag tror att det är viktigt att vi försöker åstadkomma en större och bredare samsyn, men då krävs också att regeringen bättre förankrar sin politik i riksdagen på området.

STYLEREF Kantrubrik \* MERGEFORMAT Nationell strategi för samhällets informations- och cybersäkerhet

Fru talman! 2017 var kanske det mest dramatiska och omvälvande året som vi har upplevt inom cybersäkerhetsområdet. Det var året då frågorna hamnade allra högst på den politiska dagordningen. Under 2017 tillkännagav samtliga amerikanska underrättelseorganisationer entydigt att det amerikanska presidentvalet utsatts för omfattande cyberintrång av den ryska militära underrättelsetjänsten. Detta hade även påverkat presidentvalet. Senare under samma år såg vi ryska informationsoperationer riktade mot valen i Italien, Frankrike och Tyskland. Det är ingenting annat än riktade angrepp mot demokratins hjärta i Europa och USA.

Under 2017 offentliggjordes att Sverige tillsammans med andra länder utsatts för de största globala cyberspionageangreppen som någonsin genomförts genom ett virus som heter Cloud Hopper. Sverige har även utsatts för omfattande cyberutpressningsförsök genom det virus som kallas Wanna Cry. Det är ett virus som har lamslagit datorer inom sjukvård och äldreomsorg även i en rad svenska kommuner.

Enligt FRA utsätts Sverige för någonstans runt 10 000 statssanktionerade cyberaktiviteter i månaden. Man hävdar även att hoten ökar i styrka och omfattning.

Det är med andra ord en växande hotbild som vi har att hantera på området, samtidigt som vår beredskap lämnar mycket att önska. FRA, Must och Säpo pekar alla i sina årsrapporter på att det finns stora brister i Sveriges säkerhetsskydd på cyberområdet. Det handlar om bristande säkerhetskultur, bristande säkerhetsanalyser och svag it-infrastruktur på många svenska myndigheter. Under sommaren såg vi konsekvenserna i praktiken genom det haveri som hade ägt rum på Transportstyrelsen och sedan skulle äga rum inom regeringen när frågan skulle hanteras.

Det är i den här omvärldsmiljön med väsentligt större hot inom cyberområdet och en relativt svag nationell förmåga att förebygga och förhindra cyberattacker som vi måste granska regeringens nya it- och cybersäkerhetsstrategi. Ytterst måste vi ställa oss frågan om strategin bidrar till att stärka Sveriges säkerhet.

Regeringen har tagit relativt god tid på sig att presentera den här strategin. Sverige är faktiskt det sista landet inom EU som får en nationell cybersäkerhetsstrategi på plats.

Fru talman! En strategi ska normalt innehålla tre M: mål, medel och metod.

Den här strategin är rik på mål. Den innehåller 66 mål fördelade på 32 sidor. En välvillig tolkning av detta är att regeringen har mycket höga ambitioner på cybersäkerhetsområdet. En annan och i mina ögon mer sannolik tolkning är att regeringen helt enkelt inte orkat prioritera eller vara tydlig i den politiska styrningen vid framtagandet av dokumentet på Regeringskansliet. Om allt är prioriterat är inget prioriterat.

Det mest relevanta i en strategi är ju inte hur många mål man har utan snarare vilka medel och metoder man ska använda för att uppnå målen. Här tycker jag att det finns brister i strategin. Strategin liknar mer en målvision än en riktig strategi som kan ge konkret vägledning för det framtida arbetet kopplat till information och cybersäkerhet.

STYLEREF Kantrubrik \* MERGEFORMAT Nationell strategi för samhällets informations- och cybersäkerhet

Fru talman! Jag vill avsluta med två områden där det finns betydande brister i strategin, nämligen upphandling och myndigheters tillsynsansvar.

Strategin är mycket kortfattad när det gäller upphandling på cybersäkerhetsområdet. Det är knappt en halv sida av 32 som berör upphandling, och det är olyckligt av en rad skäl.

För det första är det anmärkningsvärt mot bakgrund av att själva kärnan i skandalen kopplad till Transportstyrelsen ju handlade om upphandling och utkontraktering. Det visste man om inom Regeringskansliet när strategin skrevs på våren 2017.

För det andra var den utredning som låg till grund för strategin, skriven av Brås generaldirektör Erik Wennerström, mycket tydlig med att det finns stora brister i svenska myndigheters förmåga till upphandling. Den utredningen förespråkade också att myndigheterna måste ställa mycket högre krav på säkerhetsskydd vid upphandlingar. Men inget av dessa förslag går att spåra i den slutgiltiga strategin, och det är en brist.

Kanske den största frågan som behöver hanteras på cybersäkerhetsområdet är organisations och tillsynsfrågan. Det är fortfarande fyra ministrar och sex myndigheter som i en eller annan form har ansvar för digitalisering och cybersäkerhetsfrågor. Det kommer att bli ännu fler myndigheter som får tillsynsansvar när NIS-direktivet införs. Det finns därför starka skäl att se över organisationen och ansvarsfördelningen mellan myndigheterna på cybersäkerhetsområdet.

Fru talman! Regeringen säger, precis som Allan Widman var inne på, att cybersäkerhetsstrategin är en strategi för hela samhället. Gott så. Alldeles utmärkt. Men den glömmer en central del av samhället, nämligen Regeringskansliets egen organisation när det gäller att hantera cybersäkerhetsfrågor. Det berörs över huvud taget inte i strategin, och det är en betydande brist. Regeringskansliet utgör ju själva nervsystemet för styrningen av myndigheterna, och det var detta nervsystem som fick ett sammanbrott i samband med och efter skandalen kopplad till Transportstyrelsen. Strategin hade varit betjänt av att också hantera bristerna som finns i Regeringskansliet när det gäller styrningen av cybersäkerhetsfrågor.

Vi moderater bedömer därför att det behövs en cybersäkerhetskoordinator som kan tydligare hålla ihop arbetet med dessa frågor inom Regeringskansliet och att ansvaret för cybersäkerhet inte ska ligga på Justitiedepartementet utan flyttas till Statsrådsberedningen. På det sättet kan vi få en bättre sammanhållen politik för cybersäkerhetsfrågorna, vilket är helt nödvändigt i ljuset av de ökade hot vi upplever på detta område och på grund av den bristande förmågan att hantera cyberangrepp.

(Applåder)


Anf. 3 Mikael Jansson (SD)

Fru talman! För tids vinnande yrkar jag bifall endast till reservation 15.

Under många år har begreppet cybersäkerhet - jag föredrar att kalla det it-säkerhet - varit ett modeord. Tyvärr har det sällan varit några konkreta förslag kopplade till användandet av begreppet.

Nu har i alla fall regeringen kommit till skott i ett par delar - dels att outsourcing av kritiska it-strukturer inte ska ske utan godkännande av säkerhetstjänsterna och dels att Försvarets radioanstalt, FRA, och andra för it-säkerheten viktiga myndigheter ska få mer medel för att utveckla sina verksamheter.

STYLEREF Kantrubrik \* MERGEFORMAT Nationell strategi för samhällets informations- och cybersäkerhet

Allt detta är bra. Men det bästa är att gå hela vägen. Informationstekniken har inte bara öppnat för effektiviseringar utan också ökat samhällets sårbarhet i kris och krig. När totalförsvaret återupprättas finns it-samhällets sårbarhet med i väldigt många aspekter.

SD anser att känsliga it-strukturer och databaser inte ska outsourcas alls. Invändningen att myndigheter inte klarar av vad privata företag kan faller på det faktum att vi tidigare haft våra databaser inom myndigheterna. Naturligtvis kan privata företag bistå med utbildning och teknisk assistans, men känsliga data och känslig kod bör skötas inom myndigheterna - så som det var till för några år sedan.

Hård- och mjukvara måste genomsökas för att säkerställa att inte olika former av bakdörrar är inplanterade.

Eftersom våra system ska fungera även i kris och krig måste det finnas avancerad reservkraft vid all viktig infrastruktur.

Datahallar som rymmer känsliga databaser och infrastruktur bör också skyddas mot yttre våld.

För myndigheternas koordinerade samarbete bör säkra krypterade myndighetsnät upprätthållas.

Eftersom Sverige är ledande på mikrosatelliter bör det övervägas om sådana kan användas för att säkra kommunikationerna.

Vad gäller satelliterna är det ett område som är lämpligt för nordiskt samarbete.

I krig får vi räkna med att en avancerad motståndare kommer att använda sofistikerad störutrustning. Det drabbar i första hand det militära försvaret men troligen också hela samhället.

Högteknologisk forskning där Sverige har särskilda kompetenser, exempelvis inom krypto, bör klassas som en strategisk resurs och få extra anslag.

Inom skolväsendet bör ungdomar få lära sig att samband inte alltid är säkra och vad man ska göra i kris och krig om man inte får den information som man behöver.

Det är svårt att förutse den digitala framtiden. Utvecklingen kommer inte att följa den riktning som vi föreställer oss eller den vi ser i science fiction-filmer. Men utvecklingen kommer att gå längre och snabbare än vi tror. Trots detta måste vi sträva efter att vara framsynta och tidigt fatta rätt beslut i ett säkerhetsperspektiv.

I den digitala världen kan fienden uppträda djupt in på vårt territorium utan att först ha tagit en massa terräng. Fienden kan dölja sin rätta identitet och uppträda försåtligt som troll. Vi kan aldrig vara naiva, utan vi måste bygga våra system klokt redan i fredstid.

Redan i fredstid kommer också fienden att finnas i våra system. Det digitala angreppet har redan börjat i stor skala.

När det är en statsaktör som angriper är det svårt att bestämma den eftersom försåtligheten är norm på detta område och angreppen oftast sker via kapade datorer.

Digital infrastruktur av betydelse för totalförsvaret har ingen avgränsning mot privat infrastruktur. Eftersom det digitala är så gränslöst måste vår attityd när vi bygger vårt it-försvar vara ödmjuk. Inför varje funktion vi bygger i vår digitala infrastruktur måste vi fundera över sårbarhetsaspekten. Lika viktigt som att vi bygger robusta it-system är det att vi bygger beredskap genom alternativa analoga system.

STYLEREF Kantrubrik \* MERGEFORMAT Nationell strategi för samhällets informations- och cybersäkerhet

Fru talman! Även en förmåga att vinna på det digitala slagfältet är krigsavhållande!


Anf. 4 Daniel Bäckström (C)

Fru talman! Detta är en mycket angelägen debatt. Flera rapporter har de senaste åren visat att samhällets arbete med informations- och cybersäkerhet behöver utvecklas ordentligt. Vi ser det i Riksrevisionens genomgång av nio olika myndigheter, och vi ser det i MSB:s nationella risk- och sårbarhetsanalys.

Det är allvarligt att bristerna är så omfattande. Inte minst förra sommarens allvarliga händelser efter Transportstyrelsens beslut att göra avsteg från säkerhetsskyddslagstiftningen visar att säkerhetsarbete generellt och informations- och cybersäkerhet specifikt behöver uppgraderas och i större omfattning beaktas i beslutsfattande och verksamhetsutveckling. Detta är också en trend som bland annat Försvarets radioanstalt har identifierat då de beskriver att "säkerheten hos myndigheter och statliga bolag inte är dimensionerad för den hotbild vi ser".

Regeringen föreslår en nationell modell för systematisk informationshantering, som säkerligen skulle underlätta för aktörer att arbeta med informations- och cybersäkerhet. Det är bra, även om det inte är säkert att en modell passar alla aktörer beroende på deras olika uppdrag, storlek och ansvarsområden. Det framkommer inte vilken status modellen ska ha. Detta riskerar att bli verkningslöst. Vad sker om aktörerna inte använder sig av regeringens föreslagna modell?

Fru talman! Minst lika viktigt som en nationell modell är att det finns tydlig styrning och lagar och regler som gör att aktörer måste beakta, ta hänsyn till och arbeta med systematisk informationssäkerhet i sin verksamhet. Det är visserligen bra att regeringen lämnar en skrivelse med namnet Nationell strategi för samhällets informations- och cybersäkerhet till riksdagen, men tyvärr är strategin inte heltäckande. Den tar inte ett brett grepp om samhällets informations- och cybersäkerhet. Framför allt är det en icke-förpliktande skrivelse utan konkreta eller skarpa förslag.

I huvudsak tycks skrivelsen vara inriktad på statliga myndigheter. Ofta saknas resonemang om hur statsmaktens regelstyrning för informationssäkerhet kan tydliggöras för aktörer som inte är statliga myndigheter. Inte minst har MSB visat att det systematiska informationssäkerhetsarbetet ofta brister också på kommunal nivå. Perspektivet att styrningen ska tydliggöras i förhållande till de statliga myndigheterna är därför inte tillräckligt brett för att främja hela samhällets systematiska informationssäkerhetsarbete.

Det är uppenbart att dagens regelverk inte är och inte har varit tillräckligt. Regeringen bör därför, utöver en nationell modell, se över om regelstyrningen och kraven på cyber- och informationssäkerhet i förhållande till inte minst kommunerna är tillräckliga. Här bör också möjligheten prövas för MSB att få föreskriftsrätt i förhållande till kommunernas systematiska informationssäkerhetsarbete.

Ökad tillsyn är också angeläget. Naturligtvis måste detta vägas mot det kommunala självstyret, men inte heller detta problematiseras i regeringens skrivelse.

STYLEREF Kantrubrik \* MERGEFORMAT Nationell strategi för samhällets informations- och cybersäkerhet

Regeringen tar trots allt viktiga steg i sin strategi men når inte riktigt ända fram för att skrivelsen ska göra skäl för sitt namn. Det brottsförebyggande perspektivet finns, men det saknas ambitioner och konkreta förslag för att motverka den ökande trenden med cyberbaserat industriellt ekonomiskt spionage.

FRA har identifierat att statsunderstödda cyberaktiviteter mot Sverige även riktas mot industri, forskning och kritisk infrastruktur. Inte heller här ger regeringen några svar.

När det gäller säkra kryptolösningar konstaterar regeringen att Sverige behöver tillgång till teknisk kompetens för att säkerställa nödvändigt signalskydd. Tyvärr presenteras inga förslag till hur denna specifika tekniska kompetens ska säkerställas.

Informationssäkerhet är inte bara en teknisk fråga som kräver teknisk kompetens. För att nå framgång krävs förståelse hos alla funktioner i en organisation. För att nämna några behöver jurister, analytiker, ekonomer, upphandlare och registeransvariga ha kunskap om vad som är skyddsvärd information. Ett generellt kunskapslyft om informationssäkerhet och säkerhetsskydd behövs inom de allra flesta organisationer.

Regeringen lyfter fram behovet av forskning och högre utbildning. Det är bra men långt ifrån tillräckligt. Än en gång saknas regeringens helhetssyn. Regeringen hade gärna fått presentera förslag till hur en generell kunskapshöjning skulle kunna ske.

Hur enskilda medarbetare i en organisation förhåller sig till säkerhet kring information är viktigt för att upprätthålla ett gott skydd, men det är tveksamt om de insatser som i dag görs av ett fåtal myndigheter för att öka individers kunskap verkligen är tillräckliga. Högre ambitioner behövs. Centerpartiet hade gärna sett utvecklade resonemang kring informationssäkerhet som ett förhållningssätt i organisationer som arbetar med krisberedskap och totalförsvarsplanering.

Åtgärder behöver vidtas för att säkra it-hanteringen och stärka it- och cybersäkerheten generellt, inte minst för de verksamheter, såväl privata som offentliga, som äger och driver samhällsviktig verksamhet eller infrastruktur eller i övrigt hanterar frågor som rör rikets säkerhet.

Det är bra att frågan om säkerhet och integritet tas upp i skrivelsen. Frågor kring privatliv och integritet aktualiseras när information om individer finns i allt fler digitala system, som kanske inte alltid har ett fullgott skydd. Detta är en stor potentiell säkerhetsrisk som också måste beaktas och hanteras.

Fru talman! Centerpartiet hade gärna sett tydligare resonemang och förslag om hur regeringen vill att EU ska utvecklas på cyberområdet. Vikten av att delta i internationella samarbeten för att öka den nationella förmågan att hantera cyberhot kan inte nog betonas.

Vi i Centerpartiet vill att EU ska få en större roll i frågor kring informations- och cybersäkerhet. Nätverks- och informationssystem, och internet i synnerhet, spelar en viktig roll för rörligheten för varor, tjänster och personer. Att EU:s samlade förmåga på området stärks är därför angeläget.

Vi vill också att minimikraven för informationssäkerhet i alla EU:s medlemsländer höjs. Även i det operativa arbetet med att hantera cyberkriser kan det finnas anledning att stärka det europeiska samarbetet.

Fru talman! Jag vill yrka bifall till vår reservation nr 3.

(Applåder)


Anf. 5 Mikael Oscarsson (KD)

STYLEREF Kantrubrik \* MERGEFORMAT Nationell strategi för samhällets informations- och cybersäkerhet

Fru talman! Vi debatterar ett betänkande som gäller en nationell strategi för samhällets informations- och cybersäkerhet. Jag står självfallet bakom alla reservationer där vi finns med, men för tids vinnande yrkar jag endast bifall till en: vår reservation som handlar om en ny myndighet för cybersäkerhet.

Det har inte, tror jag, undgått någon i detta land att cybersäkerhet är något som är viktigt på många olika sätt och som angår människor. Det drabbar Sverige på många olika sätt att vi har så mycket problem med det.

Låt mig ta några exempel. Det finns 673 polisanmälningar om utpressning via datavirus. På Akademiska sjukhuset i min kommun finns exempel på att operationer stoppats på grund av utpressning via cyberattacker. De senaste åren har 81 statliga myndigheter och 187 kommuner drabbats av utpressningsvirus, och det fortsätter att öka.

Före jul var FRA, Must och Säpo hos oss och bekräftade att detta är något som ökar. Attackerna blir värre. Det handlar om enskilda, grupper och länder. FRA har nämnt att det görs ungefär 10 000 cyberattacker per månad av utländsk makt och att detta är något som ökar.

Men på ett sätt kan vi ändå säga att de har varit skonsamma. Min och flera experters uppfattning är att om man inte tar ett samlat grepp kan vi inom loppet av ett år drabbas av en riktigt stor cyberattack.

Vad är det då som skulle kunna hända? Låt mig ta några exempel. Kollektivtrafiken kan bli stillastående en hel dag när spärrar, biljettsystem eller signalsystem angrips av ett kidnappningsvirus. Betalningar med bankkort i butiker kan vara omöjliga i ett par dagar på grund av attacker mot betalningsinfrastrukturen. Elförsörjningen till hushåll och industrier kan temporärt slås ut. Detta är något som har drabbat exempelvis Ukraina två år i rad. Hälso- och sjukvård kan på grund av cyberattacker inte utföras. Främmande makt kan genom angrepp ta del av information som flödar i Sveriges it- och kommunikationssystem, vilket kraftigt försämrar Sveriges utsikter att försvara sig i händelse av krig. Vår uppfattning är att om ingenting sker på detta område kan vi se fram emot och frukta en cyberattack av detta slag inom en inte alltför avlägsen framtid.

Det som vi har förslagit under flera år är att det ska tas ett helhetsgrepp på cybersäkerhetsfrågan från den civila sidan av samhället genom att man skapar en cybersäkerhetsmyndighet. I dag styrs informations- och cybersäkerheten på ett fragmenterat och splittrat sätt, vilket sätter de olika säkerhetsmyndigheternas egna intressen före cybersäkerheten. Resultatet är att företag, kommuner, statliga myndigheter, landsting och andra organisationer träffas av en ständigt ökande reglering på området. Denna reglering inriktas nästan alltid på ett perspektiv åt gången. Det kan vara dataskydd för personuppgifter, driftssäkerhet, säkerhetsskydd och så vidare, men regleringen följer samma mönster och kräver nästan samma sak. Det är detta vi skulle komma runt genom att ha en myndighet som ansvarade för detta.

För det första ska viktig information eller viktiga system identifieras. För det andra ska analyser av risk genomföras. För det tredje ska tekniska och administrativa säkerhetsåtgärder införas. Slutligen ska rapporter skickas in.

STYLEREF Kantrubrik \* MERGEFORMAT Nationell strategi för samhällets informations- och cybersäkerhet

För en teleoperatör, till exempel, kan ett enda it-system stå under en handfull olika detaljerade regleringar kopplade till cybersäkerheten. I stället för att hantera systemets säkerhet sammanhållet tvingas operatören att i praktiken ha separata stuprör - det känns ju bekant - som svar på den detaljerade regleringen. Operatören tvingas då till fem olika riskanalyser för it-systemet i stället för en. Det krävs olika interna lösningar för att försöka leva upp till alla dessa fragmenterade rättsliga krav.

Hela organisationer får byggas upp inom kommuner, statliga myndigheter och landsting för att hantera de olika säkerhetskraven. Ett exempel är dataskyddsförordningen, GDPR, en ny reglering som främst berör cybersäkerhetsområdet och som återigen har gett upphov till nya organisationer, nya analyser och nya sätt att leda och styra cybersäkerheten internt.

För att undvika detta krävs att cybersäkerhetsfrågan för den civila sidan hålls samman på ett annat sätt än tidigare. Vårt förslag innebär att man skapar en ny myndighet som får det sammanhängande ansvaret för all tillsyn och som på sikt även får föreskrivningsrätt inom informations- och cybersäkerhetsområdet. Sammantaget kommer detta att leda till en mer enhetlig reglering som blir lättare att förstå och efterleva för de organisationer som träffas av den. Det kommer att leda till att de skattepengar och resurser som läggs på säkerheten verkligen kommer till nytta.

Till sist: Det råder också en stor kompetensbrist på området. Detta medför att Sverige inte kan försörja sig med kompetens på området. Det finns därför inga möjligheter att försörja ett tiotal myndigheter i Sverige som alla ska ha olika roller med kompetent personal. En central cybersäkerhetsmyndighet skulle på ett avgörande sätt bidra till ett robustare samhälle med större motståndskraft mot cyberangrepp. Det är därför vår uppfattning att en sådan myndighet snarast bör tillskapas.


Anf. 6 Kalle Olsson (S)

Fru talman! Under mandatperioden har vi här i kammaren haft anledning att vid ett flertal tillfällen diskutera och debattera områdena it-säkerhet och cyberförsvar. En reflektion är att för varje gång som vi har diskuterat detta har det känts ännu mer angeläget och ännu mer påkallat. Anledningen är förstås händelser i vår omvärld, liksom här i Sverige, som har blottat sårbarheter och brister. Ingen kan i dag ifrågasätta att cyberhotet är på riktigt och att it-säkerhet är något som måste prioriteras.

Även om riskerna för en i traditionell mening väpnad attack mot Sverige bedöms som små är riskerna för att utsättas för cyberattacker desto större. Det är, fru talman, snarare en realitet och en del i vardagen för företag, organisationer, myndigheter och enskilda. Stater, statsunderstödda aktörer, skojare, sabotörer - bakom angreppen och hoten finns olika aktörer med olika agendor.

Men oavsett varifrån angriparen kommer är det uppenbart att hoten är på riktigt och måste mötas med allvar och beslutsamhet.

Det finns anledning för många att vara självkritiska när det gäller hur arbetet med it-säkerhet har bedrivits. En myndighetsföreträdare som besökte oss i försvarsutskottet för en tid sedan uttryckte det som att Sverige har upparbetat en skuld på det här området. Det innebär att vi har ett digert arbete framför oss med att stärka säkerheten, förbättra samverkan och, inte minst, höja medvetenheten om vad som ligger i begreppet it-säkerhet: från så till synes banala saker som att välja ett svårare lösenord än namnet på sina barn till ledning och styrning, att säkerställa starka skydd kring det mest skyddsvärda och att bygga upp ett aktivt cyberförsvar som kan hantera och bemöta fientliga handlingar i cybermiljön.

STYLEREF Kantrubrik \* MERGEFORMAT Nationell strategi för samhällets informations- och cybersäkerhet

Det behöver knappast påpekas att informations- och cybersäkerhet är ett komplext och mångfasetterat område där både människa och maskin måste fungera tillsammans. Det är mot denna bakgrund man ska se regeringens nationella strategi för samhällets informations- och cybersäkerhet. Här har vi ett dokument som på ett övergripande plan pekar ut ett antal prioriterade områden där vi som land behöver fokusera våra insatser. Strategin ska alltså inte läsas som en att-göra-lista där alla åtgärder beskrivs i detalj utan ska snarare peka ut viktiga områden och ange en färdriktning.

Strategin inskärper att informations- och cybersäkerhet är ett område som angår många, inte bara några få. Strategin pekar på behovet av att systematiskt kartlägga informationssäkerheten i samhället, och regeringen konstaterar också att det krävs ett mer enhetligt och samordnat arbetssätt.

Flera av de områden som berörs i strategin tangerar den kritik som framför allt Riksrevisionen har lyft fram i sina granskningsrapporter om it-säkerheten inom statsförvaltningen. En återkommande synpunkt har varit att det har saknats ett systematiskt säkerhetsarbete och att man ute på myndigheter inte har tagit det här på tillräckligt stort allvar. Kanske har man inte ens alla gånger förstått vad det är man har i informationsväg som är särskilt viktigt att skydda. Men udden har från Riksrevisionen också riktats mot den politiska nivån, för att denna inte utövar en effektiv styrning.

Detta dokument är inte en detaljerad att-göra-lista på it-säkerhetsområdet. Emellertid händer det tämligen mycket just nu, och jag skulle vilja lyfta fram några åtgärder som har vidtagits eller som är på väg att vidtas.

Det finns en obligatorisk it-incidentrapportering. Sedan i fjol vår är det obligatoriskt för myndigheter att rapportera allvarliga it-incidenter. Därmed har vi nu äntligen ett verktyg som ger oss en bättre och mer samlad bild av de hot och attacker som vi utsätts för. Det är förstås helt nödvändigt för att vi ska kunna förebygga framtida angrepp och åtgärda svagheter.

Införandet av NIS-direktivet innebär bland annat att kretsen av aktörer som är skyldiga att hålla en hög säkerhetsnivå i sina nätverk utvidgas till att omfatta hela sektorer, såsom energi, transport och hälso- och sjukvård.

Regeringen skjuter nu till ytterligare resurser till Myndigheten för samhällsskydd och beredskap för att kunna stödja aktörer i fråga om att förebygga och hantera it-incidenter. MSB kommer också, i samarbete med länsstyrelserna, att inrikta sig på att förbättra kommunernas informationssäkerhet. Det är för övrigt ett område som är mycket viktigt. Om vi ska kunna involvera den lokala nivån i uppbyggnaden av det civila försvaret måste nämligen it-säkerheten fungera.

MSB får vidare tillsammans med Polismyndigheten i uppdrag att genomföra en nationell kampanj om informations- och cybersäkerhet, som ska innehålla konkreta tips på vad man kan göra för att skydda sig mot intrång och id-kapningar.

Försvarets radioanstalt, FRA, som är statens expertmyndighet och spjutspets i fråga om att förebygga och förhindra it-hot, får en förstärkt ekonomi.

Mot bakgrund av debaclet vid Transportstyrelsen har regeringen beslutat att statliga myndigheter ska vara skyldiga att samråda med Säkerhetspolisen och Försvarsmakten inför utkontraktering, så kallad outsourcing, av säkerhetskänslig verksamhet. Och om kraven på säkerhetsskydd inte bedöms vara tillgodosedda får Säkerhetspolisen eller Försvarsmakten besluta att den aktuella myndigheten inte får genomföra upphandlingen.

STYLEREF Kantrubrik \* MERGEFORMAT Nationell strategi för samhällets informations- och cybersäkerhet

Mot bakgrund av det som hände i Transportstyrelsen vidtas också åtgärder för en säkrare statlig drift genom att aktörer som bedriver säkerhetskänslig verksamhet har möjlighet att samverka och förlägga sin it-drift i säkra gemensamma fysiska utrymmen.

Det pågår alltså många processer samtidigt för att stärka samhällets informations- och cybersäkerhet. Vi behöver hålla ett högt tempo i detta arbete och samtidigt försäkra oss om att vi gör rätt saker och samordnar arbetet. Det finns därför anledning för många att läsa denna nationella strategi och kanske rent av behålla ett exemplar i bakfickan.

(Applåder)


Anf. 7 Anders Schröder (MP)

Fru talman! Det är tydligt att det finns ett stort behov av att utveckla samhällets informations- och cybersäkerhet. Vi har vid flera tillfällen nyligen bevittnat hur olika länder i Europa och även USA har utsatts för påverkanskampanjer, informationskrigföring, hackerattacker och terrorism. Under den senaste tiden har flera arméchefer och högt uppsatta militärer i olika länder varnat för påverkanskampanjer och informationskrigföring från främmande makt.

Parallellt med att det allmänna säkerhetspolitiska läget i Europa försämras - det har detta utskott ofta diskuterat här i kammaren - ställs det ökade krav på samhällets förmåga när det gäller säkerhet och krisberedskap. Ytterst är det nödvändigt att hela samhället har en inneboende robusthet, uthållighet, motståndskraft och förmåga att hantera komplexa händelser och asymmetriska hot.

I takt med att Facebook, Twitter och andra sociala medier i allt högre utsträckning ersätter de traditionella mediernas roll när det gäller att förmedla nyheter har möjligheten att sprida falska informationskampanjer till stora grupper kraftigt ökat. Informations- och medielogiken håller på att förändras i sina grundvalar samtidigt som Sverige är i färd med att växla om till den fjärde industriella revolutionen - det är internets, robotikens och digitaliseringens tidsålder. Omställningen innebär oanade möjligheter samtidigt som vi redan i dag ser hur bristen på robusthet i systemen och otillräcklig kunskap hos individer, organisationer, företag och myndigheter skapar en sårbarhet som lätt kan missbrukas av illvilliga krafter. Vi ser redan nu hur en sofistikerad teknikutveckling används till allt från att försöka påverka den svenska politiska debatten till att komma åt känslig information från Försvarsmakten - eller andra institutioner och företag - eller att bevaka en inhemsk politisk opposition som tagit sin tillflykt till Sverige.

Mot bakgrund av allt detta har regeringen redan vidtagit ett antal åtgärder. Kalle Olsson har förtjänstfullt redogjort för några av dem. Jag vill särskilt betona att vi har skjutit till pengar såväl till MSB, och dess arbete för att möta informationskampanjer, som till andra myndigheter som jobbar med att stärka den tekniska säkerheten hos våra myndigheter. Regeringen har nu också aviserat att man kommer att inrätta en ny myndighet för psykologiskt försvar, vilket jag tycker är positivt. Utöver det lägger vi fram den nya strategin för att utveckla samhällets informations- och cybersäkerhet.

STYLEREF Kantrubrik \* MERGEFORMAT Nationell strategi för samhällets informations- och cybersäkerhet

En viktig del i detta arbete handlar om att stärka det psykologiska försvaret. I en tid av desinformationskampanjer och andra yttre påverkansåtgärder som syftar till att skapa misstro och splittring är det viktigt att främja en psykologisk resiliens och värna människors tillit till varandra och till samhällets institutioner.

Presidentvalet i USA och folkomröstningen i Storbritannien visade exempel på hur oförmåga och bristande beredskap bland politiska institutioner när det gäller att möta påverkanskampanjer och cyberattacker kan bidra till att underminera förtroendet för politiska företrädare och i förlängningen urholka stödet för demokratin.

Det är viktigt att lyfta fram att digitaliseringen medför stora förbättringar i vårt samhälle. Sverige ska fortsätta att ha en ledande roll när det gäller den digitala industriella utvecklingen och ta till vara digitaliseringens stora möjligheter att effektivisera och vitalisera ekonomin och samhället i stort samt se till att tekniken bidrar till innovationer och smarta lösningar i vardagen.

För att man ska kunna säkerställa digital kompetens inom det offentliga, bland företag och hos individer och samtidigt kunna hantera de säkerhetsrisker som en ökad exponering medför behövs det en strategi som innefattar stora delar av samhället. Därför är det mycket positivt att Miljöpartiet och Socialdemokraterna i regeringen har tagit fram en nationell strategi som omfattar såväl myndigheter, kommuner, regioner och organisationer som privatpersoner. Miljöpartiet vill också se ett stärkt samarbete med andra länder inom detta område, inte minst med våra nordiska grannar och inom EU.

Fru talman! Den senaste tidens utveckling har med all tydlighet aktualiserat behovet av att stärka också det icke-traditionella försvaret, anpassat efter dagens komplexa säkerhetsläge. Vi får aldrig ta vårt öppna och demokratiska samhälle med åsiktsfrihet och fria medier för givet. Därför är jag stolt över den nationella strategi för samhällets informations- och cybersäkerhet som Miljöpartiet är med och tar fram i regeringen.


Anf. 8 Lotta Johnsson Fornarve (V)

Fru talman! Vi lever i ett alltmer digitaliserat samhälle, och aldrig tidigare har vi människor varit så beroende av teknik. Inom en inte alltför lång framtid kommer alla funktioner i vårt samhälle att vara mer eller mindre digitaliserade. Då gäller det att vi kan lita på de system som vi har.

Digitaliseringen har oftast lett till att vi har fått mer effektiva och välfungerande tjänster och verksamheter, men det har även gjort oss mer sårbara. Det har också skett en tydlig ökning av incidenter relaterade till internet, såsom dataintrång, bedrägerier och spridning av skadlig kod. Vem som ligger bakom detta kan variera, men det kan till exempel handla om privatpersoner, organiserad brottslighet, terrorister och andra statsmakter.

En bristande informationssäkerhet riskerar att få förödande konsekvenser, som kan leda till stora problem för till exempel de finansiella systemen, hälso- och sjukvården, livsmedelsförsörjningen och den nationella säkerheten.

STYLEREF Kantrubrik \* MERGEFORMAT Nationell strategi för samhällets informations- och cybersäkerhet

När hanteringen av viktig information brister riskerar det också att leda till ett försämrat förtroende för etablerade samhällsstrukturer. Vi såg ett tydligt exempel på detta under sommaren 2017 i samband med händelserna på Transportstyrelsen då det avslöjades att skyddsvärda uppgifter hanterats felaktigt inom myndigheten.

Bakgrunden och orsaken var beslutet att lägga ut, privatisera eller outsourca it-verksamheten på det privata företaget IBM. Möjligheten till outsourcing inleddes redan av den tidigare borgerliga regeringen och gör att den också bär ett visst ansvar. Självklart har dock den nuvarande regeringen det yttersta ansvaret för den allvarliga situationen på Transportstyrelsen.

När kortsiktig vinst blir en drivkraft för att upprätthålla fungerande itsystem sätts långsiktigheten på undantag, och helheten går förlorad. Outsourcing av skyddsvärda uppgifter bör helt undvikas.

Vänsterpartiet delar utskottets oro över den granskning av nio myndigheter som Riksrevisionen tidigare genomförde då man kom fram till att arbetet med informationssäkerhet på de granskade myndigheterna "ligger på en nivå som är märkbart under vad som är tillräckligt" och, att döma av Riksrevisionens tidigare rapporter, inte ser ut att ha utvecklats i tillräcklig grad över tid. Även Säkerhetspolisen har kommit med viss kritik när det gäller hanteringen av it-säkerhet hos statliga myndigheter.

Vänsterpartiet har motionerat om att regeringen under mandatperioden bör återkomma med en strategi för att stärka statens informations- och cybersäkerhet. Nu har regeringen tagit fram en sådan strategi, vilket vi välkomnar.

Huvudsyftena med strategin är att bidra till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cybersäkerhet samt att höja medvetenheten och kunskapen i hela samhället utifrån vissa prioriterade områden.

Nu gäller det att sätta igång på allvar och se till att strategin genomförs utan fördröjning. Vi kommer att noga följa detta arbete på nära håll och återkomma om det blir nödvändigt. Det är också viktigt att en tidsplan utarbetas och i sammanhanget överväga sanktionsmöjligheter för de myndigheter som inte uppfyller godtagbara krav på informations- och cybersäkerhet.

Till att börja med måste varje myndighet stärka sin egen säkerhet och på sikt stärka samarbete och samordning mellan de statliga myndigheterna. Jag vill därför också i sammanhanget påminna om förslaget från Statens servicecenters rapport som presenterades 2017 om att inrätta en gemensam statlig molntjänst för myndigheternas it-drift. Enligt rapporten skulle myndigheterna kunna spara 30 procent av dagens it-kostnader med en sådan molnlösning, och systemet skulle bli väsentligt säkrare än i dag.


Anf. 9 Beatrice Ask (M)

Fru talman! Jag är alldeles ny på försvarsområdet eller i varje fall i försvarsutskottet, och frågorna som vi diskuterar i dag är naturligtvis inte nya. Men jag är i det närmaste chockad när jag läser betänkandet och den strategi som har lagts fram. Den är allmänt hållen och tämligen naiv.

STYLEREF Kantrubrik \* MERGEFORMAT Nationell strategi för samhällets informations- och cybersäkerhet

Digitaliseringen går in i vår vardag. Den finns överallt. Vi läste i morse att skärmarna hade slocknat på ledningscentralen i Skåne, och då stannar all trafik i en tredjedel av Sverige. Det är så det ser ut. Det är otroligt allvarliga brister när det gäller säkerhet på det här området, och vi är väldigt bekymrade över att regeringen först senarelägger och blir ett år försenad med den här strategin och sedan kommer med allmängods.

Jag har ägnat hösten åt att granska Transportstyrelsens it-haveri, och till Vänsterpartiet vill jag säga att problemet ju inte är outsourcingen i sig utan att man har brutit mot de regler och lagar som gäller på området, vilket är väldigt illa. Man måste också ha en genomtänkt hantering när man tar in utomstående kompetens, eftersom det är känsliga uppgifter som kan komma på drift.

Det är ju närmast så i många myndigheter, vilket ju finns redovisat i ett antal rapporter, att vi inte bara öppnar dörren för illasinnade, utan vi rullar nästan ut mattan för folk så att de kan kliva in i våra register och system. Så kan vi naturligtvis inte fortsätta framöver.

Jag delar Pål Jonsons uppfattning att vi behöver se över organisationen och ansvarsfördelningen mellan våra myndigheter. Vi behöver en tydligare strategi för hur man följer upp de åtgärder som vidtas, och det behövs mer kreativitet i att hantera de praktiska konsekvenserna av den sårbarhet vi ser i dag.

Sverige ligger illa till. Vi är långt framme när det gäller digitalisering, och vi är duktiga på det. Men vi har glömt bort att det finns många risker och svårigheter.

Jag tycker att Kalle Olsson listade en del bra åtgärder som regeringen vidtar, och det tycker jag är utmärkt. Men det behövs väldigt mycket mer. Jag tycker också att det är bra det han nämner om att man nu får en rapporteringsskyldighet och att man måste samordna sig vid outsourcing med Säpo och Försvarsmakten. Det är sådant som jag tror att en vanlig medborgare utgår ifrån redan gäller.

Det finns nog ganska mycket att lyfta fram om man plockar bland stenarna, och vi måste följa upp de konkreta åtgärderna väldigt noggrant. Vi kan inte förlita oss på att myndigheterna genom att läsa den här strategin kommer att ta sig så mycket längre framåt. Pål Jonson efterlyste också i sitt anförande någon typ av samordning med riksdagspartierna.

Jag tror att vi behöver diskutera det här mycket mer ingående och vara tämligen praktiska. Det här är naturligtvis viktigt ur försvarssynpunkt, men det är också viktigt för att vårt samhälle ska fungera. Vi blir väldigt ställda när tågen ställs in, när bidrag inte kan betalas ut eller när något annat inte fungerar.

It är här för att stanna, och vi måste bli mycket mer konkreta. Jag tror att regeringen har en hel del arbete framför sig, för det här duger inte riktigt. Man får dock vara glad över att det ändå kom, annars hade vi väl fått en anmärkning från annat håll eftersom deadline är i vår.

(Applåder)

Överläggningen var härmed avslutad.

(Beslut fattades under § 12.)

Beslut

Regeringens strategi för samhällets informations- och cybersäkerhet (FöU4)

Regeringen har tagit fram en nationell strategi för samhällets informations- och cybersäkerhet och redogör för den i en skrivelse. Regeringen avser bland annat att lyfta betydelsen av myndigheters informationssäkerhetsarbete i sin myndighetsstyrning. Ett av strategins mål är också att det ska finnas en nationell modell till stöd för ett systematiskt informationssäkerhetsarbete, som ett stöd till olika aktörer.

Regeringen anser också att man behöver prioritera att:

  • säkerställa en systematisk och samlad ansats i arbetet med informations- och cybersäkerhet
  • öka säkerheten i nätverk, produkter och system
  • stärka förmågan att förebygga, upptäcka och hantera cyberattacker och andra it-incidenter
  • öka möjligheterna att förebygga och bekämpa it-relaterad brottslighet
  • öka kunskapen och främja kompetensutvecklingen
  • stärka det internationella samarbetet.

Försvarsutskottet som har behandlat skrivelsen ser positivt på regeringens nationella strategi. Riksdagen la skrivelsen till handlingarna, det vill säga avslutade ärendet.

Riksdagens beslut
Kammaren biföll utskottets förslag.
Utskottets förslag till beslut
Skrivelsen läggs till handlingarna. Avslag på motionerna.