den
14 oktober
Interpellation
2013/14:41
Säkerhet och sårbarhet i samhällets it-infrastruktur
av Annika
Lillemets (MP)
till försvarsminister Karin Enström (M)
Vårt moderna samhälle är beroende av data- och
telekommunikation och blir därmed alltmer sårbart. Utvecklingen av tekniken och
internet har inneburit att våra it-system har blivit mer och mer komplexa och
sårbara. De flesta oegentligheter som drabbar företag i dag är på olika sätt
kopplade till it. Nätbedrägerier och andra it-relaterade brott har ökat
drastiskt de senaste åren.
Försvarets radioanstalt (FRA), den myndighet som
ska skydda statliga myndigheter och statligt ägda bolag mot i första hand
statsunderstödda angripare, ser att det finns säkerhetsluckor på många håll
inom samhällsviktig verksamhet med nationellt viktiga värden. Samtidigt har
attackerna ökat kraftigt under det senaste decenniet, metoderna blivit mer
kvalificerade och målen mer riktade.
Mot bakgrund av detta behöver många frågor besvaras
om hur det som är samhällskritiskt ska skyddas. Till att börja med: Vad är
samhällskritiskt? Är det samma saker som för 5, 10 eller 20 år sedan eller är
det annat som är i behov av ett högt skyddsvärde i dag? Vilka hot står vi inför
i dag när vårt samhälle blir mer och mer beroende av den digitala informationen
och tekniken? Vad behövs exempelvis för
att myndigheter ska kunna kommunicera på ett säkert sätt även i krislägen?
Myndigheten för samhällsskydd och beredskap (MSB)
redovisade 2010 ett regeringsuppdrag med förslag på hur en säker digital informations-
och kommunikationsinfrastruktur för myndigheter, kommuner och landsting skulle
kunna skapas. Uppdraget genomfördes i samråd med bland andra aktörer inom Samverkansgruppen
för informationssäkerhet (Samfi), exempelvis Post- och telestyrelsen, Försvarsmakten,
FOI och Delegationen för e-förvaltning. MSB konstaterar i sin redovisning av
uppdraget att det för att utveckla och upprätthålla tillgängliga och skyddade
kommunikationsinfrastrukturer för offentlig sektor krävs ”en sammanhållen
organisatorisk struktur som över tiden förmår tillvarata de goda
förutsättningar Sverige har som ett utvecklat IT-land. Det bärande elementet i
en sådan struktur är det offentligas förmåga att ställa krav – och att
följa upp krav.”
Utredningen SOU 2010:82 tar upp frågan om en
samordning av de statligt ägda fibernäten. Utredaren konstaterar att näten inom
Trafikverket, Teracom AB och Affärsverket svenska kraftnät ”bör ses som
en samhällsgemensam infrastruktur vilken bör förvaltas betydligt mer samordnat
än idag” (SOU 2010:82, Trafikverket ICT, s. 26). Om näten samlas
under en organisation som ”fokuserar på hög tillgänglighet till
infrastrukturen och aktivt verkar för ökad användning kan nyttjandet av
kapaciteten bli högre”. I MSB-utredningen ges också stöd för förslaget i
SOU 2010:82 att överföra den statligt ägda infrastrukturen till ett
affärsdrivande verk.
Riksrevisionen har nyligen släppt rapporten Statens roll på telekommarknaden där man
bland annat konstaterar att det statliga innehavet av infrastruktur har en
viktig roll på marknaden och att man inte nyttjar de synergieffekter som finns.
Att inte ta ansvar för synergier i de statliga
fibernäten vore en politisk dumhet och självklart en ansvarslöshet som inte bör
förekomma i ett modernt samhälle och en väl fungerande demokrati.
Det är därför glädjande att regeringen i sin
budgetproposition förklarar sin avsikt att tillsätta en utredning med uppdrag
att utreda hur statens verksamheter på bredbandsområdet och innehav av
bredbandsstruktur kan samordnas till stöd för regeringens bredbandsstrategi.
Detta bör rimligen öppna även för att stärka säkerheten vad gäller
samhällskritisk kommunikation.
Behovet av statligt kontrollerbar
kommunikationsinfrastruktur är stort, vilket blev påtagligt för snart två år
sedan. Ett stort datahaveri inträffade den 25 november 2011 hos företaget
Tieto, som levererar tjänster till ett flertal stora företag och myndigheter.
Detta datahaveri fick stora konsekvenser. Bland annat fick Apoteket problem att
lämna ut e-recept och alla besiktningar på Bilprovningen fick utföras manuellt.
Andra drabbade inkluderar SBAB Bank och Stockholms stad. Totalt talas om ett
50-tal drabbade organisationer.
Det anmärkningsvärda var att det var det privata
företaget Tieto som gjorde prioriteringen vilka kunder som först skulle få
hjälp att komma i gång, och så gör också andra leverantörer.
Man vet att det kommer att hända datahaverier, men
man vet inte när. Det gör det svårt att skriva kravspecifikationer som täcker
allt om man ska handla upp kommunikationslösningar av externa utförare.
Ger det verkligen bästa tänkbara krisberedskap att
överlåta ansvaret för prioriteringar i ett krisläge på privata aktörer? Går det
verkligen att säkra viktiga samhällsfunktioner utan en statligt ägd, opererad,
styrd och prioriterad infrastruktur för kommunikation? Vågar regeringen förlita
sig på att privata aktörer tar samhällsansvar och gör de investeringar som
krävs? Hur ser samhället till att privata aktörer tar sitt ansvar i en
krissituation när det kan innebära kostnad i stället för omedelbar vinst? Hur
ska regeringen kunna ta ansvar för en krishantering när den avhänder sig
kontrollen över data- och telekommunikation?
Hur detta problemkomplex ska hanteras är en
fundamental säkerhetspolitisk fråga.
Mot bakgrund av detta vill jag fråga:
Vad avser försvarsministern att göra för att en
heltäckande konsekvens- och riskanalys för data- och telekommunikation som
täcker krisberedskap och säkerhet genomförs, i den utredning om den statliga
kommunikationsinfrastrukturen som regeringen föreslår i sin budgetproposition?