Riksrevisionen har dragit allvarliga slutsatser om regeringens styrning av samhällets informations- och cybersäkerhet. Regeringens och Regeringskansliets arbetsmetoder har inte varit effektivt utformade och det saknas strategiska avvägningar och prioriteringar som inriktar verksamheten. Allvarligt är att regeringen inte har vidtagit åtgärder när myndigheterna inte nått samsyn i arbetet att ta fram en gemensam nationell modell för informations- och cybersäkerhet inom ramen för samverkansgruppen och informationssäkerhet och det nationella cybersäkerhetscentret (NCSC). Riksrevisionen bedömer att det saknas tillräcklig operativ och taktisk kunskap om hur cybersäkerhetsarbetet bedrivs på myndigheter och inom den privata sektorn samt att mycket av resurserna inom Regeringskansliet gått åt att hantera olika EU-initiativ, utan att Sverige för den sakens skull driver någon sammanhållen linje på EU-nivå.
Vidare visar Riksrevisionens granskning att vissa aktörer inte upplever sig inkluderade i arbetet, exempelvis näringslivet samt att det finns problem med att utreda it-relaterade brott, att ge stöd till olika aktörer vid incidenter och att bristen på kompetens i samhället kopplat till informations- och cybersäkerhet fortsatt är kritisk.
Centerpartiet välkomnar riksrevisionens slutsatser och delar många av dem. Faktum är att flera av dem är kända sedan tidigare. I Centerpartiets rapport En bättre digital säkerhet – stärkt cybersäkerhet för nutid och framtid från 2021 konstaterar vi att ”Cybersäkerhet är en fråga som hanteras på ett stort antal departement där bristande helhetsbild leder till konkurrens om resurser och mandat mellan myndigheter snarare än fokus på hur samhällsproblem ska lösas.” Det är bra att regeringen utsett en minister för civilt försvar med ansvar för förvaltningsärenden som gäller informations- och cybersäkerhet i den mån sådana ärenden inte tillhör något annat departement. Dock tillhör informations- och cybersäkerhetsfrågorna fortsatt ett stort antal departement med många olika myndigheter under sig, vilket är en del i den problematik som riksrevisionen lyfter. Att det finns en minister för civilt försvar med ett så otydligt uppdrag och ansvar i förhållande till övriga departement innebär således inte en förstärkning av styrningen av informations- och cybersäkerhet på det sätt som regeringen gör gällande vad gäller enhetlighet att samla frågorna. Vad det nationella säkerhetsrådet lyckas åstadkomma i den strategiska styrningen inom området återstår ännu att se eftersom rådet i huvudsak har i uppgift att agera arena för informationsutbyte och strategisk samordning, dock inte uttalat för styrning och avdömning.
I granskningsrapporten framkommer också att näringslivet inte alltid känner sig lyssnade på eller inkluderade i arbetet med samhällets informations- och cybersäkerhet. Centerpartiet menar att det är allvarligt, men vi konstaterar att också den bilden överensstämmer med den information vi fick till oss i arbetet med vår cybersäkerhetsrapport. Det är en utmaning för näringslivet att det inte finns en ansvarig aktör, man vet inte vart man ska vända sig, eller så måste man vända sig till många olika aktörer som i värsta fall säger olika saker. I Centerpartiets rapport om stärkt cybersäkerhet framkom från stora näringslivsaktörer och branschorganisationer att de ser ett stort mervärde i att kunna arbeta med cybersäkerhetscentret men att de mötts av tystnad då de tagit kontakt. Det är synd eftersom kopplingen mellan centret och privata näringslivet är essentiell, inte minst för att företag äger samhällsviktig verksamhet och samhällsviktig infrastruktur. Tystnaden från centret och bristen på samarbete kan möjligtvis ha att göra med att flera av de myndigheter som utgör cybersäkerhetscentret är underrättelsemyndigheter och att detta eventuellt präglar deras kultur. Cybersäkerhetsfrågorna i samhället blir dock inte bättre av isolering och brist på samverkan. Kopplingen mellan offentlig och privat sektor är oerhört viktig. Staten och det offentliga kan inte lösa allt självt. Att Sveriges företag ges bättre förutsättningar för att skydda sig mot cyberattacker är en avgörande fråga också för svensk konkurrenskraft. Att det cybersäkerhetscenter som inrättas inte förmår samverka med näringslivets aktörer är därför ett underbetyg med potentiellt också stora ekonomiska konsekvenser. Näringslivet är avgörande för en hög cybersäkerhet och näringslivets säkerhet är en del av samhällets säkerhet. Att i det läget utreda att just FRA, en av Sveriges hemligaste myndigheter, ska tilldelas ett huvudansvar för att leda samordningen, utvecklingen och genomförandet av centrets verksamhet ter sig motsägelsefullt. Regeringen bör här överväga att göra annorlunda om man ser vikten av ett utvecklat samarbete med näringslivets aktörer. Lärdomar kan med fördel dras av hur PTS samverkar med näringslivets aktörer inom sektorn elektroniska kommunikationer, där förtroende mellan staten och näringslivet utgör en viktig utgångspunkt.
När det gäller it-relaterad brottslighet konstaterar Riksrevisionens rapport att det finns problem med att utreda dessa. Polisen har i uppdrag att höja förmågan kring cyberbrottslighet. Det finns mycket att göra, en lågt hängande frukt kan vara att förenkla anmälningar av cyberbrottslighet till e‑anmälningar, något som skulle möjliggöra nationell lägesbild och hantering. För Sveriges medborgare och företag är det it-brottscentrum, och inte cybersäkerhetscentret, som är den viktigaste aktören för att få hjälp mot cyberkriminalitet och cyberbrottslighet. Därför kan cybersäkerhetscentret inte ses som enda spjutspetsen i kampen mot cyberhot. Mer måste göras för att stärka förutsättningarna också inom it-brottscentrum.
Sammantaget kan vi konstatera att regeringen är svaret skyldig för hur de problem som Riksrevisionen lyfter i sin rapport ska lösas. De åtgärder som vidtas är helt enkelt inte tillräckliga, problemen riskerar kvarstå. Det är symptomatiskt att de åtgärder som regeringen lyfter fram i huvudsak rör Försvarsdepartementets ansvarsområde, när frågan egentligen är större än så.
Mikael Larsson (C) |
Niels Paarup-Petersen (C) |