den 14 oktober

Interpellation

2013/14:41 Säkerhet och sårbarhet i samhällets it-infrastruktur

av Annika Lillemets (MP)

till försvarsminister Karin Enström (M)

Vårt moderna samhälle är beroende av data- och telekommunikation och blir därmed alltmer sårbart. Utvecklingen av tekniken och internet har inneburit att våra it-system har blivit mer och mer komplexa och sårbara. De flesta oegentligheter som drabbar företag i dag är på olika sätt kopplade till it. Nätbedrägerier och andra it-relaterade brott har ökat drastiskt de senaste åren.

Försvarets radioanstalt (FRA), den myndighet som ska skydda statliga myndigheter och statligt ägda bolag mot i första hand statsunderstödda angripare, ser att det finns säkerhetsluckor på många håll inom samhällsviktig verksamhet med nationellt viktiga värden. Samtidigt har attackerna ökat kraftigt under det senaste decenniet, metoderna blivit mer kvalificerade och målen mer riktade.

Mot bakgrund av detta behöver många frågor besvaras om hur det som är samhällskritiskt ska skyddas. Till att börja med: Vad är samhällskritiskt? Är det samma saker som för 5, 10 eller 20 år sedan eller är det annat som är i behov av ett högt skyddsvärde i dag? Vilka hot står vi inför i dag när vårt samhälle blir mer och mer beroende av den digitala informationen och tekniken?  Vad behövs exempelvis för att myndigheter ska kunna kommunicera på ett säkert sätt även i krislägen?

Myndigheten för samhällsskydd och beredskap (MSB) redovisade 2010 ett regeringsuppdrag med förslag på hur en säker digital informations- och kommunikationsinfrastruktur för myndigheter, kommuner och landsting skulle kunna skapas. Uppdraget genomfördes i samråd med bland andra aktörer inom Samverkansgruppen för informationssäkerhet (Samfi), exempelvis Post- och telestyrelsen, Försvarsmakten, FOI och Delegationen för e-förvaltning. MSB konstaterar i sin redovisning av uppdraget att det för att utveckla och upprätthålla tillgängliga och skyddade kommunikationsinfrastrukturer för offentlig sektor krävs ”en sammanhållen organisatorisk struktur som över tiden förmår tillvarata de goda förutsättningar Sverige har som ett utvecklat IT-land. Det bärande elementet i en sådan struktur är det offentligas förmåga att ställa krav – och att följa upp krav.”

Utredningen SOU 2010:82 tar upp frågan om en samordning av de statligt ägda fibernäten. Utredaren konstaterar att näten inom Trafikverket, Teracom AB och Affärsverket svenska kraftnät ”bör ses som en samhällsgemensam infrastruktur vilken bör förvaltas betydligt mer samordnat än idag” (SOU 2010:82, Trafikverket ICT, s. 26). Om näten samlas under en organisation som ”fokuserar på hög tillgänglighet till infrastrukturen och aktivt verkar för ökad användning kan nyttjandet av kapaciteten bli högre”. I MSB-utredningen ges också stöd för förslaget i SOU 2010:82 att överföra den statligt ägda infrastrukturen till ett affärsdrivande verk.

Riksrevisionen har nyligen släppt rapporten Statens roll på telekommarknaden där man bland annat konstaterar att det statliga innehavet av infrastruktur har en viktig roll på marknaden och att man inte nyttjar de synergieffekter som finns.

Att inte ta ansvar för synergier i de statliga fibernäten vore en politisk dumhet och självklart en ansvarslöshet som inte bör förekomma i ett modernt samhälle och en väl fungerande demokrati.

Det är därför glädjande att regeringen i sin budgetproposition förklarar sin avsikt att tillsätta en utredning med uppdrag att utreda hur statens verksamheter på bredbandsområdet och innehav av bredbandsstruktur kan samordnas till stöd för regeringens bredbandsstrategi. Detta bör rimligen öppna även för att stärka säkerheten vad gäller samhällskritisk kommunikation.

Behovet av statligt kontrollerbar kommunikationsinfrastruktur är stort, vilket blev påtagligt för snart två år sedan. Ett stort datahaveri inträffade den 25 november 2011 hos företaget Tieto, som levererar tjänster till ett flertal stora företag och myndigheter. Detta datahaveri fick stora konsekvenser. Bland annat fick Apoteket problem att lämna ut e-recept och alla besiktningar på Bilprovningen fick utföras manuellt. Andra drabbade inkluderar SBAB Bank och Stockholms stad. Totalt talas om ett 50-tal drabbade organisationer.

Det anmärkningsvärda var att det var det privata företaget Tieto som gjorde prioriteringen vilka kunder som först skulle få hjälp att komma i gång, och så gör också andra leverantörer.

Man vet att det kommer att hända datahaverier, men man vet inte när. Det gör det svårt att skriva kravspecifikationer som täcker allt om man ska handla upp kommunikationslösningar av externa utförare.

Ger det verkligen bästa tänkbara krisberedskap att överlåta ansvaret för prioriteringar i ett krisläge på privata aktörer? Går det verkligen att säkra viktiga samhällsfunktioner utan en statligt ägd, opererad, styrd och prioriterad infrastruktur för kommunikation? Vågar regeringen förlita sig på att privata aktörer tar samhällsansvar och gör de investeringar som krävs? Hur ser samhället till att privata aktörer tar sitt ansvar i en krissituation när det kan innebära kostnad i stället för omedelbar vinst? Hur ska regeringen kunna ta ansvar för en krishantering när den avhänder sig kontrollen över data- och telekommunikation?

Hur detta problemkomplex ska hanteras är en fundamental säkerhetspolitisk fråga.

Mot bakgrund av detta vill jag fråga:

Vad avser försvarsministern att göra för att en heltäckande konsekvens- och riskanalys för data- och telekommunikation som täcker krisberedskap och säkerhet genomförs, i den utredning om den statliga kommunikationsinfrastrukturen som regeringen föreslår i sin budgetproposition?