Avslöjande om cybersäkerhetspolitiken på scen
Det är inte ståuppkomik man väntar sig när man går på MSB:s stora cybersäkerhetskonferens i oktober. Med två generaldirektörer på scen är väl också en fysikalisk omöjlighet. För den som följer cybersäkerhetspolitiken och regeringens angivna motiv för den blev det i dock fall ofrivilligt komiskt när generaldirektörerna för FRA och MSB stod på scen. De talade om flytten av cyberfrågorna mellan dem och vad det innebär.
Så här ungefär:
· FRA är duktiga på tekniken, därför ska man flytta Nationellt cybersäkerhetscenter (NCSC) dit.
· FRA är Sveriges hemligaste myndighet vilket innebär att myndighetens arbetssätt skiljer sig från MSB:s mer öppna och samordnande roll i samhället.
· Ingen av myndigheterna är direkt kända för sitt arbete med EU:s inremarknadslagstiftning som nu används alltmer för informations- och cybersäkerhet.
· De båda nämnde förstås inget särskilt om att resultatet också blir att MSB, i sin nya skepnad som Myndigheten för civilt försvar, kommer att vara avlövad allt vad cybersäkerhet heter. Kanske inte optimalt för ”toppnoden” i rustandet av det civila försvaret.
På scen var FRA:s generaldirektör i alla fall tydlig med att man behöver blir mer som MSB när det gäller öppenhet. Att expandera på teknikområdet är nog svårt och olämpligt – FRA ska inte konkurrera med cybersäkerhetsföretagen. (Här var MSB:s generaldirektör föredömligt tydlig och uppmanade till att använda de privata aktörerna. FRA är erkänt skickligt på ett viktigt men smalt område. Samtidigt flyttas nu bredare samhällsfrågor som reglering, rådgivning och tillsyn från en centralt placerad myndighet, som dessutom är van att samarbeta med andra myndigheter, till en som hittills mest arbetat med skyhöga sekretesskrav. Betänkandet som beskriver hur det ska gå till kan också läsas som en lista över problemen med att flytta från MSB till FRA.
Generaldirektörerna blottlade på några minuter, förmodligen ofrivilligt, de grundläggande problemen med regeringens politik på området. I grunden väcker det frågan om det är värt besväret och om det är ett recept för framgång eller pannkaka?
Framtiden får utvisa hur detta kommer att gå. TechSverige har i alla fall föreslagit att upplägget behöver utvärderas efter ett antal år.
Allting illustrerades när två programpunkter om hotbild och aktörer följde på varandra. Det FRA berättade var samma sak som vi har kunnat höra från dem under de kanske senaste tio åren, med noteringen att det bara har blivit värre. Det privata cybersäkerhetsföretaget Truesec var tydligare. Trusec gav detaljer, visade förlopp, tekniker, aktörer och kopplingar till främmande makt. Mer informativt och användbart helt enkelt.
I grunden handlar förmodligen statens viktigaste roll inom cybersäkerhet inte om tekniken, utan om områden där staten har ansvar och inflytande. Det kan vara utbildningsväsendes betydelse för kompetensförsörjning i utbildningssystemet – FRA:s generaldirektör beskrev kompetensbristen som ”skriande”. Staten har den självklara rollen i brottsbekämpningen och lagstiftning. Det är här politiken har gått fel. Inriktningen, ansvarsfördelningen och resurserna återspeglar inte de områden där staten kan göra störst nytta.
Nu ska det sägas att regeringen har höjda och höga ambitioner för informations- och cybersäkerhet. Det är bra och det är nu hög tid att börja arbeta med sakfrågorna. Det finns också ett stort engagemang kring NCSC – både bland offentliga aktörer och privata. Ta vara på det.
Fredrik Sand
Näringspolitisk expert, TechSverige