Regeringen fördelar ansvar för cybersäkerhet – men håller analysen?
När regeringen tar tag i cybersäkerhetsfrågan blir det nog inte så lätt som man hade tänkt sig. Det finns ett stort behov av att tydliggöra ansvarsfördelningen på området och regeringen tar några lovvärda initiativ. Det går dock inte att komma ifrån bilden av att politiken utvecklas styckevis och delt inom ett avgörande och allvarligt område – även om den här regeringen inte ensam är skyldig till det.
När regeringen tar tag i cybersäkerhetsfrågan blir det nog inte så lätt som man hade tänkt sig. Det finns ett stort behov av att tydliggöra ansvarsfördelningen på området och regeringen tar några lovvärda initiativ. Det går dock inte att komma ifrån bilden av att politiken utvecklas styckevis och delt inom ett avgörande och allvarligt område – även om den här regeringen inte ensam är skyldig till det.
I en debattartikel i DN (26/4 2023) meddelar flera statsråd med statsministern i spetsen att Försvarets radioanstalt (FRA) får ansvaret för Nationellt cybersäkerhetscentrum (NCSC) som tidigare har varit delat mellan flera myndigheter. De sex statsråden aviserar också förstärkt samarbete med näringslivet, ökade ambitioner i det internationella arbetet med informations- och cybersäkerhet samt en ny nationell strategi. Viktiga och bra besked.
Det är oomstritt att FRA besitter stor teknisk kompetens och andra viktiga förmågor för att hantera cyberhot. Frågan är om en underrättelsemyndighet med lätthet kan utveckla förmågan att leda och bistå i arbetet med informations- och cybersäkerhet på bredden och djupet i samhället. Det är ett komplext samspel mellan bland annat teknik, organisation och verksamhet. Till detta ska läggas regler och krav från till exempel tillsynsmyndigheter inom vitt skilda områden där statens ansvar och inflytande skiftar. Vidare är det något förvånande att regeringen gör detta utan att först göra den utvärdering av NCSC som tidigare har utlovats. Det är tydligt att statsråden kastar cyberjästen i ugnen och dessutom erkänner det när de skriver att formerna för myndigheternas samverkan ”kommer att analyseras skyndsamt.” Även en luttrad observatör av informationssäkerhetspolitiken skulle höja på ögonbrynen, om det inte vore för att Riksrevisionen publicerade en rapport med allvarlig kritik samma dag.
”Att stärka Regeringskansliets arbete med frågorna är angeläget.”
Det är naturligtvis välkommet att regeringen ser behov av att förstärka samarbetet med näringslivet med bland annat lägesbilder. Energisektorn, transportsektorn och telekomsektorn ska vara i fokus för informationsutbyte och stöd. Det är självklart viktiga sektorer, men det är oklart vad prioriteringen grundar sig på. Flera av de uppmärksammade gisslanprogramattackerna har drabbat kommunala verksamheter liksom regioners ansvarsområden.
Att stärka Regeringskansliets arbete med frågorna är angeläget. Det nationella säkerhetsrådet ska få en samordnande roll. Det finns säkerligen mycket som rådet kan samordna och det på ett bra sätt, särskilt om man har en snäv syn på området och vad som ska göras. Den svårare utmaningen är att höja säkerheten brett i samhället och formulera statens roll i att stödja det. Det finns behov av att fler departement engagerar sig inom sina områden. Här visade en av undertecknarna tidigare prov på engagemang. Utbildningsminister Mats Persson (L) har tagit sig an frågorna om informationssäkerhet på universitet och högskolor. De andra statsråden i regeringen får väl ombes att skyndsamt analysera sina ansvarsområden.
Under 2023 kommer regeringen enligt artikeln även att påbörja arbetet med en nationell informations- och cybersäkerhetsstrategi. Det är förstås svårt att vara emot, även om man kunde tänka sig att det strategiska funderingarna skulle föregå de initiativ som nu tas och omläggningar som görs. Nåväl, den förra strategin lämnade mycket att önska när det kom till förhållandet till näringslivet. Debattartikeln ger hopp om att det kan bli bättre denna gång.
Det är också välkommet med regeringens engagemang i de internationella frågorna, där man vill vara ”drivande i internationella cyberfrågor”. Bara inom EU-samarbetet har det kommit en rad förslag under senare år som kräver uppmärksamhet – både i Bryssel och i genomförandet i Sverige. Natomedlemskapet kommer att kräva mer.
Debattartikeln vill visa på handlingskraft. Då är det förstås på sin plats att än en gång påminna statsråden om att en av de viktigaste sakerna regeringen kan göra är att minska kompetensbristen inom informations- och cybersäkerhet. Det behöver inte ”skyndsamt analyseras” att det också måste finnas rätt kompetens för att höja säkerheten.
Fredrik Sand
Näringspolitisk expert, TechSverige