Regeringens informationssäkerhetspolitik möter verkligheten
Efter halva mandatperioden görs ett större utspel (DI 10/10) från de ansvariga statsråden Carl-Oskar Bohlin (M) och Erik Slottner (KD) om informationssäkerhetspolitiken. TechSveriges näringspolitiske expert Fredrik Sand kommenterar.
Initialt är det viktigt att framhålla att den här regeringen har visat ett rejält och uppriktigt intresse för frågor om informations- och cybersäkerhet – och vidtagit åtgärder. Det är mycket välkommet. Dessa frågor har inte hanterats på det sätt som de kräver av skilda regeringar under mer än tjugo år. Det är nog sant som statsråden hävdar – det är en banbrytande satsning. Så hatten av för initiativen!
Delar av det som artikeln tar upp är också i linje med förslagen i TechSveriges rapport Techbranschens förslag för att möta cyberhoten: mer resurser, tydligare ansvarsfördelning, vikten av samarbete med näringslivet och kopplingen till Natomedlemskapet. Men lyfter man på hatten så ser man också vad som döljs där under. Så nu något närmare om vad regeringen faktiskt gör.
I debattartikeln skriver statsråden mycket om det allvarliga säkerhetsläget och de komplexa hoten – men mindre om hur komplext det är att göra något åt det från regeringens sida. Det säkerhetspolitiska läget och hoten är vid det här laget välkända. Det är också bra att regeringen tar sig an frågor om elektronisk kommunikation och avsätter medel för det. Kablar, mobilmaster och reservkraft är tydliga och viktiga frågor. I det här läget är det också bra att regeringen satsar medel på att, med utgångspunkt i existerande infrastrukturer och kommersiella aktörers förmågor, bygga nästa generations nödradiosystem Rakel generation 2.
Den enklaste och mest uppenbara kritiken är att regeringen fattar strategiska beslut innan den har presenterat den nya och försenade nationella strategin för informations- och cybersäkerhet. Så det går helt enkelt inte att avgöra om dessa åtgärder är lämpliga och ligger i linje med en strategisk plan. Regeringen har också tagit genvägar i andra frågor.
Det omdiskuterade Nationellt cybersäkerhetscenter (NCSC) får nu Försvarets radioanstalt (FRA) som huvudman. Underlaget till det beslutet remitterades till endast elva statliga myndigheter. Inga näringslivsintressen eller en bredare del av den offentliga sektorn fick tycka till. Det är i stark kontrast till hur betänkandet om hur det på området centrala NIS2-direktivet ska genomföras i Sverige. Där fick över 210 remissinstanser vara med. I det betänkandet nämns för övrigt FRA knappt alls. Det går hänger förstås inte ihop.
Fredrik Sand, näringspolitisk expert, TechSverige”Formerna för arbetet måste anpassas till företagens villkor – inte vad som är lätt och kostnadsfritt för staten att göra.”
På regeringens förslag tvingas nu företagen delta i det tidigare frivilliga privat-offentliga samarbetet i Nationella telesamverkansgruppen (NTSG). Det syftar bland annat till att förbättra förmågan att snabbt kunna återställa infrastruktur. Samarbetet i NTSG har fungerat väl. Däremot är det viktigt att understryka att samarbetet i försvars-, beredskaps- och robusthetsfrågor bör baseras på frivillighet och avtal med företagen. Formerna för arbetet måste anpassas till företagens villkor – inte vad som är lätt och kostnadsfritt för staten att göra.
Regeringen vill också kartlägga och stärka kommunernas cybersäkerhet. Det är svårt att vara emot förstås, men här börjar de strategiska frågorna väckas. Är det lämpligaste sättet att organisera detta (och annat som NIS2) med att flytta NCSC till signalspaningsmyndigheten FRA?
FRA är erkänt tekniskt skicklig på området, men en hög informations- och cybersäkerhet kräver organisation, samarbete, informationsutbyte och regler – samt kunskap om de kärnverksamheter som ska skyddas. Här är det långt ifrån säkert att Sveriges kanske hemligaste myndighet är bäst lämpad för uppdraget. Området präglas också av ökad reglering och det främst från EU som kommer kräva mycket interaktion med unionen men framför allt med de privata och offentliga aktörer som träffas av regleringen. Vidare har FRA ett oerhört viktigt huvuduppdrag i dessa orostider – underrättelseinhämtning. Gissningsvis blir det här inte lätt att förena och kommer att kräva en hel del av FRA:s utvecklingsförmåga och en stor kulturförändring. Med detta sagt – FRA:s tekniska kompetens och delar av underrättelserna behöver med all säkerhet att ingå i ett nationellt system för informations- och cybersäkerhet, men att ta ett ansvar för helheten ligger långt ifrån det uppdrag som en av Sveriges hemligast myndighet haft sedan dess bildande 1942.
Artikeln i DI tar också upp delar av Slottners ansvar om statlig it-drift. De ökade satsningarna på området motiveras av att det ökar säkerheten och kostnadseffektiviteten i den statliga it-driften. Det här är inte småpotatis. Marknaden för den offentliga it-driften var 17 miljarder år kronor 2021 och väntas bli 21 miljarder kronor 2025. Det hela kan nog bli effektivare. När 158 myndigheter tillfrågades visade det sig att 100 myndigheter hade egna datacenter – totalt 220.
Slottner framhåller dock att det är myndigheter med stor it-kapacitet (inte riktigt samma sak som it-kompetens) som ska erbjuda it-drifttjänster åt andra. Det skulle stärka cybersäkerheten i hela den offentliga sektorn, menar Slottner. Hur, är lite oklart, då kommuner ju är den största delen av den offentliga sektorn. Det allvarligaste är dock att statsrådet sätter de it-tunga statliga myndigheterna främst. It-cheferna där ska, på en slags konstgjord marknad, erbjuda tjänster till generaldirektörerna på de små och medelstora myndigheterna. TechSverige var bekymrade redan när utredningen presenterade sina förslag och debattartikeln förstärker oron att politiken inte är tillräckligt tydlig med att tjänster kring statlig it-drift i första hand ska levereras av privata aktörer.
Regeringens förslag kommer att innebära att ett antal myndigheter får en mycket stark ställning och stort inflytande inom, inte bara it-drift, utan av centrala delar av digitaliseringen inom den statliga förvaltningen. Genomgående behöver därför rollen för de privata tjänsteleverantörerna stärkas, liksom att förtydligande regler och mekanismer införs för att förverkliga den. Marknadslösningar är oftast att föredra om man vill ha en god balans mellan säkerhet, kostnadseffektivitet, innovation och samhällsnytta. Det gäller även för informations- och cybersäkerhetsarbetet.
Nå, vi lyfte på hatten bara för återigen kunna konstatera att där satt någon onämnbar i detaljerna. Det är mycket välkommet att regeringen engagerar sig i informations- och cybersäkerhet. Det räcker dock inte att lösa revirstrider mellan myndigheter eller att ha en avgränsad syn på säkerhetsarbetet i samhället och vad det verkligen innebär.
Beslutsmässighet är bra, men hög hastighet kompenserar som bekant inte för fel riktning. Artikeln tog till exempel inte upp området där det offentliga förmodligen kan göra mest för att höja säkerheten – en bättre kompetensförsörjning inom informations- och cybersäkerhet. Här behövs ett bredare anslag än det som regeringen tidigare aviserat i form av ett cybersäkerhetscampus vid KTH. Viktigt och välkommet, men inte tillräckligt.
Vi får hoppas att viljan att nå snabba resultat nu också kompletteras med att regeringen engagerar sig i de svåra avvägningar och frågor som kommer att göra sig påminda när regeringens informationssäkerhetspolitik nu möter verkligheten. Informations- och cybersäkerhet är en viktig samhällsfråga och mycket återstår. TechSveriges medlemmar har mycket att bidra med i den utvecklingen. Nu gäller det att fylla organisationsskisserna med riktigt innehåll. Där kommer samarbetet med den privata sektorn bli avgörande.