Den senaste tiden har den svenska cybersäkerheten åkt upp en bit på agendan igen, som den alltid gör i kölvattnet av uppmärksammade incidenter. Och incidenter har det varit gott om, från en rad ransomware-attacker till veckans ddos-attacker mot svenska myndigheter.
Som ett brev på posten kom precis en ny rapport från MSB som konstaterar att säkerhetsarbetet i offentliga sektorn är uselt. ”69 procent av organisationerna saknar de mest grundläggande delarna i ett systematiskt informations- och cybersäkerhetsarbete” skriver MSB och det hade varit chockerande siffror om det inte varit för det faktum att ingen är förvånad över att det ser ut så här.
Civilförsvarsminister Carl-Oskar Bohlin, M, var snabbt ute på X och kallade resultatet ”mycket otillfredsställande” vilket det givetvis är och fortsatte med att påpeka att ”regeringen skärpte kraven i ett hundratal regleringsbrev inför 2024”. Vilket är rimligt men också sätter fingret lite på varför det blivit så här.
Så varför har det blivit så här? Det behöver jag tack o lov inte reda ut själv utan det räcker med att läsa en FOI-rapport som släpptes i februari som förtjänstfullt kombinerar en litteraturgenomgång med djupintervjuer för att svara på just den frågan.
Och svaret landar på regeringen, både nuvarande och tidigare. Och möjligtvis på Axel Oxenstierna.
Ett grundproblem är den otydliga ansvarsfördelningen och bristande styrningen. Eftersom vi i vår förvaltningsmodell har oberoende myndigheter landar huvudansvaret på regeringen, som delegerar ut ansvaret till myndigheterna genom nämnda regleringsbrev. Och vad gör myndigheternas ledningar? De delegerar vidare ut i (it-)organisationerna, där det saknas såväl resurser som befogenheter.
Det hela kompliceras ytterligare av att de på området centrala myndigheterna dessutom ligger under tre olika departement, och både myndigheterna och departementen jobbar mot olika övergripande mål.
Istället finns det olika typer av forum för samverkan, ett av kanslisvenskans populäraste ord, både på departementen och mellan myndigheterna. Samverkan är en stolt tradition i Myndighetssverige och det är ju fint men allt bygger på frivilliga överenskommelser och ingen har egentligen ansvar där heller.
Är det effektivt? Tveksamt. FOI-rapporten tar upp det som Riksrevisionen nyligen konstaterade om det senaste i en rad samverkansprojekt, Nationellt Cybersäkerhetscenter, vars arbete hittills beskrivs som ”lågintensivt” och passivt.
FOI-forskarna påpekar för övrigt även det inbyggda problemet i att tre av myndigheterna i det samarbetet, Säpo, Must och FRA, håller på med underrättelseverksamhet och därmed inte har som främsta intresse att dela med sig av information till andra. FRA ska ju dessutom bli huvudman för NSCS, har regeringen aviserat.
Ljuset i tunneln som FOI-forskarna ser kommer från Bryssel i form av NIS2-direktivet som det kommande året ska implementeras i svensk lag. Ett första betänkande om just detta kom i veckan och som väntat kommer kraven att skärpas rejält. Fler sektorer ska omfattas, en ny cybersäkerhetslag ska införas och sanktionsavgifterna ska bli högre.
När det gäller ansvarsfrågan får vi dock ännu mer av samma sak: tillsynsansvaret föreslås ligga kvar på de sex befintliga myndigheter som har tillsyn över olika sektorer men till det ska läggas fem nya tillsynsmyndigheter. Totalt 11 alltså.
Utöver detta får MSB, som inte är en tillsynsmyndighet, uppdrag som ”kontaktpunkt” för sådant som incidentrapportering. MSB ska även leda ett – tada! – samarbetsforum för att ”underlätta samordning” mellan tillsynsmyndigheterna.
Vi som ropat efter en ”cyber-tsar” eller cybersäkerhetsmyndighet likt amerikanska CISA får fortsätta ropa. Det är inget den nuvarande regeringen, i likhet med sina föregångare, vill ha.
Det skulle förstås finnas betydliga utmaningar även med en cybersäkerhetsmyndighet. I USA kan CISA exempelvis beordra andra myndigheter att vidta olika åtgärder, något som inte rimmar med vår förvaltningsmodell med oberoende myndigheter.
FOI-forskarna lyfter emellertid en intressant tanke i slutet av sin mycket läsvärda rapport: kanske kan man titta på hur smittskyddsområdet fungerar? Det är också decentraliserat, men under pandemin var det väl ingen större tvekan om vare sig för allmänheten eller statsapparaten vilken expertmyndigheten var och vems ord det var man skulle lyssna på.
Här finns en liten öppning. NIS2-utredningen föreslår nämligen i en passus att MSB ska fungera som cyber-kris-hanterings-myndighet, med ansvar för hanteringen av ”storskaliga cybersäkerhetsincidenter och kriser”. Hur den ska arbeta lämnas dock osagt, det får bli något för den nya nationella cyberstrategin som enligt planen ska presenteras i höst.
Så ett medskick till det arbetet:
Om vi inte kan få ett svenskt CISA kanske vi åtminstone skulle kunna få en Cyber-Tegnell?
—
Den här krönikan är hämtad ur CS Veckobrev, ett personligt nyhetsbrev med lästips, länktips och analyser skickat direkt från chefredaktör Marcus Jerrängs skrivbord. Vill du också ha nyhetsbrevet på fredagar? Skriv upp dig för en kostnadsfri prenumeration här.