Nytt remissvar
Jag har helt oombedd skickat in ett nytt remissvar idag!
Remissvar på SOU 2025:79 Samlade förmågor för ökad cybersäkerhet (Dnr Fö2025/01133)
Bakgrund
Sedan 1990-talet har en successiv men uthållig process pågått för att stärka informationssäkerheten i enskilda organisationer vilket i förlängningen leder till ett stärkt nationellt skydd.
Ursprunget till informationssäkerhetsarbetet finns i huvudsak inom det militära området där det främst haft inriktning på skydd mot obehörig åtkomst och tekniska lösningar för att uppnå detta. När medvetenheten om hur det civila samhället blev alltmer beroende av sin informationshantering under 1980-talet fanns inte mycket stöd framtaget för de organisationer som ville utveckla sin informationssäkerhet. Den brittiska standarden BS 77 99 utformad för det brittiska försvaret men kunde ändå fungera som en struktur för det civila informationssäkerhetsarbetet och gav upphov till ISO 27000-familjen som idag är rättesnöret bland annat för svenska myndigheter. Statskontoret gav i mitten av 1990-talet ut en vägledning som i och för sig mest handlade om it-säkerhet men som ändå pekade på behovet av en sammanhållen förvaltning i fråga om informationssäkerhet.
Parallellt pågick en stark utveckling av ISO 27000 både internationellt och nationellt. Det gjorde att det blev en etablerad standard som allt fler började använda som stöd för sitt säkerhetsarbete även om få valde att faktiskt certifiera sig.
Att den allt snabbare digitaliseringen behövde backas upp med olika typer av säkerhetsåtgärder blev också uppenbart. På myndighetssidan sändes flera testballonger upp för att ge staten möjlighet att styra digitalisering. Exempel på detta är e-nämnden, 24-timmarsmyndigheten och Verva. Inom Verva togs också praktiska informationssäkerhetsstöd fram för myndigheter. Myndigheten hade föreskriftsrätt och beslutade strax före sin nedläggning föreskrifter som innebar att myndigheter ålades att i sin verksamhet främja utvecklingen av ett säkert och effektivt elektroniskt informationsutbyte inom den offentliga förvaltningen (VERVAFS 2007:2). KBM tog i samråd med Statskontoret 2006 fram en särskild så kallad rekommendation – Basnivå för informationssäkerhet (BITS) – om hur informationssäkerhetsarbetet bör bedrivas.
Parallellt pågick en stor utredning som ursprungligen hade som syfte att se över det svenska signalskyddet (dir. 2002:103) men som även skulle konkretisera förslagen i den nationella strategi för informationssäkerhet som beslutats. Direktivet trycker särskilt på att man lämnat begreppet it-säkerhet till förmån för informationssäkerhet. Direktivet resulterade i SOU 2005:42 Säker information. Förslag till informationssäkerhetspolitik. Utredningen säger sig i mångt och mycket bygga på ISO 27000-standarden och lägger grunden för det uppdrag som Myndigheten för samhällsskydd och beredskap (MSB) fick inom informationssäkerhetsområdet då man grundades 2009. Denna period finns väl beskriven i Riksrevisionens granskning RiR 2007:10 Regeringens styrning av informationssäkerhetsarbetet i den statliga förvaltningen. Sammantaget såg man stora behov av att öka regeringens styrning av informationssäkerheten inte bara i förvaltningen utan även för samhället i stort. Den första föreskriften som MSB utfärdade gällande informationssäkerhet innehöll också krav på statliga myndigheter att följa standarden.
Informationssäkerhetsarbetet knöts nära till myndighetens övriga uppdrag inom samhällsskydd och beredskap. Det innebar att man kunde använda samma kontaktnät som man hade i myndigheter, regioner, kommuner och företag för att föra ut information och stöd. Informationssäkerhetsincidenter kunde t.ex. ses som en bland flera typer av incidenter som påverkar samhällsviktig verksamhet vilket innebär att samma metoder för bland annat kontinuitetshantering kan användas oavsett störningens upphov. Informationssäkerhet integrerades även som en viktig del i de risk- och sårbarhetsanalyser som samhällets olika aktörer föreskrevs att ta fram och förmedla till MSB. Ett sammanhållet krisperspektiv är särskilt viktigt med tanke på att större störningar ofta omfattar flera komponenter; en större it-incident kan leda till problem med el- och vattenförsörjning för att ta ett exempel eller ha en sammansatt orsak. MSB ledde även arbetet i den så kallade SAMFI-gruppen där myndigheter med säkerhetsansvar ingick.
Ett antal faktorer ledde under 2010-talet till en återgång till den tidigare inriktningen på försvar och teknisk säkerhet på bekostnad av den modell för säkerhetsarbete som etablerats med fokus på verksamhetens behov och organisatorisk styrning samt krisberedskap i normalläget. Införandet av begreppet cybersäkerhet som skapade oklarhet om det endast rörde sig om teknisk internetsäkerhet eller omfattade mer, det förändrade omvärldsläget som ställde krav på att upprusta även det civila försvaret samt skapande av Nationellt cybersäkerhetscenter (NCSC) med otydligt uppdrag är några avgörande steg.
En process för att stärka totalförsvaret inklusive cybersäkerhet sattes i gång 2017 i Försvarsberedningens rapport Ds 2017:66 Motståndskraft. Inriktningen av totalförsvaret och utformningen av det civila försvaret 2021–2025. En längre text där gränsen mellan samhällets krisberedskap och totalförsvarets behov är vag för att inte säga otydlig avslutas med förslaget:
Försvarsberedningen anser att regeringen bör se över hur tillsyn och övervakning gällande informations- och cybersäkerhet i samtliga civila sektorer ska samordnas.
Denna otydlighet gällande vad som är totalförsvarets respektive samhällets krisberedskaps intresse har sedan dess följt med som en belastning i den fortsatta hanteringen av frågorna. Det har varit en stor nackdel vilket även visar sig i den aktuella utredningens förslag där ingen hänsyn tas till avgörande skillnader som finns i bland annat legalt, ansvarsmässigt och metodmässigt hänseende. Försvarsberedningens Ds 2023:34 Kraftsamling. Inriktning av totalförsvaret och utformningen av det civila försvaret går vidare i samma spår. Där använder man begreppet totalförsvarsviktig verksamhet för det som i hög grad verkar sammanfalla med samhällsviktig verksamhet och föreslår dels att NCSC ska överföras till FRA för att bättre gagna totalförsvarets intressen, dels att en ny myndighet med typ MSB:s informationssäkerhetsuppdrag kanske borde skapas. Förslaget visar på oklarheterna kring den organisatoriska konstruktionen NCSC och dess uppfattade uppgifter. För den som begrundar frågan är det svårt att se både varför samarbetet mellan ansvariga skulle ske bättre i en oortodox hybridmyndighet och varför denna hybrid är lämplig att placera hos just FRA. Risken för att konstruktionen leder till ännu större otydlighet i roller och ansvar mellan myndigheter är uppenbar. Slutligen är centrets uppdrag vad gällande det förebyggande systematiska informationssäkerhetsarbetet osynligt i Förordning (2025:237) om det nationella cybersäkerhetscentret vid Försvarets radioanstalt. Osökt infinner sig frågan var detta tidigare så viktiga arbete tagit vägen liksom om det är lämpligt att ge FRA föreskriftsrätt över civil verksamhet i fredstid.
Processen har nu efter några mellanled landat i den aktuella utredningen som fått direktivet att beskriva hur MSB:s informationssäkerhetsverksamhet till FRA, inte varför eller med vilka konsekvenser. Genom en kraftig glidning har uppdraget till utredningen hamnat från som man själv skriver:
I Försvarsberedningens rapport Kraftsamling – Inriktningen av total försvaret och utformningen av det civila försvaret (Ds 2023:34) ifrågasätts om dagens myndighetsstruktur är ändamålsenlig för att uppnå en samlad och samordnad styrning av samhällets informations- och cybersäkerhetsarbete.
till ett uppdrag att enbart utreda vad som kan flyttas från MSB till FRA. Det handlar inte längre om att utreda myndighetsstrukturen utan bara om att effektuera ett beslut som tagits i okänd instans.
Vi står i en situation där mycket stora förändringar gällande hur informations- och cybersäkerhet ska styras nationellt genomförs utan att vare sig risk- eller konsekvensanalyser genomförts. Inte heller har förändringen presenterats på ett transparent och begripligt sätt utan verkar bara ha råkat hamna där den gör utan närmare reflektion. Resultatet har blivit att man låtit totalförsvarets intressen helt forma även krisberedskapen i fredstid. Detta är allvarligt av ett antal orsaker.
Ett första felsteg är att utse FRA till ansvarig myndighet för frågorna. Även om FRA formellt inte ingår i Försvarsmakten har myndighetens uppgifter, huvudsakligen att signalspana på utländska aktörer, legat långt ifrån det civila samhällets verksamheter och dess behov. Det är litet som att flytta Trafikverket till Försvarets materielverk för att totalförsvaret behöver transporter. FRA är både till uppgift och kultur en motsats till MSB som har haft en utåtriktad och mobiliserande roll som dessutom omfattar alla samhällsviktiga verksamheter. Genom denna roll har MSB byggt vidare på framför allt Räddningsverkets vida kontaktnät och genom detta skapat en mängd kanaler och kontaktytor. Man har på så sätt skapat en unik kompetens för masskommunikation med krisens målgrupper liksom för kriskommunikation generellt. Detta kräver en stor öppenhet och utrymme för dialog. Allt detta kasseras vid överflyttningen av verksamheten till FRA som per definition haft en mycket sluten verksamhet och kultur. En överhängande risk är också att det vid en större kris på samhällsnivå med element av cybersäkerhet kommer att uppstå delvis konkurrerande krisledningsfunktioner, en på respektive myndighet. I andra hand kommer risken för att FRA kommer att vara delvis frånkopplat från den operativa krisledningen som MSB även framgent har ansvar för. Det kommer allvarligt att inverka på samhällets krishanteringsförmåga.
FRA har en hög kompetens inom teknisk säkerhet men knappast inom systematisk informationssäkerhet. Det gör att det kommer att bli mycket svårt att upprätthålla ett gott stöd till samhällsviktig verksamhet i hur de ska kunna utforma och förvalta ett ledningssystem för informationssäkerhet som handlar om organisatorisk styrning. Detta gäller även om medarbetare flyttas med från MSB eftersom de kommer att sakna den organisatoriska kontext som gett möjlighet för utåtriktat arbete samt samverkan kring essentiella metoder som för riskanalys och för kontinuitetshantering. Det leder också till att samhällsviktiga verksamheter kommer att få svårare att genomföra grundläggande aktiviteter som informationsklassning för att kunna göra rätt prioriteringar.
Genom de nuvarande skrivningarna i föreliggande utredning kommer fokus i informations- och cybersäkerhetsarbetet helt att ligga på teknisk säkerhet och antagonistiska hot. Detta trots att en stor andel av allvarliga informations- och cybersäkerhetsincidenter härrör från organisatoriska orsaker eller en mix av organisatoriska och tekniska orsaker samt inte är antagonistiskt relaterade.
I en tid då kriser i fredstid både på lokal och på samhällsnivå är sammansatta av faktorer och konsekvenser inom olika områden som el- och vattenförsörjning, transporter och i digitala miljöer måste krishanteringen kunna hållas ihop. Att använda olika metoder för riskanalys och kontinuitetshantering försvårar både i det akuta läget och i återställelsearbetet efter en större incident eller kris.
Den aktuella utredningens förslag skapar helt nya risker för det civila samhället, risker som inte analyserats eller över huvud taget uppmärksammats. Genom att betona totalförsvarets behov kommer det även att bli svårt för enskilda organisationer att se nyttan av att bedriva ett systematiskt informationssäkerhetsarbete i förhållande till ekonomi och effektivitet. Vågspelet att omorganisera under pressade förhållande med den nedgång i effektivitet som detta alltid innebär ska heller inte underskattas, särskilt som detta sker utan nödvändiga risk- och konsekvensanalyser.
Förslag
I stället för att gå vidare med liggande förslag med dess avsaknad av helhet och konsekvensanalys bör en ny utredning tillsättas med uppdraget att utreda en sammanhållen nationell styrning av informations- och cybersäkerhet i fredstid. Fredstida säkerhet måste kunna planeras i sin egen rätt och inte bara som understöd till totalförsvaret även om ett starkt försvar bygger på en robust situation i fredstid.
Utredningen bör vara evidensbaserad och dra nytta av de erfarenheter som gjorts under de senaste decennierna. Särskild hänsyn bör tas till behovet av stöd för i den snabba utvecklingen inom AI och den nationella digitala infrastrukturen.
Låt oss inte gå tillbaka utan framåt!