ANNONS:
Till Di.se
TORSDAG 23 NOV Sveriges bästa finanssajt 2017
MENY
START DI TV BÖRS & MARKNAD

Arvid Åhlund: Staten kan inte möta it-hotet på egen hand

  • FEL FOKUS. Företagen nämns flyktigt i regeringens och Anders Ygemans nya it-säkerhetsstrategi. Konkreta förslag på offentlig-privata samarbeten är svårare att hitta. Foto: Oskar Omne

LEDARE. Transportstyrelsens tidigare generaldirektör Maria Ågren bötfälldes häromveckan efter att ha röjt hemlig information för främmande makt. Ågren, som sparkades i januari, kringgick flera lagar i samband med outsourcingen av myndighetens IT-verksamhet till IBM 2015.

Följaktligen fick underleverantörer i Serbien och Tjeckien tillgång till sekretessbelagd information om svensk infrastruktur och persondata, trots att inga säkerhetskontroller gjorts.

Av Säpos förundersökning, som begärts ut av DN, framgår att Transportstyrelsens projektledare saknade kunskap om säkerhetsskydd. En anställd beskriver det i förundersökningen som att myndigheten gav bort ”nycklarna till kungariket”. Uppgifterna har lett till att infrastrukturminister Anna Johansson KU-anmälts.

Ågrens agerande var huvudlöst, men symtomatiskt. Enligt Säpo försummas säkerheten ofta när statlig verksamhet outsourcas. Och problemen är inte begränsade till upphandlingar. I fjol kritiserade Riksrevisionen svenska myndigheters it-säkerhetsarbete i kraftiga ordalag för andra gången på kort tid.

Åtgärder har vidtagits. Sedan i april 2016 är 244 svenska myndigheter skyldiga att rapportera allvarliga it-incidenter till Myndigheten för samhällsskydd och beredskap. Enligt Richard Oehme, MSB:s chef för cybersäkerhet, är dock mörkertalet fortfarande stort. Rapporterna är färre än de borde vara.

Med kommunerna är det ännu sämre ställt. I it-säkerhetsföretaget Advenicas undersökning av organisationer och företag i mars hamnade kommunerna på sista plats. Riskmedvetenheten är låg, sårbarhetsanalyser görs sällan eller aldrig. Personalen saknar relevant kompetens.

I juni presenterade regeringen en nationell strategi som syftar till att stärka it-säkerhetsarbetet och förbättra myndigheternas kunskap om relevanta hot. Därtill träder EU:s nya dataskyddsförordning GDPR, som skärper kraven på informationshantering, i kraft i maj nästa år. Det är bra, men inte tillräckligt.

Digitaliseringen ställer samhället inför enorma utmaningar. Inom tre år spås 50 miljarder enskilda objekt – allt från bilar och elnät till glödlampor och kylskåp – vara uppkopplade. Riskerna för intrång är stora. Redan 2019 väntas de globala kostnaderna för cyberbrott uppgå till 17 500 miljarder kronor, spår World Economic Forum.

Många politiker och företagschefer beskriver it-brott som det enskilt största framtida hotet mot såväl bolag som samhällen.

Svenska myndigheter lär få svårt att hantera dem på egen hand. Regeringen har lovat att skjuta till 10 miljoner kronor till MSB som del av den nya nationella strategin. Det kan jämföras med de 5 miljarder kronor som JP Morgan spenderade på cybersäkerhet bara i fjol.

I sin årsbok konstaterar Säpo att det behövs en bred insats för att öka samhällets förmåga att skapa bättre skyddsåtgärder mot elektroniska angrepp mot viktiga samhällsfunktioner.

Sverige bör blicka mot Australien, där regeringen – som del i ett omfattande strategiskt arbete – etablerat fem stycken särskilda samarbetscenter som ska underlätta samverkan mellan myndigheter, näringsliv och universitet. Det första öppnade i Brisbane i februari.

Den australienska regeringen har redan investerat över 300 miljoner kronor i projektet, som ses som avgörande inslag i den i den övergripande nationella säkerhetsstrategin. Skälet är kort och gott att it-säkerhet ”inte är en fråga som regeringen kan lösa på egen hand”, som landets särskilda minister för cybersäkerhet uttryckte det nyligen.

Svenska regeringen bör ta ett liknande initiativ. För statens, företagens och medborgarnas skull.

Detta är en text från Dagens Industris ledarredaktion. Dagens Industri är oberoende.
Tyck till