Sveriges förmåga att hantera IT-incidenter under luppen – igen

Det är otvivelaktigt så att situationer kan inträffa som orsakar stora problem inom praktiskt taget hela samhället. Hot- och riskutredningen beskrev på sin tid (SOU 1995:19) vad som kan hända vid till exempel stora flyktingsströmmar, brist på vatten, el eller elektronikkomponenter och avbrott i telekommunikationer, där allmänhetens krav på åtgärder från samhällets sida blir mycket stora.

Sårbarheten i informationssamhället i allmänhet med allt vad det kan innebära i synnerhet, kan resultera i situationer som definieras som svåra påfrestningar på samhället. När strategiska funktioner i samhället med ett starkt IT-beroende slutar att fungera uppstår ett behov av att koordinera det som bland annat myndigheter och företag gör, främst för att minimera risken att oförenliga beslut fattas. Brist på avvägningar mellan olika behov kan också leda till att de resurser som står till förfogande inte utnyttjas på ett sätt som gagnar helheten.

Därför är det givetvis positivt att regeringen utreder samhällets samlade förmåga att förebygga och hantera IT-incidenter. MSB (Myndigheten för samhällsskydd och beredskap) har fått i uppdrag av regeringen att utreda frågan och avrapporterade sitt uppdrag i fredags och förslagen innebär i korthet att MSB ser behov av:

• En sammanhållen struktur för att stärka Sveriges förmåga att förebygga och hantera IT-incidenter
• En nationell plan för hantering av allvarliga IT-incidenter
• Ett samverkanscentrum vid MSB kopplat till myndighetens förebyggande informationssäkerhetsarbete och samhällets övriga krishantering.

Samtidigt har regeringen givit en annan utredare i uppdrag att utreda formerna och konsekvenserna av att flytta ansvaret för dels Sveriges IT-incidentcentrum (Sitic) från Post- och telestyrelsen, dels Sveriges certifieringsorgan för IT-säkerhet (CSEC) från Försvarets materielverk. Verksamheterna ska inordnas i antingen Myndigheten för samhällsskydd och beredskap (MSB) eller Försvarets radioanstalt (FRA).

Utredaren ska undersöka vilken av dessa två myndigheter som bedöms bäst lämpad att vara ansvarig utifrån de behov och målsättningar som regeringen angett när det gäller bland annat att samla informationssäkerhetsfrågorna. Utredaren har fått tilläggsdirektiv och förlängd tid, förutom i just denna fråga som ska avrapporteras senast den 1 februari 2010.

Betyder det att regeringen har varit smart och låtit två olika aktörer utreda i princip samma sak, och se till att få rapporterna ungefär samtidigt? Har regeringen bett andra aktörer om motsvarande utredningar, till exempel FRA, PTS eller Försvarsmakten? Eller är det ett exempel på att slänga jästen efter degen? Utredaren som enbart tittar på placeringen, vilka hänsyn kan denne ta till helheten, det vill säga vad det är man försöker åstadkomma i form av hantering av allvarliga IT-incidenter? Det ser lite ut som att utredaren givet sina direktiv har att välja mellan pest eller kolera. SITIC har redan idag problem med att för få rapporterar till dem.

Flyttas funktionen nu – vare sig det sker med eller utan personal – är det nog spiken i kistan för flera år framåt. Och ska man flytta så finns det nog bättre ställen än FRA eller MSB. Det är oklart vad SITIC ska göra, och de har genom åren själva brottats med att finna sin roll. Omfattning och inriktning på arbetet är viktigt. Att lägga funktionen för IT-incidenthantering i Sverige under Försvarsdepartementet är att gå den konservativa linjen som kanske hade varit rätt för 10-15 år sedan då detta utreddes första gången. Samhällsutvecklingen och hoten blir mer och mer icke-militära, det borde återspeglas i placering och roll för funktionen.

Jag inledde en krönika 2004 med orden ”Att utreda säkerhet i offentlig förvaltning har skapat sysselsättning i 20 år”. Det verkar hålla i sig. Läs själva och bilda er en uppfattning om i första hand MSB:s förslag. Jag föreställer mig att det är några som känner sig trampade på tårna, inte minst inom privat sektor. Sedan får vi ge oss till tåls ett par veckor för att få den särskilda utredarens förslag om SITIC:s placering.

Själv kan jag bara upprepa samma frågor som jag ställde 2004:

När ska det som säkerhetsstrategerna har talat för i så många år till slut uppmärksammas? Att det är nödvändigt att det i den offentliga förvaltningens uppgifter kring informationssäkerhet också ingår organisatoriska frågor om samordning på ett övergripande plan – inga särlösningar för offentlig förvaltning. Att det för att få ett så starkt skydd som möjligt krävs att någon ser helheten, det vill säga har samhällsperspektivet. Att informationsflödet är centralt och suddar ut gränserna mellan privat och offentlig sektor och att det tillsammans med redovisade fakta om ökat antal angrepp stärker behovet av samordning.

Anne-Marie Eklund Löwinder är kvalitets- och säkerhetschef på .SE. Anne-Marie har rankats som en av Sveriges främsta IT-säkerhetsexperter av CS och har även mottagit Kjell Hultman-stipendiet av Dataföreningen för sina insatser inom området. Hon sitter som ledamot i styrelserna för ISOC-SE och för föreningen SNUS, Swedish Network Users' Society. Ann-Marie satt också med i de första arbets- och referensgrupperna för informations- säkerhetsstandarden LIS inom standardisteringsorganen SIS och myndigheten Swedac. Hon läser och besvarar flitigt remisser på statens offentliga utredningar inom allt som berör Internet och säkerhet. Bland tidigare arbetsgivare finns Statskontoret och IT-kommissionen. Ann-Marie har en systemvetenskaplig utbildning från Stockholms universitet.