Nyhet

IT-incidenter ska rapporteras från årsskiftet

Krav på incidentrapportering från årsskiftet. Offentliga organisationer ska redovisa sitt informationssäkerhetsarbete. Sverige ska driva på för ökad säkerhet inom EU.

Det var några besked från inrikesminister Anders Ygeman.

– Gränsen mellan online och offline är utsuddad, digitaliseringen är integrerad i våra liv. Utvecklingen har förändrat världen och det innebär nya utmaningar, sade Anders Ygeman.

IT-säkerhet står högt upp på ministerns dagordning. Och förra hösten landade på Riksrevisionens rapport om informationssäkerhet hans skrivbord. Kritiken var hård. Svenska myndigheter har ganska dålig koll på riskerna, det var allvarliga brister i den mest skyddsvärda verksamheten, regeringens styrning och uppföljning dålig.

– På punkt efter punkt kritiserades, med rätta, statens hantering av frågorna. Det kan kanske inte bli mer smärtsamt än så, om det inte vore för att exakt samma kritik riktades sju år tidigare, sade Ygeman.

För bot och bättring utlovades åtgärder. Ett är krav på att alla statliga myndigheter redovisar incidenter.

– Det går inte att prata om när it-angreppet kan komma. Avancerade angrepp mot svenska myndigheter sker just nu. Problemet är att vi inte har en tillräckligt samlad bild av när, var och hur. Därför måste vi införa obligatorisk it-incidentrapportering.

När kommer det att ske?

– Det förbereds i regeringskansliet och blir permanent från årsskiftet för statliga myndigheter. Mobilaktörer kommer med senare.

Från i år kräver regeringen att samtliga myndigheter som omfattas av krisberedskapsförordningen ska redovisa sitt säkerhetsarbete

– Kostnaden för it-relaterad brottslighet uppgår till två procent av BNP, eller 8 000 kronor per person i Sverige. Det är risker som under lång tid inte redovisats. Informationssäkerheten måste präglas av betydligt större öppenhet, fördelning av ansvar och styrning. Men redovisningen för myndigheter räcker inte, informationssäkerhet är lagsport. Därför har MSB fått i uppdrag att göra en undersökning om hur kommunerna jobbar med informationssäkerhet.

Digitalisering känner inga landgränser. Upprustning måste ske även nationellt och Sverige ska verka för en gemensamt hög säkerhetsnivå inom EU, poängterade Ygeman.

Det handlar om EUs så kallade NIS-direktiv som förväntar en miniminivå av alla medlemsstater.

– Vi ska inte vara upptagna av att leta fel utan försöka få det på plats, det är viktigt. Slutförhandlingar pågår nu.

Varför går informationssäkerhetsarbetet långsamt?

– En förklaring är att it går så mycket snabbare, gapet mellan säkerhet och utveckling ökar. Och användarna föredrar utveckling. Användarna måste förstå vikten av kryptering. Men då måste det vara enkelt, inte tre inloggningsvägar.

Polisens tillgång till information kontra personlig integritet har diskuterats senaste tiden. Miljöpartiet har varit kritiskt mot datalagring och uttalat att man vill riva upp lagen.

Regeringens uppfattning är att det är en lag som ska vara kvar, framhåller Anders Ygeman.

– Jag har den största respekt för integritet. Men jag har svårt att se att krav på att införa lagen att mobilföretag ska lagra information i sex månader och sedan måste radera den kan hota integriteten. Den diskussion som varit kopplat till lagen är våldsamt överdriven.

Bakgrunden är att EU-domstolen förra året, med hänsyn till personlig integritet, stoppade ett direktiv som tvingade EU-länder att spara trafikdata.

Sten Heckscher, som lämnat förslag om ny säkerhetsskyddslag i Sverige, ansåg att den svenska lagen inte stod i strid med EU-rätten.

– Han anser att det är väl förenligt med EU-rätten. Lagen fastslår vilken nivå inom polisen som krävs för att begära ut information, det är i grunden bra. Och vill man veta vem som ringt vem krävs domstolsbeslut. Vi begär bara att få ut uppgifter om det finns konkret brottstanke. Diskussionen är överdriven, tror det var totalt 2 000 fall förra året, är det ingrepp? Och mordet i Trollhättan hade inte lösts utan de här uppgifterna. Om det handlar om vem som har vilket mobilnummer eller ip-nummer, då är det inte integritetskränkande. Det kan vem som helst få fram.