Politikernas vision om cyber­säkerhet förblir en illusion 

Finansinspektionens (FI) rapport om åtgärder för att stärka den digitala motståndskraften i den finansiella sektorn har både brister och förtjänster. Mellan raderna anar man till och med en viss självkritik. Det är också slående att arbetet inom FI:s område faktiskt inte har kommit längre när det gäller cybersäkerhet. Här har regeringen ett stort ansvar, men FI kan inte bara skylla ifrån sig. 

Ett exempel på att utvecklingen inte har hängt med är att FI har en kvardröjande skeptisk inställning till utkontraktering (outsourcing). Finansinspektionen vill här ge sig själv vetorätt över enskilda avtal. Ett av motiven är att FI:s egen tillsyn skulle bli mer komplicerad. Här har tiden sprungit ifrån myndigheten. Att lägga ut delar av driften eller annan verksamhet är i dag välbeprövat och vanligt. Det är regelverken och tillsynen som måste anpassa sig till verkligheten. Ofta kan just utkontraktering höja säkerheten. En vetorätt skulle öka osäkerheten för de privata aktörerna och kan bli kontraproduktiv. Vidare kan vi gå miste om både innovation och konkurrenskraft.  

Myndighetens beskrivning av det svenska e-legitimationssystemet och tillsynen av detsamma lämnar också en del övrigt att önska. Läsaren kan närmast få uppfattningen att FI inte är medveten om att det finns ett valfrihetssystem där Myndigheten för digital förvaltning (Digg) har ansvar för att granska och godkänna e-legitimationer och att det finns alternativ som växer på marknaden. Att Post- och telestyrelsen (PTS) har ett tillsynsansvar för så kallade betrodda tjänster, och därmed också för bland annat bank-id, nämns inte heller i rapporten. Nåväl, informationssäkerhet i samhället är som FI själv visar en komplex fråga. 

Föga förvånande inser även FI att kompetensbristen inom informations- och cybersäkerhet är ett stort problem. Här skulle regering och riksdag kanske kunna lämna ett stort bidrag, nämligen att se till att våra utbildningssystem blir bättre på att förse oss med den kompetens som efterfrågas på arbetsmarknaden. 

Intressantast är rapporten när den närmare diskuterar förhållandena i den finansiella sektorn. Det visar sig att informations- och cybersäkerhet på policy- och regelnivå är tämligen komplext. Det finns nationella regler och EU-regler. Regler som gäller brett och sektorsspecifika regler. Hoten är också komplexa och varierade. Rapporten bidrar här med att översiktligt kartlägga förhållanden i den finansiella sektorn och att skissa på förslag framåt. 

En del politiker och andra som diskuterar informationssäkerhetspolitiken har en vision om att det ska finnas en myndighet, ett departement och ett statsråd som tar ansvar för cybersäkerheten. Finansinspektionens genomgång i rapporten visar med all önskvärd tydlighet att en sådan vision kommer att förbli illusion.  

För att vägen framåt inte ska leda mot en hägring så krävs hårt arbete från många. För det är med informationssäkerhetspolitiken som med själva arbetet med informationssäkerhet – det måste vara långsiktigt och systematiskt. Ett snabbt utdelat regeringsuppdrag räcker alltså inte – ens i en sektor. Det betyder inte att arbetet har varit förgäves. Tvärtom, när vi säger att det behövs en ökad medvetenhet och förståelse för cyberhoten – på alla nivåer – är det sådana här underlag som behövs för att komma vidare i arbetet. 

https://www.fi.se/contentassets/7ed22f2de362421b8590699ec253746e/forst-digital-motstndskraft-ftg-fin-sektor.pdf