Inga enkla lösningar på cyberattackerna

I kölvattnet av den senaste tidens it-störningar och cyberattacker kommer nu förslagen på de enkla lösningarna. På ledarplats i Dagens industri (8 nov. 2022) föreslås det att om en myndighet ska vara tongivande i Sveriges cyberförsvar så är det Försvarets radioanstalt (FRA). DI är inte ensamma om den hållningen. Men är det så enkelt?

Kunskapen om informations- och cybersäkerhet måste finnas i hela samhället och näringslivet och inom många – om inte alla – tillsyns-, beredskaps- och sektorsmyndigheter. Det är nämligen inte bara en teknisk fråga eller en underrättelsefråga (där FRA har stor erfarenhet). Lagstiftning och regelverk spelar en viktig roll.

Informations- och cybersäkerhetsarbete behöver bedrivas i ett sammanhang och genomsyra hela verksamheten – som i vården, i en a-kassa eller i en kommun. Med all respekt för FRA, men deras kunskapande kanske ändå inte täcker alla relevanta branscher, sektorer, regelverk och annat som behöver vägas in för att informationssäkerheten ska kunna vara hög i samtliga dessa verksamheter.

Tidigare i år presenterade Finansinspektionen (FI) den hastigt skrivna rapporten Förstärkt digital motståndskraft hos företag i den finansiella sektorn. FI menande att ambitionerna i den egna tillsynen behövde höjas, men visade också på det komplexa landskapet med flera myndigheter och överlappande lagstiftning. I korthet, inget som FRA kan eller bör ha en ledande roll i, men gärna får bistå med relevant teknisk kunskap och annan information till.

Ett exempel är utbetalningarna från a-kassorna som nyligen har påverkats av ett angrepp. Inspektionen för arbetslöshetsförsäkringen (IAF) har i uppdrag att verka för att arbetslöshetsförsäkringen ska fungera. Rimligen kan inte IAF bli en myndighet med djup kunskap om informations- och cybersäkerhet, men har garanterat en roll att spela för ett fungerande informationssäkerhetsarbete inom sitt ansvarsområde.

Politiker och andra som diskuterar informationssäkerhetspolitiken har ofta hållningen att det bara ska vara en myndighet, ett departement och ett statsråd som har ansvar för informations- och cybersäkerheten. Verkligheten upplyser oss än en gång om att arbetet är mycket svårare och kommer att kräva uthållighet.

Ingen aktör sitter på hela lösningen. Det kommer att behövas samverkan med näringslivet och andra myndigheter. Där Myndigheten för samhällsbeskydd och beredskap (MSB) och Nationellt cybersäkerhetscenter (NCSC) måste bidra till helheten. Kompetensbristen inom informations- och cybersäkerhet är ett stort problem. Här skulle regering och riksdag kunna lämna ett viktigt bidrag, nämligen att se till att våra utbildningssystem blir bättre på att förse oss med den kompetens som efterfrågas.

Det finns helt enkelt mycket att göra, men inga enkla lösningar som lämnar allt ansvar till en aktör.  Samverkan och informationsdelning är grundläggande för att möta cyberattacker på ett adekvat sätt.

Fredrik Sand
Näringspolitisk expert, TechSverige