Till innehåll på sidan

Riksrevisionens rapport om informationssäkerhetsarbete på nio myndigheter

Betänkande 2016/17:FöU8

  1. 1, Förslag, Genomförd
  2. 2, Beredning, Genomförd
  3. 3, Debatt, Genomförd
  4. 4, Beslut, Genomförd

Ärendet är avslutat

Beslutat
16 februari 2017

Utskottens betänkanden

Betänkanden innehåller utskottens förslag till hur riksdagen ska besluta i olika ärenden. 

Hela betänkandet

Beslut

Riksrevisionens rapport om informationssäkerheten på nio myndigheter (FöU8)

Riksrevisionen har granskat hur nio myndigheter arbetar med sin informationssäkerhet. I rapporten framkommer att myndigheternas arbete med informationssäkerhet ligger på en för låg nivå. Följande myndigheter granskades:

  • Arbetsförmedlingen
  • Affärsverket svenska kraftnät
  • Bolagsverket
  • Försäkringskassan
  • Lantmäteriet
  • Migrationsverket
  • Post- och telestyrelsen
  • Sjöfartsverket
  • Statens tjänstepensionsverk.

Myndigheterna bedriver samhällsviktig verksamhet, hanterar mycket pengar, är starkt it-beroende och hanterar skyddsvärd information. Regeringen har bedömt rapporten och redogjort för åtgärder i en skrivelse. Bland annat avser regeringen ta fram en nationell strategi för samhällets informations- och cybersäkerhet. Försvarsutskottet som har behandlat skrivelsen anser att det är oroande att myndigheternas arbete med informationssäkerheten är på för låg nivå och välkomnar regeringens arbete med en nationell strategi inom området. Riksdagen lade skrivelsen till handlingarna, det vill säga avslutade ärendet.

Riksdagen sa också nej till motioner som handlar om informationssäkerhetsarbete på myndigheter med flera, medborgarnas kunskap om it-säkerhet samt ett nordiskt, säkert internet.

Utskottets förslag till beslut
Skrivelsen läggs till handlingarna. Avslag på motionerna.
Riksdagens beslut
Kammaren biföll utskottets förslag.

Ärendets gång

Beredning, Genomförd

Senaste beredning i utskottet: 2017-01-19
Justering: 2017-01-26
Trycklov: 2017-02-01
Reservationer: 6
Betänkande 2016/17:FöU8

Alla beredningar i utskottet

2016-12-08, 2017-01-19

Riksrevisionens rapport om informationssäkerheten på nio myndigheter (FöU8)

Riksrevisionen har granskat hur nio myndigheter arbetar med sin informationssäkerhet. I rapporten framkommer att myndigheternas arbete med informationssäkerhet ligger på en för låg nivå. Följande myndigheter granskades:

  • Arbetsförmedlingen
  • Affärsverket svenska kraftnät
  • Bolagsverket
  • Försäkringskassan
  • Lantmäteriet
  • Migrationsverket
  • Post- och telestyrelsen
  • Sjöfartsverket
  • Statens tjänstepensionsverk.

Myndigheterna bedriver samhällsviktig verksamhet, hanterar mycket pengar, är starkt it-beroende och hanterar skyddsvärd information. Regeringen har bedömt rapporten och redogjort för åtgärder i en skrivelse. Bland annat avser regeringen ta fram en nationell strategi för samhällets informations- och cybersäkerhet. Försvarsutskottet som har behandlat skrivelsen anser att det är oroande att myndigheternas arbete med informationssäkerheten är på för låg nivå och välkomnar regeringens arbete med en nationell strategi inom området. Utskottet föreslår att riksdagen lägger skrivelsen till handlingarna, det vill säga avslutar ärendet.

Utskottet föreslår även att riksdagen säger nej till motioner som handlar om informationssäkerhetsarbete på myndigheter med flera, medborgarnas kunskap om it-säkerhet samt ett nordiskt, säkert internet.

Beslut är fattat. Se steg 4 för fullständiga förslagspunkter.

Debatt, Genomförd

Bordläggning: 2017-02-15
Debatt i kammaren: 2017-02-16

Dokument från debatten

Protokoll från debatten

Anf. 4 Dag Klackenberg (M)

Herr talman! Vi ska i dag tala om en tunn men skrämmande rapport som heter Informationssäkerhetsarbete på nio myndigheter - En andra granskning av informationssäkerhet i staten. Jag visar den nu för kammarens ledamöter. Den är processad i regering och utskott, och vi ska senare avgöra om den ska läggas till handlingarna.

Rapporten känns redan passé. Vi läser nästan varje dag i tidningarna om olika incidenter. Vi får rapporter från USA om att man har trängt sig in i Demokratiska partiets informationssystem, att man har laborerat med elverk i New England och att man har flyttat räkningar. Det pågår hela tiden någonting som vi borde skydda oss mot.

Det har funnits incidenter även i Sverige. Det har varit attacker mot mediehus, mot banker och mot enskilda. Det har också varit ett antal attacker som ingen har vetat om. Man har nämligen gått in i informationssystemen och inte berättat att man är där. Man har sedan gått ut och kanske också ändrat.

Rapporten kan sammanfattas i tre punkter. Riksrevisorerna menar att informationssäkerhetsarbetet är otillräckligt, på låg nivå och att inget har hänt.

Man behöver egentligen inte säga mer, för det är precis så som det är. Riksrevisionen pekar på att man har gått igenom de nio myndigheterna, djupgranskat tre och sedan dragit slutsatser om att informationssäkerhetsarbetet även i en mängd andra myndigheter och verksamheter i Sverige förmodligen helt enkelt är otillräckligt och på för låg nivå. Inget har hänt under de senaste åren.

Man kan då fråga sig: Vad är det för skyddsbehov vi pratar om? Det är mycket enkelt. Man kan använda tre kärnord även där. Skyddsbehovet innebär till att börja med att den information som lagras ska vara riktig och förvaras på rätt sätt. Ingen ska kunna ändra i den. Det andra är att den ska vara tillgänglig. Man får inte slå sönder systemet så att man inte kommer åt informationen. Den måste vara tillgänglig för dem som ska ha den. Det gäller också att upprätthålla de sekretessbestämmelser som finns. Det är inte meningen att vem som helst ska kunna komma in i stora informationssystem.

Men varför blir det då på det här konstiga viset? Jo, därför att ledningarna för verksamheterna är skäligen ointresserade av informationssäkerhetsarbete - för att inte tala om medarbetarna vid myndigheterna. De är ännu mer ointresserade, för de tycker nämligen att säkerhetsarbete stjäl tid och energi från deras viktiga kärnverksamhet som de egentligen är till för.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informa-tionssäkerhetsarbete på nio myndigheter

Säkerhetsansvariga personer på it-avdelningar och andra blir squeezade mellan ledningarnas ointresse och kanske också okunskap och alla tjänstemäns iver att utföra sin kärnverksamhet och inte ta på sig säkerhetsåtgärder som kan hindra dem i arbetet.

Herr talman! Jag har egen erfarenhet av detta. Jag har varit it-säkerhetschef och it-chef, och jag har varit chef för dessa chefer. Jag har varit utsatt för ledningens tryck på att jag inte skulle ställa till några problem i arbetet. Jag har också varit utsatt för medarbetarnas, det vill säga kollegornas, förakt för att jag har hållit på saker som hindrar dem från att syssla med viktigare uppgifter. Det här var på UD, och det var många år sedan, men det var precis så. Detta är alltså självupplevt, så jag förstår den här rapporten mycket väl.

Sedan finns det alltid en känsla av att ansvaret för informationssäkerhetsarbetet ligger någon annanstans. Det är väldigt svårt att få dem som arbetar med viktig information att förstå att de också har ansvar för att hantera informationen. De måste förstå att den måste skyddas. Men de tror att det finns några medarbetare någonstans som skyddar informationen, att det fungerar ungefär som att städningen och vaktmästeriet fungerar. Varför skulle då inte också informationssäkerhetsarbetet fungera?

Revisorerna kommer fram till att regeringen måste efterfråga de incidentrapporter som sedan drygt ett år tillbaka ska produceras från myndigheterna när det har hänt någonting. Men om regeringen inte efterfrågar dessa rapporter kommer ledningarna inte att tro att de är så viktiga, och då kommer man inte att ge det stöd till informationssäkerhetsarbetet som behövs.

Det är min uppmaning från talarstolen att regeringen rutinmässigt måste efterfråga rapporterna och inte använda dem som någon sorts nummerlek för att säga att det har varit så och så många incidenter. Man måste också försöka att sätta sig in i vad som gick fel. Vad handlade incidenten om?

Vi har ofta uppfattningen att det är någon skum, främmande makt som utsätter myndigheterna för attacker. Det kanske förekommer, men väldigt ofta kan det vara handhavandefel, kunskapsbrist, fel i materialet, fel på servern, felprogrammering och buggar. Det är mycket som kan ha hänt, och då gäller det att analysera detta i rapporten.

MSB ställer upp och gör ett mycket gott arbete, och det blir bättre och bättre. Men man kan inte begära av MSB att MSB också ska ge det operationella stödet och ta ett operativt ansvar för myndigheterna. Detta måste myndigheterna själva ta till sig, antingen genom att skaffa folk som kan det eller att inhandla konsulttjänster.

Det är några som har föreslagit att ett slags informationssäkerhetsmyndighet skulle skapas. Det är ett steg i fel riktning, för det innebär bara att man återigen tror att någon annan ska ta ansvaret. Vi måste sätta tryck på myndigheterna att själva ta det här ansvaret.

Från moderat håll har vi gått ännu lite längre. Det finns två reservationer, nr 1 och nr 5, till vilka jag naturligtvis yrkar bifall.

Vi har funderat rätt mycket på: Vad är den enskildes ansvar i det här sammanhanget? På andra samhällsområden har man som chaufför, hundägare, om man arbetar inom sjukvården eller i trafiken ett ansvar också som individ. Men på informationssäkerhetsområdet är det lite mer oklart vem som har ansvaret.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informa-tionssäkerhetsarbete på nio myndigheter

Mycket av säkerhetsarbetet skulle kunna göras om man hade ordentliga rutiner för backup och om man var säkerhetsövad. Man borde ha sårbarhetstestat it-systemen. Man bör bara använda godkänd programvara, så kallade vitlistade varor. Min erfarenhet är att man på många ställen tycker att man har ett slags rättighet att ta med egen programvara och använda den i systemet. Det är klart att det då är mycket som kan inträffa, och säkert har inträffat.

Man måste ha motåtgärdsträning, precis som vid en brand då alla genom brandövningar ska veta var brandsläckaren finns. Ser man att det är en incident på gång ska man som handläggare eller chef ha en aning om vad man ska göra.

Man måste intrångstesta systemen. Det görs väldigt sällan, men det är ganska intressant att göra det. Jag har själv gjort det i det egna systemet, och det visade sig att det var väldigt lätt att ta sig igenom brandväggen. Man måste också brandväggstesta. Det finns alltså väldigt mycket att göra. Man måste kanske begränsa antalet befogenheter som it-administratörer har.

Herr talman! Jag är helt övertygad om att riksdagen kommer att återkomma till detta i många omgångar tills man får en rimlig lagstiftning på det här området.

Avslutningsvis yrkar jag återigen bifall till reservationerna 1 och 5.

(Applåder)


Anf. 5 Mikael Jansson (SD)

Herr talman! För tids vinnande yrkar jag endast bifall till reservation 2.

Det talas till leda om it-försvar. Det är ett modeord. Det verkar som att ju mer vi talar om ett it-försvar, desto mindre måste vi göra åt saken. Det gillar inte vi.

Vi tror att det faktiskt behövs ett it-försvar och att vi ska vidta åtgärder så att vi snart har ett på riktigt.

Om det aktiva it-försvaret ska vi inte tala om i dag. Det aktiva it-försvaret tillhör snarast det militärt taktiska. Vi ska tala om det passiva it-försvaret, det som ska skydda vår information.

Vi kan läsa Riksrevisionens granskning. Riksrevisionen har granskat hur nio myndigheter arbetar med sin informationssäkerhet och om regeringen säkerställer att de granskade myndigheterna har en effektiv intern styrning och kontroll av sin informationssäkerhet.

Den samlade slutsatsen är att arbetet med informationssäkerhet på de granskade myndigheterna ligger på en för låg nivå.

Vi kan också läsa regeringens instämmande. Regeringen instämmer i huvudsak i iakttagelserna och avser därför att ta fram en nationell strategi för samhällets informations- och cybersäkerhet.

Varför krävdes det en Riksrevisionsrapport för att förstå dessa svagheter hos myndigheterna? Hur lång tid kommer det att ta innan regeringen gör något konkret? Vi behöver ett passivt it-försvar som fungerar. Policy och strategi borde vara klart för länge sedan.

Utskottets majoritet oroar sig också över att "de granskade myndigheterna ligger på en för låg nivå och inte heller ser ut att ha utvecklats i tillräcklig grad över tid". Om inte regeringen gör något måste riksdagen leverera tillkännagivanden som stöd för regeringens fortsatta arbete.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informa-tionssäkerhetsarbete på nio myndigheter

Naturligtvis är det inte riksdagens roll att gå in i detaljer. Men det finns iakttagelser som inte kan betraktas som detaljer, till exempel att myndigheter har servrar stående utomlands, att alla svenska myndigheter håller sig med olika teknik och konsulter.

Hade informationsteknologin satt fart under förra kalla kriget hade totalförsvaret säkert kunnat hantera säkerheten på ett klokt sätt.

Nu har ni avvecklat totalförsvaret. Det finns därför ingen styrning längre. Detta till trots måste vi kunna gå från policy och strategi till handling nu.

Allra senast i nästa försvarsbeslut bör det beslutas om en operativ civilförsvarsmyndighet med avdelningar för bland annat it-försvar.

Grundtänket i svensk krishantering med ansvars-, likhets- och närhetsprincipen är helt rätt. Nivåerna för att hantera kriser - kommunerna, länsstyrelserna och regeringen - är också en klok avvägning. Men vad som saknas är alltså en civilförsvarsmyndighet med operativa resurser.

Låt mig gissa att förr eller senare kommer känsliga myndigheter att ges tillgång till standardplattformar med såväl hårdvara som mjukvara som är särskilt utformade för att klara av attacker. Vi föreslår alltså att vi redan nu ska börja titta på en sådan utveckling.

Förutom sårbarheten hos varje myndighet och inom varje fast infrastruktur finns det en sårbarhet i internet. Vi har okritiskt dragit nytta av internets möjligheter när vi har byggt våra kontroll- och ledningssystem. Problemet är att det internet som vi nu har och delar med resten av världen aldrig kan bli säkert. Det har inte en sådan struktur.

Vad vi borde önska oss är ett eget nät för svenska myndigheter och försvarsviktiga företag. Svensk teknik är fortfarande långt framme; exempelvis är vi världsledande vad gäller satelliter med mikroteknik.

Vi förslår därför att forskningsresurser avsätts för att bedöma möjligheterna att bygga ett säkert myndighetsnät. Detta kan gärna ske i form av ett nordiskt samarbete. Sverige har varit först med många saker. Fortsätter vi att tro på svensk ingenjörskonst kan det fortsätta att vara så.


Anf. 6 Stig Henriksson (V)

Herr talman! Dag Klackenberg tog upp många intressanta saker i sitt anförande, och det är lätt att hålla med. Det gäller både det att vi nu lever i en tid då vi får nästan dagliga rapporter om intrång, misstänkta intrång, sabotage etcetera och att en del av detta kanske maskerar dålig hantering i största allmänhet och taskiga system.

Vad jag förstår finns det dock åtminstone ett riktigt belagt fall av skadligt datasabotage. Det är så gammalt som från 2010. Det var när USA och Israel tillsammans planterade Stuxnet, en datamask eller trojansk häst, i Irans urananrikningsanläggningar. På det sättet kunde de fördröja programmet ett antal år.

Jag vet inte hur pass belagt det är med alla dessa nya rykten, men det lär vi få veta. För självklart försiggår detta hela tiden. Jag tror att det är bra att komma ihåg att det dessutom försiggår från alla möjliga håll, både privata och statliga.

Låt mig nu gå över till att tala om betänkandet, herr talman. Utskottet föreslår att riksdagen lägger skrivelsen om informationssäkerhetsarbetet på nio myndigheter till handlingarna. Utskottet anser dock att främst regeringens arbete med att ta fram en nationell strategi för samhällets informations- och cybersäkerhet i närtid är lovvärt och att det för tillfället därför inte är motiverat att vidta ytterligare åtgärder.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informa-tionssäkerhetsarbete på nio myndigheter

Det kan låta rimligt och resonligt, men jag tycker faktiskt inte det på grund av den långa historien. I första hand är det kanske inte denna regering som ska klandras för vad som skett historiskt, utan det har skett oavsett partifärg.

Riksrevisionen granskade så tidigt som 2005-2007 arbetet med informationssäkerhet i statsförvaltningen. Granskningen visade på minst ett tjugotal brister. Det må vara hänt. Men det värsta är att vid en uppföljning 2014 konstaterades det att i praktiken hade ingenting gjorts för att komma till rätta med dessa brister. Detta skedde samtidigt som beroendet har ökat och antagligen också attackerna, även om det är svårt att säkert veta.

Riksrevisionen konstaterade också i sin rapport att informationssäkerhetsarbetet inte var ändamålsenligt, sett till de hot och risker som finns. I rapporten konstateras att den tekniska utvecklingen har accelererat och att de risker som en organisation utsätts för ökar och kan förväntas öka framöver.

Få myndigheter kan ge heltäckande svar på hur välutvecklat arbetet med informationssäkerhet är. Vi har helt enkelt ingen koll. Den snabba utvecklingen av informationssamhället skapar hela tiden nya möjligheter och därigenom nya risker och hot. Vi talar om att avskaffa fysiska pengar. Vi ska ha e-hälsa, där allting ligger lagrat på ett teknologiskt sätt som vi inte hade förr. Detta skapar hela tiden ökade risker.

Vänsterpartiet och jag menar därför att riksdagen måste ställa distinkta krav på detta område. En tidsplan bör fastställas, och sanktionsmöjligheter för de myndigheter som inte uppfyller godtagbara krav på informationssäkerhet bör övervägas. Jag yrkar således bifall till reservation 3.

En tidsplan är nu efter elva års valhänthet av största vikt. Men hur är det med sanktioner? Ja, förr sa man att den kroppsdel där det gjorde mest ont nog var höger skinka, det vill säga där plånboken satt. Det tror jag fortfarande gäller, även på myndighetsnivå. Nu lär väl av allt att döma riksdagen säga nej till tanken på sanktioner - den här gången.

Men frågan om sanktioner mot myndigheter som inte upprätthåller it-säkerheten kommer att leva vidare ändå. Anledningen är att Sverige ska genomföra ett EU-direktiv om it-säkerhet i nätverks- och informationssystem, NIS-direktivet. Det är ett regelverk som kommer att skärpa kraven. Det är samma NIS-direktiv som minister Ygeman i Sälen lyfte fram som ett instrument för att höja säkerhetsnivån på området, såväl i Sverige som i andra medlemsstater.

Den utredning som just nu arbetar med att gå igenom hur svensk lag ska leva upp till EU-direktivets krav analyserar bland annat hur sanktioner ska användas och om de också ska kunna riktas mot offentliga aktörer. Enligt Richard Oehme, chef för verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet vid MSB, är frågan uppe på bordet. Den är inte helt lätt, men inom ramen för EU-direktivet tittar man på frågeställningen.

Det hör väl inte till vanligheten att jag står här och hyllar EU-direktiv, men även en blind höna kan hitta ett och annat korn, som det brukar heta.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informa-tionssäkerhetsarbete på nio myndigheter

Det är med andra ord dags att sätta fart efter alla dessa år då nästan ingenting har hänt när riskerna, hoten och användningen har ökat. För hittills har säkerheten inte direkt utvecklats med samma hastighet som de digitala signalerna som rusar fram i fiberkablarna. Det har snarare utvecklats lika långsamt som när man fick varna sin omgivning med hjälp av vårdkasar på klipporna.


Anf. 7 Mikael Oscarsson (KD)

Herr talman! Vi debatterar i dag Riksrevisionens rapport om informationssäkerhetsarbete på nio myndigheter. Låt mig innan jag går vidare yrka bifall till Kristdemokraternas reservation i detta betänkande, reservation 4.

Sverige har stora utmaningar när det gäller försvaret. Det gäller det militära försvaret, vilket vi alltför snabbt lade ned. Det går väldigt lätt att lägga ned, men det är en annan sak att bygga upp. Men det är inte bara det militära svaret som vi ser utmaningar för, utan också det civila försvaret. Detta har vi i dag anledning att diskutera.

Under senare tid har viktig information kommit fram till svenska folket. Vi i kammaren har också nyss hört FRA berätta om att Sverige varje månad utsätts för 10 000 cyberattacker av, märk väl, utländsk makt. Det finns även it-spioner som jobbar heltid med att kunna släcka ned Sverige och att göra hundratusentals människor strömlösa.

Låt oss, vi som är i kammaren, för en liten stund tänka oss in i vad det skulle få för betydelse i en speciell situation, i ett krisläge, om allt detta hände. Vad skulle hända med vår motståndsförmåga? Det är viktigt att vi ser detta - militära hot är visserligen också jätteviktiga. Vi måste vidta åtgärder.

I närtid har vi exemplet från det amerikanska valet, vilket har nämnts här tidigare. Det har belagts med i princip 100 procents säkerhet att Ryssland agerade och jobbade med att påverka valet. Hur mycket det påverkade vet man dock inte. I Norge kom det i helgen en rapport om att de är näst intill övertygade om att Ryssland har gjort attacker som har fått stora konsekvenser för bland annat försvarsmakten. Vi kan inte sticka huvudet i sanden, utan vi måste agera.

Det är flera tidigare talare som har redogjort för den här rapporten. Av den framgår bland annat att det gjordes en rapport för tio år sedan som inte var positiv. Det vidtogs en del åtgärder. Det tråkiga nu tio år senare är att problemen finns kvar. Det har inte hänt någonting. Här får alltså regeringen underkänt för sin hantering.

De myndigheter det är fråga om är sådana som har samhällsviktig verksamhet, hanterar mycket pengar, är starkt it-beroende och hanterar skyddsvärd information. Det här är alltså inga småsaker.

Man kommer också fram till att det inte är effektivt. Det kostar väldigt mycket skattepengar. Det är olika nivåer, och det finns ingen grundläggande nivå. Det här drabbar säkerheten och gör att Sverige blir mer utsatt.

Vad är det då för myndigheter som man har tittat på? Jo, det är Arbetsförmedlingen, Försäkringskassan, Migrationsverket, Svenska kraftnät, Sjöfartsverket och flera andra. I varje exempel visar det sig att det inte fungerar bra. Det finns en massa brister som man lyfter fram.

MSB bistår med vägledning, men man lider en enorm brist på operativt bistånd, någonting som MSB inte i dag erbjuder. Man saknar det operativa stödet, det vill säga det viktigaste: hur man gör det. Man är då hänvisad till att ha egna it-avdelningar, och i de flesta fall är det ju som vi vet it-konsulter som hittar på olika system.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informa-tionssäkerhetsarbete på nio myndigheter

Det Riksrevisionen landar i är att man borde inrätta en central funktion som skulle kunna få den här uppgiften. Det här är ganska intressant för Kristdemokraternas vidkommande, i och med att vi har varit väldigt tydliga under många år med att Sverige, i likhet med en lång rad andra länder, skulle behöva ha en central myndighet som har ansvaret. Nu är det uppdelat på en rad olika myndigheter, och mångas ansvar är ingens ansvar, som vi allihop vet. Därför är det så viktigt att någon får ansvaret.

Ska man då inrätta en ny cybersäkerhetsmyndighet, eller ska man lägga ansvaret på en befintlig myndighet? Det kan man titta på, men det viktigaste är att vi gör någonting. Nu kommer inte det här att ändra på allting, men det kommer att vara en del och någonting som efterfrågas.

Nu hoppas jag att regeringen tar till sig det här och tillskapar en central myndighet som kan ta ansvaret och se till att vi stärker skyddet mot de olika cyberangreppen. Om det värsta skulle hända är det här nämligen i princip att likställa med ett konventionellt angrepp. Det är därför det är så viktigt att vi vidtar de här åtgärderna.

Med dessa ord, herr talman, yrkar jag än en gång bifall till Kristdemokraternas reservation.


Anf. 8 Kalle Olsson (S)

Herr talman! Att Riksrevisionen granskar och underkänner it-säkerhetsarbetet vid våra myndigheter har blivit något av en tråkig följetong för oss i riksdagen. Det här är andra gången under denna mandatperiod som Riksrevisionen återkommer med en ganska nedslående rapport om it-säkerhetsarbetet vid myndigheterna.

I den senaste granskningen, som vi diskuterar i dag, framkommer nya brister. Jag ska inte gå igenom allihop. En del av mina kollegor i utskottet har nämnt några punkter. Det som jag tycker är direkt anmärkningsvärt är Riksrevisionens påstående att it-säkerhetsfunktionernas krav tenderar att betraktas som hinder, som någonting som ligger i vägen för den övriga verksamheten på myndigheterna. Då har man ett allvarligt problem.

Inom det privata näringslivet kan vi ofta höra hur man framhåller att it-säkerhetsfrågorna behöver betraktas som strategiska frågor som ska ligga hos vd:n, hos företagsledningen och ytterst hos styrelsen. På samma sätt kan man tolka Riksrevisionens slutsatser och rekommendationer på det här området; från regeringen via myndighetsledningar ned till enskilda medarbetare behövs ett systematiskt och kontinuerligt säkerhetsarbete.

Det behöver inte nödvändigtvis vara de tekniska systemen som brister. Det finns inom myndighetsvärlden, särskilt hos de mer skyddsvärda myndigheterna, avancerade tekniska system. Men de här systemen blir inte så mycket värda om det brister i andra delar.

Det borde, herr talman, vid det här laget vara uppenbart för alla vilka potentiella risker som finns med att slarva med it-säkerhetsarbetet. Samhället är i dag helt beroende av fungerande it-system inom kollektivtrafik, energisystem, finansiella system, trafikledning och så vidare. När de här systemen fungerar tar vi dem ofta för givna. När de av olika anledningar ligger nere blir det moderna samhällets sårbarhet snabbt väldigt tydlig.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informa-tionssäkerhetsarbete på nio myndigheter

Med det liggande försvarsbeslutet anges att en totalförsvarsplanering ska återupptas. En reflektion man kan göra är att samhällets beroende av informationsteknik har ökat väldigt kraftigt under den 15-åriga pausen i totalförsvarsplaneringen. Man skulle nästan kunna kalla det för ett olyckligt sammanträffande, för totalförsvar handlar inte bara om skalskydd, infrastruktur och sådana saker, utan också om "mindset", det vill säga om hur vi tänker kring de här sakerna, exempelvis hur vi hanterar känslig information. Av de tre myndigheter som har djupgranskats av Riksrevisionen är två, Försäkringskassan och Migrationsverket, så kallade bevakningsansvariga myndigheter, vilket innebär att de har ett särskilt ansvar vid höjd beredskap.

Vad görs då, och vad har gjorts från regeringens sida? Sedan knappt ett år tillbaka har vi nu en obligatorisk it-incidentrapportering på plats. Rapporteringsskyldigheten avser incidenter som allvarligt kan påverka säkerheten i informationshanteringen. Incidentrapporteringen möjliggör en förbättrad lägesbild. Den skapar förutsättningar för att vidta rätt skyddsåtgärder, och den utgör en grund för att utveckla förmågan att förebygga, upptäcka och hantera incidenter.

I syfte att vidare stärka informationssäkerheten kommer MSB att få i uppdrag att tillhandahålla sensorsystem som gör det möjligt att upptäcka it-angrepp, ungefär på samma vis som FRA har tillhandahållit den typen av tjänster. Sedan ett år tillbaka arbetar, som tidigare nämnts, en statlig utredare med att ta fram åtgärder för hur Sverige ska implementera NIS-direktivet. Där är inriktningen att MSB ska få en samordnande roll, samtidigt som andra myndigheters ansvar för tillsyn inom sina sektorer ska fortsätta att gälla. Målet är att samhällsviktiga aktörer, såsom banker och sjukvård, också ska rapportera in allvarliga it-incidenter.

Herr talman! Slutligen bör regeringens arbete med en nationell informationssäkerhetsstrategi nämnas i sammanhanget. Strategin, som väntas bli presenterad i sommar, kommer att sätta upp tydliga mål och en färdriktning för det samlade informationssäkerhetsarbetet.


Anf. 9 Anders Schröder (MP)

Herr talman! Digitaliseringen är en av vår tids stora globala trender. För 20 år sedan blev persondatorn populär. I dag surfar många av oss i stället i mobilen. Framöver kommer vi att se en digitalisering av allt fler apparater, från bilindustrin, med självkörande bilar, till offentlig sektor, där olika program och tekniker kan hjälpa oss att hålla nere vårdkostnader och samtidigt ge bättre sjukvård.

Men när vi blir alltmer beroende av tekniken blir vi också alltmer sårbara. Teknik kan alltid användas i både goda och onda syften. Dålig it-säkerhet utgör därför ett hot, dels mot den personliga integriteten, dels - i det större perspektivet - mot vår nationella säkerhet.

Dessa hot kan naturligtvis illustreras på olika sätt. Som tidigare nämnts kan det handla om att man vill försöka slå ut samhällsviktiga institutioner eller strukturer som elsäkerhetssystem. Det kan handla om att vilja påverka olika demokratiska processer. Det kan också naturligtvis handla om att få tag på känslig information om myndigheter eller personer, som i ett senare skede kan användas för att påverka totalförsvarsförmågan, om motståndaren skulle vilja det.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informa-tionssäkerhetsarbete på nio myndigheter

Riksrevisionens rapport, som är ämnet för det betänkande vi diskuterar här i dag, visar tydligt att det finns mycket som behöver göras för att stärka it-säkerheten på våra myndigheter. Rapporten konstaterar att det finns allvarliga brister och att arbetet dessutom har gått långsamt framåt. Det är något vi måste ta på allvar.

Kunskap kring säkerhetsfrågorna måste finnas på alla de myndigheter som hanterar känslig infrastruktur eller information. Hos MSB finns stor kunskap, men det räcker inte. Fler myndigheter behöver liknande kompetens.

Att höja kompetensen hos enskilda personer som jobbar med säkerhetsfrågor på myndigheter är viktigt, men lika viktigt är att det allmänna säkerhetsmedvetandet bland övrig personal också finns där. Säkerhet kan inte vara valfritt eller något för eldsjälar utan måste ha en bred förankring i organisationen.

Regeringen har aviserat att man kommer att ta fram en nationell strategi för samhälls-, informations- och it-säkerhet. Det är ett viktigt steg på vägen mot ett mer sammanhållet arbete kring frågorna. En viktig målgrupp för strategin är just myndigheterna.

Regeringen har också tillsatt en utredning som ska lämna förslag till hur EU-direktivet om hög gemensam nivå av säkerhet i nätverks- och informationssystem, alltså NIS-direktivet, ska genomföras i svensk rätt.

Vi lever i en tid där Säpo varnar för att vi hade över 100 000 aktiviteter från statliga utländska angripare mot svenska mål förra året. Vårt samhälle blir alltmer sårbart för cyberpåverkan. Så kallad hybridkrigföring, där olika verktyg, bland annat digitala, används i samklang för att påverka en motståndares handlingsfrihet, blir alltmer omtalat i de säkerhetspolitiska sammanhangen. Vi har alla att vinna på att arbetet med cybersäkerhet stärks. Den nationella strategin är ett bra steg i den riktningen. Därmed yrkar jag bifall till utskottets förslag.


Anf. 10 Daniel Bäckström (C)

Herr talman och ärade ledamöter! Riksrevisionens rapport, såväl som flera rapporter från Myndigheten för samhällsskydd och beredskap, inklusive den nationella risk- och förmågebedömningen, visar att samhällets arbete med informations- och cybersäkerhet behöver utvecklas ordentligt.

Problembilden som beskrivs i Riksrevisionens rapport går att applicera på många andra aktörer i samhället, från enskilda kommuner till länsstyrelser och andra centrala myndigheter - alla som bedriver någon form av samhällsviktig verksamhet. Det är allvarligt att bristerna fortfarande är så stora.

Vi har tagit del av många exempel, men när förståelsen för informationssäkerheten inte är tillräcklig, prioriteringarna ser olika ut och frågan inte lyfts i förhållande till kärnverksamhet finns mycket att göra.

Detta fokus måste gälla hela verksamheten och genomsyra allt arbete. Man måste också hitta synergier mellan olika myndigheter så att de kan lära av varandra och utveckla gemensamma arbetssätt.

Informationssäkerhet har mer och mer blivit en fråga om att skydda hela samhället och får en växande säkerhetspolitisk dimension, något som aktualiserats inte minst i samband med det amerikanska presidentvalet, där databaser utsattes för intrång. Vi ser också att samspelet mellan traditionell och elektronisk brottslighet ökar och blir alltmer komplext.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informa-tionssäkerhetsarbete på nio myndigheter

Frågor kring privatliv och integritet aktualiseras när information om oss själva finns i allt fler system - system som kanske inte alltid, vilket bland annat Riksrevisionens rapport visar, har ett fullgott skydd.

Kort sagt, informationssäkerhetsarbete är viktigt och måste tas på största allvar. Det gäller de myndigheter som regeringen styr över, men det gäller också många andra aktörer som bedriver samhällsviktig verksamhet. Frågan om att skapa en god informationssäkerhet på samhällsnivå är således större och kräver vårt starkaste politiska engagemang.

Herr talman! Vi lever i en säkerhetspolitiskt osäker tid, och läget försämras successivt. Hybridhot, ökad underrättelseverksamhet, påverkansoperationer, informationskrigföring och it-attacker är exempel som visar hur sårbara vi är i dagens samhälle och att samhället successivt utsätts för mer press.

Svenska myndigheter har börjat återuppta totalförsvarsplaneringen. Detta ställer i sin tur än större krav på att information måste kunna hanteras säkert och skyddat. Det gäller såväl elektronisk som fysisk information. All information kanske inte ens kan sparas elektroniskt eller förvaras i vanliga lokaler.

De flesta aktörer sitter i dag i vanliga arbetsmiljöer, och få har tillgång till avlyssningssäkra lokaler. Detta kan hämma och försvåra totalförsvarsplaneringens genomförande. Inte minst måste stora åtgärder vidtas för att garantera att lämpliga miljöer finns, och det kommer att handla om ytterligare pengar och investeringar. Detta riskerar att sätta enskilda medarbetare i en svår situation och att göra totalförsvarsarbetet mer svårarbetat. Det är olyckligt i en tid när arbetet med informationssäkerhet måste intensifieras.

Hur regeringen avser att säkerställa att myndigheter och övriga ansvariga för totalförsvarsplaneringen ges rätt förutsättningar att bedriva en trovärdig totalförsvarsplanering på ett säkert sätt får vi återkomma till.

Regeringen har nu utlovat en nationell strategi för cyber- och informationssäkerhet, och det är viktigt att följa upp hur totalförsvarsbehoven kommer att beaktas i den strategin. Det kommer att bli viktigt att följa upp hur regeringens strategi blir i praktiken, vilka åtgärder som konkret kommer att vidtas och vilka resurser som prioriteras eller tilldelas för att utveckla förmågan och stärka skyddet. Detta är en realitet redan i dag, och området kräver starkt politiskt engagemang, politisk uppföljning och politisk styrning.

Då revisorerna konstaterar att den politiska styrningen borde ha varit tydligare i frågan är ansvaret och uppgiften att nu på kort sikt säkerställa att erforderliga åtgärder vidtas. Min oro är dock att detta blir ytterligare en strategi från regeringens sida med lite vägledning i "hur", jämfört med vad som kan beskrivas. Vi kan bland annat titta på den nationella säkerhetsstrategin, som i princip mer liknar en risklista än en konkret åtgärdsstrategi.


Anf. 11 Roger Richtoff (SD)

Herr talman! Man får göra om lite grann för att inte upprepa vad alla andra har sagt. Jag har några saker som jag tycker bekräftar vår inställning.

Vi behöver en civilförsvarsmyndighet, herr talman. Om man läser Riksrevisionens rapport framgår det ganska tydligt att myndigheterna sällan sammanställer sina sårbarhets- och riskanalyser. Det har också påpekats att det behövs samordning, som ni har hört mig säga många gånger härifrån. Jag har sagt det, herr talman, och jag kommer att återupprepa det: Utan en bra samordning av verksamheten kommer ingenting att fungera på ett bra sätt.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informa-tionssäkerhetsarbete på nio myndigheter

Överallt läser man om samverkan, samverkan och samverkan. Samordning behövs. Uppgiften att samordna verksamheten ligger inte på MSB. Vi behöver en myndighet som ansvarar för detta. Det är därför vi i många år har förordat en civilförsvarsmyndighet. Den ska inte ha samma uppgifter som den hade innan den lades ned, men i många stycken behövs en återgång till en myndighet som samordnar länsstyrelsen och så vidare. Det handlar också om att hantera dessa frågor. Det var det ena jag ville säga.

Det andra är att man talar om sanktioner mot myndigheterna. Jag satt och funderade på att man kanske borde titta på ledningen och ledarskapet i de statliga myndigheterna. Ska vi acceptera, herr talman, att man år efter år får grav kritik inom olika områden och att det sedan vid en ny revision uppdagas grava fel på andra delar? Hur länge ska man kunna hålla på på detta vis?

Herr talman! Jag funderade på hur det är i en fotbollsmatch. När man spelar och säger något oförskämt till domaren får man en tillsägelse. Sedan går det en stund till, och man yttrar sig lite olämpligt. Då blir man kallad till domaren och får gult kort. Händelsen i sig leder till en tillsägelse, men upprepningen ger gult kort. Den tredje gången tar domaren upp ett rött kort. Händelsen i sig leder till en tillsägelse, men upprepningen leder till avsked - ut från planen! Man måste också fundera på om detta kan vara ett sätt i stället för andra sanktioner i form av böter eller någonting annat.

Om upprepningarna i de statliga myndigheterna med sådana här viktiga funktioner enligt Riksrevisionen är så frekventa att läget är så undermåligt undrar jag om vi ska tillåta det nuvarande ledarskapet att fortsätta. Vi har inte lagt fram något förslag om detta, men det är funderingar som vi kommer att återkomma till.

När man ser tillbaka på vad Riksrevisionen skriver om olika myndigheter ser man att även denna parameter måste finnas med.

I detta anförande instämde Mikael Jansson (SD).

Överläggningen var härmed avslutad.

(Beslut fattades under § 17.)

Beslut, Genomförd

Beslut: 2017-02-16
Förslagspunkter: 4, Acklamationer: 2, Voteringar: 2

Protokoll med beslut

Förslagspunkter och beslut i kammaren

  1. Informationssäkerhetsarbete på myndigheter m.fl.

    Kammaren biföll utskottets förslag

    Beslut:

    Kammaren biföll utskottets förslag

    Utskottets förslag:
    Riksdagen avslår motionerna

    2015/16:28 av Jonas Sjöstedt m.fl. (V) yrkande 5,

    2015/16:424 av Sotiris Delis (M),

    2015/16:2172 av Hans Wallmark m.fl. (M) yrkande 3,

    2015/16:2824 av Mikael Oscarsson m.fl. (KD) yrkande 18,

    2016/17:2072 av Edward Riedl (M),

    2016/17:3205 av Hans Wallmark m.fl. (M) yrkande 10 och

    2016/17:3542 av Mikael Jansson m.fl. (SD) yrkandena 1-3.
    • Reservation 1 (M)
    • Reservation 2 (SD)
    • Reservation 3 (V)
    • Reservation 4 (KD)
    Omröstning i sakfråganUtskottets förslag mot reservation 1 (M)
    PartiJaNejAvståendeFrånvarande
    S990014
    M074010
    SD00408
    MP20005
    C20002
    V00174
    L13006
    KD00124
    -0001
    Totalt152746954
    Ledamöternas röster
  2. Medborgarnas kunskap om it-säkerhet

    Kammaren biföll utskottets förslag

    Beslut:

    Kammaren biföll utskottets förslag

    Utskottets förslag:
    Riksdagen avslår motion

    2016/17:3205 av Hans Wallmark m.fl. (M) yrkande 11.
    • Reservation 5 (M)
    Omröstning i sakfråganUtskottets förslag mot reservation 5 (M)
    PartiJaNejAvståendeFrånvarande
    S990014
    M074010
    SD40008
    MP20005
    C20002
    V17004
    L13006
    KD12004
    -0001
    Totalt22174054
    Ledamöternas röster
  3. Ett nordiskt, säkert internet

    Kammaren biföll utskottets förslagBeslut fattat med acklamation

    Beslut:

    Kammaren biföll utskottets förslagBeslut fattat med acklamation

    Utskottets förslag:
    Riksdagen avslår motionerna

    2015/16:3218 av Mikael Jansson m.fl. (SD) yrkande 7,

    2016/17:2871 av Björn Söder m.fl. (SD) yrkande 14 och

    2016/17:2899 av Mikael Jansson m.fl. (SD) yrkande 77.
    • Reservation 6 (SD)
  4. Skrivelsen

    Kammaren biföll utskottets förslagBeslut fattat med acklamation

    Beslut:

    Kammaren biföll utskottets förslagBeslut fattat med acklamation

    Utskottets förslag:
    Riksdagen lägger skrivelse 2016/17:42 till handlingarna.