Samordningsansvaret vid IT-attack

Herr talman! Mats Berglind har frågat mig om jag har sett till att någon myndighet har det övergripande ansvaret i dag för samordning av olika myndigheters insatser vid en IT-attack liknade den som Estland utsattes för och vilken myndighet som har det ansvaret. I dag gäller ansvarsprincipen fullt ut enligt det system som förra regeringen införde från och med år 2002. Detta innebar att ingen myndighet hade ett sammanhållande ansvar. De flesta hot eller kriser har samhällsöverskridande karaktär, och därför är det viktigt att komma bort från tendenser till stuprörstänkande i myndigheters agerande. I propositionen Stärkt krisberedskap - för säkerhets skull (prop. 2007/08:92) föreslår regeringen att den nya myndigheten för samhällsskydd och beredskap ska få i uppgift att hålla samman informationssäkerhetsfrågorna. Den nya myndigheten får ett sammanhållande ansvar både före, under och efter en kris. Ansvarsprincipen stärks genom att samtliga myndigheter och aktörer tydligt ges ansvar för sin verksamhet men även att samordna sig sinsemellan. Skulle Sverige utsättas för en attack motsvarande den i Estland kommer den nya myndigheten att hålla samman de åtgärder som behöver vidtas inom berörda myndigheter. Fram till dess är det samordningsorgan som redan finns etablerat mellan Säkerhetspolisen, Försvarsmakten, Krisberedskapsmyndigheten, Försvarets radioanstalt, Försvarets materielverk, Post- och telestyrelsen och Verva plattform för samarbete kring gemensamma och koordinerade insatser.

Herr talman! Tack, försvarsministern, för svaret på interpellationen! Det är ett svar som jag tycker skapar en viss oro. När jag läste svaret första gången kände jag nästan att jag nog kanske inte skulle ha ställt interpellationen. Det här visar ju att om elaka krafter skulle göra en attack mot Sverige, motsvarande den som gjordes mot Estland, har vi inte ett fullgott skydd för att hantera det. Att i svaret hänvisa till att det var en socialdemokratisk regering som 2002 lade grunderna för nuvarande system är inget försvar. En regering ska reagera och agera om man uppfattar att det finns brister. Man kan inte bara hänvisa till vad någon annan har gjort för länge sedan. Det är en svaghet att varken försvarsministern eller någon annan i regeringen har tagit den nya krigföringen, som man väl får kalla det, riktigt på allvar. Vi följde väl alla debatten om vad som hände i Estland, och vi var nog många som blev väldigt överraskade över vilka konsekvenser det fick, men framför allt vilka konsekvenser det kunde ha fått om man inte hade haft en ordentlig samordning i Estland. Inte minst fick man också hjälp utifrån. Den här utvärderingen har man gjort ganska grundligt och dragit erfarenheter från andra myndigheter. Krisberedskapsmyndigheten har ju kommit med en stor rapport alldeles nyligen, och man aviserade före årsskiftet att det fanns brister i det svenska systemet om det skulle utsättas för en attack. Det finns ett underlag som är tillräckligt för att ministern eller regeringen på ett kraftfullt sätt borde ha ingripit. Just Krisberedskapsmyndighetens senaste rapport vill jag citera ordagrant, så att det inte blir något missförstånd: "Ansvarsprincipen på informationssäkerhetsområdet fråntar inte staten ansvaret för att garantera att de statliga myndigheternas IT-användning uppfyller kraven på säkerhet. Det är en förtroendefråga gentemot både allmänheten och företagen. Med anledning av detta har Riksrevisionsverket granskat regeringens styrning av informationssäkerhetsarbetet i den statliga förvaltningen. Ett övergripande problem som framkommit i och med granskningen är avsaknaden av styrning och kontroll över myndigheternas arbete med informationssäkerhet." Detta, försvarsministern, är ord och inga visor. Och regeringen sätter sig ned och gör ingenting. Det är anmärkningsvärt.

Herr talman! Det är intressant att höra Mats Berglind beskriva arvet efter hans eget partis regering och dess tolvåriga regeringsinnehav. De saker han räknar upp är saker som nu åtgärdas i förslag som ligger på riksdagens bord. Han har möjligen inte läst propositionen. Jag kan försäkra att vi under debatten kommer att återge rikligt med citat ur den. Jag har läst Socialdemokraternas rapport från Sälen och vad man vill göra med IT-säkerheten. Jag kan konstatera att man ägnar sig mer åt formfrågor än åt innehåll. Man nämner ingenstans att enskilda företag eller personer har ansvar för att skydda sina datorer och IT-system. Jag konstaterar också att de saker som man tämligen högljutt efterlyser till sitt innehåll redan är hanterade i de förslag som regeringen har lagt fram. De saker han nämner är kritik mot den tidigare regeringen. Han understryker bara varför Socialdemokraterna bör acceptera den proposition som ligger på riksdagens bord. Den nya myndigheten för samhällsskydd och beredskap kommer ju på plats från den 1 januari nästa år. Då kan vi övergå till en ordning där vi har en myndighet som håller samman det nationella informationssäkerhetsarbetet och tillsammans med övriga berörda myndigheter driver en kontinuerlig utveckling av det arbetet. I dagens säkerhetsskyddslagstiftning finns det få krav på hur myndigheter ska hantera den tekniska säkerheten i sina IT-system. Det finns ett varierande behov av ledningsförmåga och säkerhetsnivåer mellan myndigheterna beroende på den risk och sårbarhet som finns i och med systemen. Regeringen vill därför ge den nya myndigheten rätten att utfärda generella föreskrifter om ledningssystem för informationssäkerhet och möjlighet att ålägga berörda myndigheter att vidta åtgärder för att upprätthålla tillräcklig informationssäkerhet. Det är saker som den tidigare regeringen inte förmådde. Denna så kallade föreskriftsrätt ska avse den generella IT-säkerheten. Respektive myndighet kommer fortsatt att ansvara för att den egna ledningen och de egna säkerhetsnivåerna upprätthålls på bästa sätt. Den nya myndigheten ges alltså ett tydligt men också begränsat mandat gentemot de övriga myndigheterna. Samtidigt svarar regeringen på den kritik som Riksrevisionen presenterat angående myndigheternas bristande IT-säkerhet och som främst återspeglar tolv år med en passiv socialdemokratisk regering. Det är uppenbart att Sveriges IT-beroende har ökat. Förberedelser för störningar måste vara en naturlig del i arbetet för att förebygga kriser och problem. Samtidigt har också hoten mot vår informationssäkerhet förändrats och i vissa delar blivit mer svårhanterliga. Det handlar mer och mer om IT-säkerhet i den generella bilden av vad som kan vara framtidens kriser. De skador som uppstår i våra IT-system handlar inte bara om att någon uppsåtligen försöker skada, som fallet var i Estland. Många gånger handlar det också om andra saker, som slarv eller bristande säkerhetsrutiner. Därför måste det förebyggande arbetet och underrättelsearbetet ges bra förutsättningar. Brister i det ena ledet får direkta konsekvenser för samhällets möjlighet att upprätthålla säkerheten i systemen. Givetvis är det också viktigt att det finns en tydlighet mellan olika myndigheters ansvar på informationssäkerhetsområdet. En given förutsättning är också att alla som hanterar information oavsett om den är i digital form eller i pappersform tar sitt ansvar för informationssäkerheten. Då är en god samverkan grundläggande för att kunna åtgärda brister och upprätthålla säkerhet. Den här regeringen har gjort vad den gamla inte förmådde. En ny myndighet kommer på plats med ett utpekat ansvar. Det blir bättre samordning, mindre av stuprörstänkande och också ett tänk att det krävs en bättre samverkan mellan det offentliga och det privata för att stärka den generella IT-säkerheten.

Herr talman! Det är fascinerande att höra att försvarsministern uppehöll sig i mer än hälften av sitt inlägg vid den socialdemokratiska regeringen och vad den gjorde eller inte. Det är möjligt att det kan framföras en viss kritik och att den socialdemokratiska regeringen hade missat något. Det är inte otänkbart. Men det har inget att göra med varför den nuvarande regeringen inte gör något. Det går bra att förändra i så mycket annat. Man försämrar i a-kassa, sjukförsäkring och Gud vet vad. Då går det bra att agera. Då bryr man sig inte om var den socialdemokratiska regeringen stod. Men så är det inte när vi kommer till en mycket kraftig attack mot ett grannland med helt nya metoder, som klargjorde att vi faktiskt behöver agera här. Det är förvånande när flera av regeringens egna myndigheter kraftigt har talat om vad som behöver göras. Då säger försvarsministern: Vi kommer säkert att göra något i den nya propositionen, som kommer om något år. Tänk på att det är en dag i morgon! Om det här skulle inträffa i morgon, i eftermiddag eller i natt är det långt att vänta till 2009 med att göra något. Försvarsministern tog upp propositionen. Jo, jag har läst den. Jag har den här. Jag hade en debatt med din företrädare Odenberg förra året - jag tror att det var i augusti - och tog upp just denna problematik, även om det var på ett kanske lite annorlunda sätt. Jag tog upp detta med den nya myndigheten och agerandet, att det var lite oklarheter och så vidare. Jag frågade rakt ut: Är Odenberg beredd att göra en bred politisk överenskommelse och översyn av detta, så att vi är överens om det hela, så att det inte ska förändras i och med ett eventuellt regeringsskifte? Han öppnade dörren och sade: Självklart! Det är alltid en fördel om man kan prata ihop sig och ha breda politiska lösningar i sådana här frågor. Det tog jag till intäkt att det skulle bli, men icke! Nu säger försvarsministern att den 1 januari 2009 är det klart och tydligt vad som ska gälla. I inledningen till propositionen skriver ministern: "Den nya myndigheten bör ha en samordnande roll i krisberedskapsarbetet." Man använder ordet "bör". Är det speciellt tydligt? Är det raka besked? "För att stärka styrningen och uppföljningen bör planeringsprocessen förenklas", skriver man. Ordet "bör" återkommer på mängder av ställen. "Sektorsövergripande samordning (.) hos relevanta myndigheter och aktörer i samhället, bör utvecklas." I propositionen skriver regeringen att den nya myndigheten bör hålla samman det nationella och att den bör ha föreskriftsrätt. Jag tror att det står "bör" på sju åtta ställen i sammanfattningen. Och detta kallar ministern för att vi vet vad som ska gälla och att det är ordning och reda! Jag tycker att det låter som att de får göra lite som de vill, och om de inte vill så slipper de. Det är en politisk styrning som säger allt. Som jag sade när jag inledde: Det är så att man ångrar att man ställde den här interpellationen, för den visar bara att vi är försvarslösa om det skulle ske en attack motsvarande den mot Estland.

Herr talman! Jag har varit försvarsminister sedan i september. Propositionen ligger redan på riksdagens bord. Den nya myndigheten börjar arbeta den 1 januari 2009. Socialdemokraterna satt i tolv år och åstadkom ingenting. Jag förstår om interpellanten ångrar sin interpellation. För den blir ganska naken. Den samlade socialdemokratiska politiken för IT-säkerhet ändrar ordet "bör" till något annat. Så motionera om det då! Vi får väl se hur ni väljer att hantera den här propositionen, om ni är för eller emot den nya myndigheten och hur ni kommer att agera när det väl ska tryckas på knappen i riksdagen. Jag har ägnat mig åt att titta på vad det är ni vill. Ni säger att ni vill ha en ny myndighet för IT-säkerhet. Den nya myndigheten vi föreslår har detta övergripande och samordnande ansvar, men s kommer väl att vara emot den, förmodar jag. Samtidigt är det så att det inte räcker med en myndighet, för är det brott det handlar om är det polisen som ska in. Hur har Socialdemokraterna tänkt där? Det är också så att FRA är tänkta att ge tekniskt stöd för detta arbete. Ska ni avlöva FRA? Som sagt var: Socialdemokraterna hade tolv år på sig att göra någonting för att stärka IT-säkerheten men avstod. Man kan konstatera att Internet bevars har funnits i några år, men Socialdemokraterna har inte tagit detta till sig. Tala om vilken säkerhet myndigheterna ska ha! begär man. Den nya myndigheten får föreskriftsrätt. Den får ansvar för att föra dialog om lägstanivåer med privata aktörer. Socialdemokraterna hävdar att man efterlyser förebyggande arbete. Jag säger hävdar, för det blir allt mer oklart ju mer jag hör på interpellanten. Den nya myndigheten för samhällsskydd och beredskap ska ju arbeta just med detta. Det är som sagt var intressant att det inte finns med i Socialdemokraternas perspektiv att IT-säkerhet handlar om mer än det offentliga. Det handlar, precis som det visade sig i Estland, om attacker till exempel mot betalningssystem, mot bankväsen och mot den finansiella sektorn, vilket är privata aktörer. Därför måste man ha med det perspektivet, men det har inte oppositionen. Jag konstaterar att den nya myndigheten får ett sammanhållande ansvar före, under och efter en kris. Vi förtydligar ansvarsprincipen för att få bort det stuprörstänkande som är arvet efter den socialdemokratiska regeringen så att man också ska samverka. Den här regeringen har agerat och redan lagt fram en proposition där vi ser informationssäkerheten som en viktig del av krisberedskapen. Det är sektorsövergripande frågor, varför de sammanfaller väldigt väl med det ansvar och de uppgifter som den nya myndigheten ska ha. Regeringen anser att myndigheten bör överta det ansvar som KBM i dag har på det här området men också vidare förtydliga det. Vi är också tydliga med att den nya myndigheten ska vara kravställare och beställare inom signalskyddsverksamheten. Den mer praktiska signalskyddsverksamheten som KBM bedriver i Sollefteå överförs till FRA. Vi vill se en uppdelning där den nya myndigheten ansvarar för det administrativa IT-säkerhetsarbetet och FRA fortsättningsvis svarar för den operativa verksamheten och den tekniska kompetensen. Vad vill s där? Att ge FRA rollen att göra prioriteringar av samhällets resurser i händelse av kris är inte förenligt med myndighetens övriga uppgifter. Det vore fel att ha en annan ordning bara för att krisen orsakas just av en IT-attack. Man måste ha samma samlade perspektiv och sektorsövergripande agerande oavsett vad krisen består i. Samtidigt konstaterar jag att vi svarar, vilket den gamla regeringen inte ens närmade sig att göra och inte Socialdemokraterna nu heller, på den kritik som Riksrevisionen presenterat angående myndigheters bristande IT-säkerhet, men vi stannar inte där. Vi har också det bredare samhällsperspektivet därför att samhället består av både offentliga och privata aktörer. Jag har läst vad Socialdemokraterna hävdar att de vill. Jag ser att man inte har agerat och att man inte löser problemen, och det är bara att följa en god socialdemokratisk tradition från den gamla regeringen - passivitet men ett högt tonläge.

Herr talman! Jag tror att försvarsministern har gått upp i humör. Det är klart att vi kommer att kritisera när vi tycker att det inte händer något! Det är inget försvar att säga att den socialdemokratiska regeringen inte heller gjorde någonting. IT-attacken motsvarande den i Estland inträffade 2007 under alliansregeringens tid. Erfarenheterna från det är att det behövs en enda myndighet som håller ihop samordningen och har ansvaret fullt ut. Försvarsministern tycker att det blir tydligt och klart med den nya propositionen. Den nya myndigheten bör ha en samordnande roll i krisberedskapen. Det är tydligt, ska jag säga! Man blir nästan lite skraj. "Bör"! Det betyder att de kanske inte gör något, eller så kanske de gör något. Nu litar jag på den nya myndigheten, för den har vi ingenting emot. Vi har en del andra justeringar, och det återkommer vi till när vi ska lägga fram vår motion för behandlingen. Men vi tänker varken avlöva FRA eller något annat, utan vi har bara sagt att vi vill ha en tydlighet. Att försvarsministern nu har varit i tjänst en relativt kort period får vi acceptera, men den borgerliga regeringen har ett kollektivt ansvar för dessa frågor och har inte agerat. Skulle det hända någonting de närmaste dagarna, till exempel en IT-attack liknande den i Estland, står regeringen med brallorna nere. Det är beklagligt!

Herr talman! Det känns som en väldigt tung kritik att bära, måste jag säga. Mats Berglind tycker att ordet "bör" finns på för många ställen - väldigt tungt. I själva verket har regeringen gjort två centrala saker för att stärka Sveriges krishanteringsförmåga till skillnad från den tidigare regeringen som inte förmådde göra detta. Vi har inrättat en ny krishanteringsfunktion i Regeringskansliet för att stärka Regeringskansliets centrala arbete med att hantera kriser, till exempel få snabba beslut på plats och följa utvecklingen i världen. Vi har lagt fram förslag som finns i riksdagen för behandling om en ny krismyndighet där vi redovisar hur det nya krishanteringssystemet ska se ut. Mats Berglind säger då att detta tar för lång tid. Men vad ska vi göra? Ska vi skippa riksdagshanteringen? Det här är en så snabb hantering som över huvud taget går att få på plats; propositionen finns här för hantering, och den nya myndigheten träder i funktion den 1 januari 2009. Det går inte att göra det snabbare än vad regeringen har gjort! Den gamla regeringen hade tolv år på sig och åstadkom inget av detta. Jag har varit på den här positionen sedan i september, och nu är båda sakerna på plats där vi adresserar problemen. Jag har pratat många gånger med min estniske kollega om deras erfarenheter och deras slutsatser om vad som drabbade dem, och det är helt klart, om vi slutar debatten i någon form av samsyn, att detta är ett område där vi behöver göra mer. Det har varit alldeles för öppna dörrar tidigare. Det gäller inte bara den offentliga verksamheten utan också den privata, och det gäller samverkan dem emellan. Jag menar att vi har lagt fram förslag, bland annat nu på riksdagens bord, som adresserar ett antal av de svaga sektorer som vi tidigare sett har funnits. Det handlar till exempel om att vi har haft för mycket stuprörstänkande mellan olika aktörer där man inte har samverkat tillräckligt väl, och då har det blivit glapp emellan. Vi förändrar ansvarsprincipen så att den även innehåller ett ansvar att samverka med andra - allt detta för att skapa en bättre krishanteringsförmåga och en bättre IT-säkerhet.