Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen

Herr talman! Riksrevisionen har granskat elva svenska myndigheter under en följd av år och kommit fram till att arbetet med informationssäkerhet inte är ändamålsenligt.

Den tekniska utvecklingen har gjort att det blivit allt svårare för alla att tillräckligt kunna skydda känslig information från intrång från tredje part. Man måste tyvärr förutsätta att exempelvis kapaciteten för intrång från andra länders hemliga tjänster kommer att öka alltmer.

Men det behöver inte stanna där. Även brottslingar, ekonomiska aktörer eller anarkistiskt sinnade hackare kan utsätta informationssystemen för intrång, för att inte tala om det informationsläckage som kan uppstå som en följd av den mänskliga faktorn. Följderna av sådana intrång kan bli skadliga för såväl samhället i stort som olika grupper av enskilda.

Det kanske är lättast att föreställa sig vilka risker hela samhället utsätts för om information kopplad till rikets säkerhet hamnar i händerna på främmande makt som en följd av informationsläckage, men också det lidande som enskilda kan utsättas för om exempelvis patientjournaler hamnar på vift genom oaktsamt agerande. Ett mer konkret exempel är den hackare som lyckades ta sig in i styrsystemet för fjärrvärme till de kommunala hyreslägenheterna i Motala och stänga av värmen till dem.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen

Detta är något som vi måste ta höjd för, men granskningen visar tyvärr att svenska myndigheter inte klarar av det. Hela 38 procent av svenska myndigheter anser att de egna resurserna och det egna kunnandet inte är tillräckligt för att kunna sköta informationssäkerhetsarbetet.

Nästan ännu mer skrämmande är att det inte existerar någon samlad bild hos regeringen rörande vilka åtgärder som alls är möjliga att vidta eller vilka behov som finns i händelse av ett större samordnat informationsläckage. Vi vet inte hur starkt skyddet är, vilka händelser som har ägt rum eller hur hoten har utvecklats. Vi famlar i praktiken i mörkret.

Riksrevisionen riktade svidande kritik på informationssäkerhetsområdet redan år 2007. När man i dag, nästan ett årtionde senare, gör en förnyad granskning konstaterar man att det i grund och botten inte har hänt någonting på området. De brister som påpekas i föreliggande rapport är i grund och botten desamma som togs fram i ljuset 2007.

Det här är något som gäller regeringar från de båda blocken. Den förra, borgerliga regeringen vidtog av allt att döma få åtgärder för att möta den kritik som Riksrevisionen framförde. Den sittande vänsterregeringen pekar nu på skapandet av ett inrikesdepartement som en institutionellt viktig åtgärd för att samla it-säkerheten på färre händer.

Vi anser att det blir alltmer uppenbart att det kommer att krävas kraftfulla och genomtänkta åtgärder för att höja säkerheten i våra myndigheters it-system.

I dag tar MSB fram handböcker, och FRA gör enstaka besök ute bland myndigheterna. Det är till fördel för it-säkerheten, men det räcker inte ända fram. Vi anser att det krävs ett övergripande it-säkerhetssystem och en gemensam strategi. Det är även dyrt för varje myndighet att ha egna it-säkerhetskonsulter.

MSB har ett kontinuerligt uppdrag att rapportera till regeringen. Men vi har i dag tillräckligt med utredningar för att iståndsätta ett gemensamt säkerhetssystem.

Vi anser sammanfattningsvis att en handlingsplan ska tas fram med en myndighetsgemensam och övergripande strategi för it-säkerhet, där Riksrevisionens rekommendationer ska beaktas, och att anställda vid myndigheterna ska placeras med civilplikt för att vid en kris kunna handha it-säkerheten. Detta bör ges regeringen till känna.

Herr talman! Jag yrkar bifall till reservationen.

Herr talman! Inte minst gårdagskvällens och nattens händelse understryker allvaret i det ämne som vi nu debatterar i kammaren. Under ett antal timmar var sannolikt miljontals svenska bankkunder utan de funktioner som normalt finns i kreditkort, betalkort, bank på telefon och appen Swish. Tanken hisnar, herr talman, när man funderar på vad som skulle hända vid ett ännu bredare sammanbrott i det svenska betalningssystemet, att människor inte längre skulle kunna handla vare sig tjänster eller varor - inte ens en gång kunna köpa en glass på Skeppsbron - då många numera inte bär kontanter med sig.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen

Det är svidande kritik - på den punkten har Mikael Jansson helt rätt - som Riksrevisionen riktar mot tillståndet i informationssäkerheten inom den civila statsförvaltningen. Det handlar om att det finns brister i tillsynen och att många verksamheter inte blir föremål för detta. Det handlar om brister i att efterleva de påpekanden som delas ut när tillsyn sker. Det handlar om så basala saker som att det saknas en fungerande incidentrapportering när det gäller informationssäkerheten.

Sammantaget är bristerna så stora, konkluderar Riksrevisionen, att det inte ens är möjligt att bedöma tillståndet för informationssäkerheten i våra civila, statliga myndigheter.

Mot bakgrund av den allvarliga kritiken, herr talman, har försvarsutskottet inom ramen för beredningen av ärendet kallat till sig inrikesministerns ansvariga statssekreterare och frågat vad regeringen avser att göra åt detta. Vi har då fått veta att regeringen tar rapporten på mycket stort allvar. Jag tror inte att statssekreteraren lämnade någon i utskottet i tvivelsmål om detta.

Vi fick samtidigt veta - vilket vi väl i och för sig visste innan - att den ansvariga myndigheten MSB precis hade flyttat från Försvarsdepartementet till inrikesministerns ansvarsområde. Därtill gavs också information om att ett nytt EU-direktiv är på gång och att - just som vi talar här i kammaren - en informationssäkerhetsutredning är på remiss. Regeringen avser att återkomma till riksdagen med lagförslag beträffande det betänkande som den utredningen har lämnat ifrån sig.

Sammanfattningsvis, herr talman, känns det inte riktigt som om det är läge för riksdagen att nu kliva in och säga: Nu ska vi göra det här och beställa detta. Givet allt som för närvarande händer på både nationell och mellanstatlig nivå och givet det engagemang som regeringen nu visar i de här frågorna finns det skäl för riksdagen att hellre avvakta. Men vi kommer naturligtvis att vara noggranna med att följa upp de allvarliga punkter som har framkommit i Riksrevisionens rapport.

I sin reservation föreslår Sverigedemokraterna att civilpliktiga ska användas för att förbättra Sveriges beredskap när det gäller informationssäkerheten. Jag tror att plikten har en plats inom ramen för det svenska totalförsvaret. Men jag tycker att det är bättre att man prövar en frivillig väg innan man går till att tvinga människor in på sådana befattningar. Det tror jag, herr talman, gäller i allra högsta grad när vi pratar om civila personalkategorier som är specialiserade på detta område.

Med detta sagt, herr talman, yrkar jag bifall till utskottets förslag.

Herr talman! Den här debatten handlar om Riksrevisionens rapport om informationssäkerheten i den civila statsförvaltningen. Det är en granskning som sträcker sig över tidsperioden 2007-2014. Jag vill verkligen uppmana alla som följer denna debatt att också läsa rapporten. Som tidigare har nämnts är det en svidande vidräkning. Det som är särskilt graverande är att den förra regeringen, trots kännedom om stora brister på it-säkerhetsområdet, inte vidtog de åtgärder som man kan förvänta sig för att skaffa sig en mer samlad lägesbild.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen

I rapporten finns förskräckande siffror, som att fyra av tio myndigheter bedömer att de saknar resurser och kompetens för att bedriva ett bra it-säkerhetsarbete, liksom att två tredjedelar av myndigheterna saknar en planering för hur de ska hantera stora avbrott i sina datasystem.

Riksrevisionens övergripande slutsats är stenhård. Man skriver att granskningen har visat på omfattande brister. Varför är då detta allvarligt? Jo, det är delvis som Widman var inne på: Vi har alldeles nyligen, i går, haft en allvarlig incident som visar att vi som samhälle har flyttat ut allt större delar av våra liv till den digitala miljön. När det gäller våra myndigheter är en stor del av den information som skapas och lagras både viktig och känslig. Går informationen förlorad eller blir stulen, manipulerad och spridd till obehöriga kan det få allvarliga konsekvenser.

Det som gör detta så besvärande är att Riksrevisionen redan 2007 presenterade en liknande granskning av it-säkerheten. Redan då konstaterades det att det saknades en tillfredsställande kontroll och att åtgärder inte hade vidtagits för att förbättra arbetet inom området. Därtill har frågan om it-säkerhet uppmärksammats i medierna allt oftare under senare år. Då har Riksrevisionens granskning handlat om just säkerhetsbrister.

Man kan alltså inte ursäkta sig med att man inte visste hur illa det var ställt på det här området. Tecknen fanns där, för den som ville se.

Riksrevisionen anser också att bristerna nu är så omfattande att det inte ens går att ställa samman en gemensam bild av statsförvaltningens samlade förmåga att hantera och motstå it-relaterade kriser. När FRA har utfört så kallade penetrationstester vid enskilda myndigheter har man lyckats komma in i systemen alldeles för enkelt.

Det låter kanske inte så allvarligt, men det är det. Det är fullt allvar. Det är därför den nya regeringen, sedan den tillträdde, har vidtagit ett antal åtgärder för att försöka ta ett mer samlat grepp om frågorna. Det faktum att vi åter har funktionen inrikesminister, med ett samlat ansvar för allmän ordning, säkerhet och krisberedskap, ger i sig bättre förutsättningar för en bättre helhetssyn. Myndigheter med särskilt ansvar för krisberedskap och höjd beredskap ska uppdras att redovisa sitt arbete med informationssäkerhet. Redan i höstas aviserade Justitiedepartementet att man ska införa krav på obligatorisk incidentrapportering.

Herr talman! Under senare år har det förts en intensiv och delvis smärtsam debatt om bristerna inom vårt militära försvar. Jag tycker att vi har all anledning att på motsvarande sätt höja på ögonbrynen när vi läser slutsatserna i Riksrevisionens granskning, för detta är hot som vi står inför dagligen, hot om att samhällets kritiska infrastruktur ska attackeras och slås ut, att personuppgifter ska hamna i fel händer. Det är egentligen bara fantasin som sätter gränserna för vad illasinnade grupper kan tänka sig att försöka genomföra.

Det duger förstås inte. Ett kvalificerat it-land som Sverige måste kunna prestera mycket bättre.

Herr talman! Kalle Olsson är en företrädare för det som brukar kallas samarbetsregeringen. Jag kunde ha använt delar av mitt anförande till att beskriva hur det förhöll sig med krisberedskapen under mandatperioden före alliansregeringen, till exempel på området naturkatastrofer som inträffar internationellt. Men jag gjorde inte det, för jag tycker att det är viktigt att vi i utskottet försöker hitta en bred och konstruktiv enighet i de här frågorna, herr talman, inte minst mot bakgrund av att vi har en speciell företeelse här i landet som gör att vår krisberedskap sätts på särskilda prov. Det handlar om den så kallade ansvarsprincipen och den i regeringsformen stadfästa, långtgående självständighet som våra statliga myndigheter har.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen

Det är väldigt lätt att stå i riksdagens talarstol och säga: Nu ska vi göra detta. Nu ska alla myndigheter ha en incidentrapportering som fungerar generellt och som kan samordnas, sammanställas och utvärderas. Men faktum är att det är förenat med stora utmaningar att framtvinga sådana tvärsektoriella system för krisberedskapen.

Herr talman! Jag begärde egentligen replik för att påminna Kalle Olsson om att både alliansregeringar och rödgröna regeringar slåss på samma villkor här. Jag tror att det är viktigt att man möter de villkoren med ett stort mått av ödmjukhet.

Herr talman! Det är viktigt att vi har en sådan här debatt. Vi är folkvalda politiker som man ska kunna utkräva ansvar av. Det här är ett sätt att redovisa hur arbetet bedrivits. Allan Widman har rätt i så måtto att den regering som var före den borgerliga regeringen inte heller vidtog tillräckliga åtgärder. Det var det man kunde redovisa i granskningen 2007, så ansvaret delas naturligtvis av flera.

Den förra regeringen tog ett antal lovvärda initiativ. Man tillsatte utredningar och gav uppdrag till FRA om att till exempel titta på säkrare kryptolösningar - jättebra. Det jag kan tycka är att man borde ha kommit lite längre på åtta år.

Herr talman! Det är naturligtvis Kalle Olssons uppgift att tycka just på det sättet. Som Kalle Olsson själv nämner finns det ingen anledning för vare sig den ena eller den andra regeringen att slå sig för bröstet i de här frågorna. Det var det som var själva poängen med min replik.

Vi kommer naturligtvis från utskottets sida att noggrant följa den sittande regeringens arbete med de här frågorna. Om den utredning som nu är på remiss inte leder fram till handfasta åtgärder för att förbättra informationssäkerheten i den civila statsförvaltningen kan jag förvissa Kalle Olsson om att försvarsutskottet inte kommer att tveka att agera nästa år.

Herr talman! Som jag nämnde i mitt huvudanförande har den nya regeringen redan aviserat ett antal åtgärder. Redan i höstas lyfte man fram den till synes självklara frågan om att ha en incidentrapportering. Samtidigt ska vi, som tidigare nämndes, vara kraftfulla men också smarta i de åtgärder vi föreslår. Olika myndigheter har olika behov. Det är lätt att rusa iväg, men vi menar att analysen måste vara mer genomgripande än så.

Jag är helt säker på att regeringen kommer att plocka upp de förslag som nu läggs fram. Man kommer att analysera dem noga och sedan återkomma till riksdagen.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen

Herr talman! När jag en gång för länge sedan engagerade mig i politiken, närmare bestämt för 51 år sedan, pågick kalla kriget. Det som engagerade mig då var försvars- och säkerhetspolitik. Engagemanget har fortsatt. Det kanske är därför jag står här just nu.

Under den fortsatta levnadsbanan arbetade jag på UD. Då fanns det inga datorer, vilket på sitt sätt var bra. Men det pågick ett signalkrig. När vi satt på ambassaderna var den så kallade ryska hackspetten välkänd, nämligen en störningssändare som gick in för att sabotera kontakterna mellan ambassaderna och Stockholm. Det är alltså inget nytt vi diskuterar. Det är bara det att det har blivit så mycket allvarligare.

Det handlar egentligen om att skydda oss från kränkningar. Vi är bra på att undvika kränkningar på territoriet och i luften och kanske även under och ovanpå vattenytan. Detta är något som diskuteras. Men vi är definitivt dåliga på kränkningar i cyberrymden, och det är det som Riksrevisionens rapport visar. Det är möjligt att stanna inne i våra system och tömma dem på innehåll, att ligga där och vänta och att sabotera i ett skymningsläge. Det är ingen mening med att jag räknar upp allt hemskt som kan inträffa. Det gjorde kollegorna i försvarsutskottet Mikael Jansson, Allan Widman och Kalle Olsson på ett så förträffligt sätt att jag kan vända blad och bara instämma i allt som sas.

Sammanfattningsvis kan man säga att vad Riksrevisionen pekar på helt enkelt är en bristande medvetenhet hos ledningarna i många verk och myndigheter, kanske hos allmänheten i stort och möjligen till och med hos oss här i kammaren. Den bristande medvetenheten handlar om en kompetensbrist. Och om man inte har kompetens kanske man inte ens vet vad det är man hotas av. Detta tycker jag är grundläggande. Det är fråga om brister i tillsyn och styrning.

Riksrevisionens rapport visar att man vill att regeringen på något sätt ska se till att det blir en ökad tillsyn över den centrala förvaltningen. De föreslår också att man ska skapa en funktion i Regeringskansliet. Jag vet att det är svårt att skapa funktioner som griper över mycket i Regeringskansliet och känner stor ödmjukhet inför det. Jag bara framför vad Riksrevisionen sa. Sedan förstår jag också att det är svårt. Jag föreslår inte för egen del att det där ska levereras snabbt, och det gör inte heller utskottet.

Man är bekymrad över att tillsynsmyndigheten MSB inte riktigt får ihop gemensamma lägesbilder av hur allvarligt det är. Det är naturligtvis bara för oss i alla utskottets partier att stötta MSB i detta. Om vi inte har kunskap lär vi heller inte kunna komma med åtgärder. Man tar också upp att Säpo och FRA borde göra aggregerade rapporter till Regeringskansliet och till MSB i dess stöd med de gemensamma lägesrapporterna.

En mycket känd sanning i säkerhetspolitiken är att motståndaren alltid slår till där man är som svagast. Jag tror att vi har hamnat i den situationen att vi är svagast mot de hot som kommer i en cyberattack. Det kan röra sig om säkerhetspolitiska hot i ett skymningsläge, om att skapa oro, osäkerhet och misshälligheter i vårt eget samhälle. Det kan hända att vi inte kan hantera organiserad brottslighet. Vad som hände i natt vet vi inte. Vem var det som var inne och tittade efter? Kanske var det någon som bara ville skicka en signal. Kanske var det någon som plockade till sig information som går att använda längre fram.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen

Företagsspionaget är legio, det vet vi. Där har naturligtvis företagen själva ett ansvar, men de har också rätt att få hjälp av myndigheterna i att skydda sina affärsintressen och industrihemligheter.

Någonting vi ska ta på stort allvar är vår infrastrukturs robusthet. Tågen, flyget, elenergin, betalsystemen och allt detta är så lätt att sabotera eller åtminstone fördröja vid en cyberattack.

Inrikes- och justitieministrarna har vidtagit åtgärder. Det gäller för oss att stötta dem i dessa åtgärder, så att de fortsätter på den inslagna vägen. Men det måste ske mer. De måste göra mer. Jag kommer att noga följa deras arbete på detta område de kommande tre åren.

Herr talman! Riksrevisionen har under 2014 granskat arbetet med informationssäkerhet i den civila statsförvaltningen. Slutsatsen är att arbetet inte varit ändamålsenligt sett till de hot och risker som finns. Detta är verkligen en underdrift, för det ryms allvarlig kritik i Riksrevisionens granskning.

Flera områden har identifierats där den civila statsförvaltningens arbete med informationssäkerhet kan utvecklas. Regeringen instämmer i huvudsak i Riksrevisionens slutsats. Till följd av detta har stora förändringar redan genomförts, vilket vi från Miljöpartiet välkomnar.

Herr talman! Ansvaret för informationssäkerhet och samordning av samhällets krisberedskap, inklusive civilt försvar, och andra centrala funktioner för den civila krishanteringen i samhället har samlats under inrikesministern i Justitiedepartementet. Regeringen har genom förändringarna skapat förutsättningar för en mer sammanhållen styrning av informationssäkerhetsfrågorna.

Regeringen kommer inom kort att ta emot förslag från Utredningen om säkerhetsskyddslagen om hur denna reglering bör reformeras. Utifrån detta kommer man att vidta flera åtgärder i syfte att förbättra samhällets beredskap och robusthet mot allvarliga it-incidenter.

Därtill ska myndigheter med särskilt ansvar för krisberedskap och höjd beredskap redovisa sitt arbete med informationssäkerhet. MSB ska genomföra en undersökning av hur kommunerna arbetar med dessa frågor, och arbetet med nationellt detekterings- och varningssystem kommer att intensifieras.

Det är glädjande att regeringen också avser att tillsätta en utredning om hur NIS-direktivet ska genomföras i svensk rätt. Parallellt med detta pågår ett arbete med att skapa förutsättningar för ett nationellt system för incidentrapportering. Sammantaget bedömer jag att regeringen tar ansvar för att lösa dessa utmaningar även om det finns arbete som kvarstår.

Mot bakgrund av detta yrkar jag bifall till utskottets förslag till beslut.

Herr talman! Det här är nästan en extrem utmaning. Vi har ett ämne som kanske inte låter som det mest upphetsande man kan tänka sig, informationssäkerheten i den civila statsförvaltningen. Jag skulle tro att ett tv-program med den titeln skulle locka ganska få tittare.

Det är inte nog med det. Jag står här som sjätte talare, tror jag, och riskerar naturligtvis att i princip upprepa det som alla har sagt. Vi verkar nämligen vara extremt eniga vad gäller de här frågorna. Men det är som det är. Man får gilla läget, som det heter i en del kretsar.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen

Precis som Jakop Dalunde sa är Riksrevisionens samlade slutsats när det gäller informationssäkerheten att arbetet inte är ändamålsenligt sett till de hot och risker som finns. Det är en ganska mild formulering. Men det allvarliga är, som flera har påpekat, att regelsystemet för informationssäkerhet i huvudsak ser likadant ut i dag som det gjorde 2007 när Riksrevisionen senast granskade området. De brister som då påpekades kvarstår i dag, vilket innebär brister i regeringens styrning. Det är egentligen det väldigt allvarliga i sammanhanget.

Riksrevisionen noterar brister vad gäller kompetens, upphandling, tillsyn, uppföljning, återrapportering, styrning, reglering och samordning. Bedömningen är att en stor andel myndigheter inte har centrala delar av ett systematiskt informationssäkerhetsarbete på plats. Man konstaterar också att regeringen inte har någon samlad lägesbild som inkluderar hot. Det har inte heller regeringens tillsynsmyndigheter FRA, PTS och MSB.

Det här är väldigt stora och omfattande brister. Man kan inte ens upprätta en gemensam bild av hur läget faktiskt är. Man gjorde alltså en liknande granskning 2007, men bristerna har inte åtgärdats i, som det står, tillfredsställande omfattning. Jag tror nog att man utan att ta i för mycket kan uttrycka det mer brutalt: De har inte alls åtgärdats. Det är både anmärkningsvärt och skrämmande. Det är ju inte så att hoten har börjat klinga av och att det inte längre är så farligt som det var 2007. Det är inte så att angreppen har blivit trubbigare på senare år - tvärtom.

Det som inte var gjort 2007 var illa utifrån den tidens hotbild. Men om inget i princip har gjorts år 2015 är det en underlåtenhetssynd som i likhet med en del andra synder kanske borde föranleda något slags politisk skärseld. Det är definitivt inte så att samhället i dag i mindre utsträckning använder it i sina olika processer och system. Vi har alltså en triad här: I princip har inget gjorts sedan 2007. Hoten är allt svårare. Känsligheten är allt större.

Vad kan då hända, herr talman? Det blir lätt väldigt abstrakt. Informationssäkerheten i den civila statsförvaltningen - vad betyder det? Jag kan ta ett konkret exempel från 2010. Då upptäcktes det värsta dataviruset någonsin; det fick namnet Stuxnet. Viruset var en mask, det vill säga det spred sig självt utan hjälp av oförsiktiga användare. Viruset utgjorde enligt bedömare en riktad attack mot styrsystemet i en iransk kärnkraftsanläggning, och avsändare tros allmänt ha varit USA och Israel.

Vad händer om någonting sådant riktas mot den svenska elförsörjningen? Penningströmmarna har Allan Widman och andra varit inne på. Jag tänker på en till synes så banal sak som Försäkringskassans utbetalningar. Hur skulle inte detta drabba samhället?

Angreppen mot industriella informations- och styrsystem underlättas mycket av att allting är alltmer uppkopplat mot internet. Sådana här system används som sagt för att styra eldistribution, vattenförsörjning, trafikljus, sjukhusutrustning, fjärrvärmeanläggningar, som nämndes, elmätare och så vidare. När man tänker på att vår elförsörjning skulle slås ut tror jag att man ofta ser framför sig bombplan över kärnkraftverk och liknande. Det är nästan ännu kusligare att tänka sig att det kan sitta någon framför ett tangentbord var som helst i världen och åstadkomma samma effekt.

Det finns andra exempel på ekonomisk brottslighet som slår hårt. Det finns ett exempel med svensk anknytning, där förövarna stal 300 miljoner från privatpersoner genom att hacka sig in i it-systemet hos ett indiskt kreditkortsföretag. Även it-företaget Logica har varit med om det. Man lyckades komma in där och hitta en massa sekretessbelagda uppgifter från kronofogden, Skatteverket och polisen. Det är väl belagt. Det finns kinesiska hackargrupper som slår mot företag och så vidare. Det här är lite utanför den civila statsförvaltningen, men det drabbar Sverige.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen

Det här är inte science fiction. Detta händer hela tiden. Det pågår medan vi pratar här. Det är inte bara väldigt allvarligt för samhället och dess funktioner. Det är allvarligt inte minst för individen. Personuppgifter som innehåller integritetskänslig information kommer på drift. Det kan vara patientjournaler, brottsutredningar eller kanske rent av underrättelseverksamhet.

Nå, vi är väldigt överens om det här. Riksrevisionen lämnar en rad rekommendationer. Jag tycker i och för sig att det finns en viss diskrepans mellan å ena sidan Riksrevisionens slutsatser vad gäller de brister som man påpekat och å andra sidan regeringens svar. Det är allvarligt i sig. Det finns väldigt mycket mer att göra på området än organisatoriska förändringar. Först måste man få lägesbilden, så att man vet: Vilka är utgångs- och ingångsvärdena här?

Men den här regeringen har verkat under en väldigt kort tid. Man har tagit tag i frågan organisatoriskt men också i regleringsbrev och annat. Det finns skäl att avvakta, som Allan Widman var inne på, Informationssäkerhetsutredningen, NIS-direktivets implementering och så vidare. Därför har Vänsterpartiet, trots den förra regeringens passivitet på området, valt att för tillfället, av nämnda skäl, avvakta med både kritik och förslag. Men den här frågan måste vi alla följa noggrant. Jag räknar med att man ganska skyndsamt efter behandlingen av utredningen och NIS-direktivet kommer med ännu mer skarpa förslag på hur vi faktiskt ska göra.

Det finns några exempel på mer drastiska åtgärder. Ett är ett sanktionssystem i fråga om de myndigheter som inte arbetar seriöst med den här frågan. Ett annat kan vara ännu mer drastiskt, att en viss andel av myndighetens anslag ska användas till detta ändamål. Ungefär på samma sätt som att man inte kan välja bort brandförsäkring skulle man vara tvungen att satsa på informationssäkerhet. En nationellt sammanhållen risk- och sårbarhetsanalys för samtliga myndigheter, där detta är en självklar del, är ett annat förslag.

Vi har all anledning att följa frågan och därest ingenting sker kanske förfölja regeringen, men det hoppas jag att vi ska slippa.

Herr talman! I dag diskuterar vi Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen. Detta har Riksrevisionen hållit på med under en längre tid. Man började 2007 och har hållit på fram till nu. Som flera talare har påpekat är det en stark kritik som man för fram. Det finns en rad områden där det inte fungerar, där vi har för dålig beredskap och där vi kan drabbas.

Som också har sagts hände något senast i går. En av våra storbanker hade stora problem, och tiotusentals privatpersoner kunde inte göra de bankärenden de ville göra.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen

Det är inte det enda tillfället. Vi har varit med om det ena tillbudet efter det andra där Telias tjänster har blivit utslagna och man inte har kunnat komma ut på nätet. Listan kan göras lång av viktiga samhällsfunktioner som har utsatts på detta sätt. Det visar hur viktigt det är att vi diskuterar det och att vi följer upp det.

I försvarsutskottet diskuterar vi oftast militära hot. Vi ser att det finns alltmer hot och mörka moln på himlen och att vi måste stärka vårt försvar. Men detta är också en del av vårt försvar som vi måste se över.

Herr talman! Jag kan nämna att jag var en av representanterna från riksdagen på en konferens i Hanoi för två månader sedan, där herr talmannen var delegationsledare. Det var deltagare från 132 länder som diskuterade bland annat informationssäkerhet och cyberhot som är ett hot mot global säkerhet. Detta är en typ av terrorism som inte bara länder kan utföra utan också enskilda grupper.

På denna konferens slogs jag av att detta är problem som vi delar med många andra länder. Det känns inte som om vi är sämst i klassen. Av denna rapport, för att återgå till den, framgår att vi har mycket mer att göra. Därför är det viktigt att regeringen tar till sig detta. Det har man sagt att man gör genom en hel rad olika arbeten som pågår. Detta måste följas upp.

Det som jag har slagits av, både i Hanoi och här, är att det finns en brist på medvetenhet om de hot som finns. Trots att vi borde känna till det tror vi inte att det ska drabba vår organisation.

Det pågår ett arbete. FRA väljer ut några statliga organisationer per år som man gör rejäla tester på - stresstester. Man går igenom hur lätt det är att ta sig in. Sedan får den myndigheten en rapport. För att förenkla bilden är det ungefär som när vi besiktar bilen. Då får vi en rapport om bristerna. Är det alltför många brister måste bilen besiktas om.

Herr talman! Jag tror att vi på motsvarande sätt framöver måste ha regelbundna tester av viktiga samhällsfunktioner. Vi har nu talat om bankerna. Det gäller också flyget, kommunikationerna och elen, alltså de centrala funktioner som vi inte skulle klara oss en dag utan. Hela vårt samhälle skulle kollapsa utan dem. Det arbete som nu ska göras är bra, där regeringen säger att man ska samla detta i Regeringskansliet.

Kristdemokraterna har fört fram att det i förlängningen borde vara en central myndighet som får det ansvaret. Någonting som påpekas i denna rapport är nämligen att ett problem är att det är så många olika aktörer som har delansvar. Vi vet att ett problem med att många har ett delansvar är att det är svårt att peka ut vem som har ansvaret. Det vet vi i försvarssammanhang, och det vet vi också från krisen som vi hade i Västmanland. Det var då problem med ledningsfunktionen. Detta tror jag är en viktig del i förbättringsarbetet. Jag hoppas att regeringen kan gå vidare med det. Nu tar man ett viktigt steg och lägger funktionen i Regeringskansliet, och det är bra. Men det måste kanske tillskapas en speciell myndighet, alltså en myndighet, som har detta ansvar.

En annan sak som förs fram från Riksrevisionen är att det finns brister när det gäller att berätta som det är, alltså att incidenter inte anmäls. Vi behöver inte vara särskilt insatta för att förstå att det är ett jätteproblem.

Man tycker att det är lite pinsamt, tänker att det inte var så farligt, man håller det för sig själv och tror att det kan skada anseendet om man berättar. Då har vi ett problem. Om man inte rapporterar, hur ska vi då kunna rätta till olika saker? Detta är någonting som måste förbättras.

STYLEREF Kantrubrik \* MERGEFORMAT Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen

Det som gör att vi från utskottet väljer att inte vidta några fler åtgärder nu utan följa frågan är att regeringen har lovat att arbeta med detta och ta till sig kritiken. Regeringen delar i mångt och mycket kritiken och har lovat att ta den på allvar.

Det pågår en remissomgång av en utredning, och det är ett EU-direktiv på gång. Det handlar om olika typer av åtgärder som vi tror kan fungera. Men det är viktigt för oss i utskottet att fortsätta att följa denna fråga. Jag tror att allt fler av samhällets medborgare inser faran och kräver att vi ska följa upp detta, så att vi har en informationssäkerhet värd namnet.

Med dessa ord yrkar jag bifall till utskottets förslag i betänkandet i dess helhet.

Herr talman! Jag kommer sist och ska försöka undvika att repetera vad andra har sagt. Men jag har några saker som jag kan trycka på i detta sammanhang, förutom att yrka bifall till Sverigedemokraternas reservation i betänkandet.

Man talar om riskanalys, och det saknas en riskanalys. Enligt denna skrivelse från Riksrevisionen saknar 42 procent av myndigheterna regler för riskanalys och förståelse för vad en riskanalys är. Detta är saker och ting som man skulle kunna åtgärda ganska raskt.

En annan sak som jag vill trycka på är MSB:s roll. De har ett samordningsansvar. Tar de det? Enligt min uppfattning kan de i alla fall göra det bättre. Om man inte tar de roller som man redan har fått och de uppgifter som man har tilldelats är det mycket svårt att i slutändan få någon verkan. De direktiv som den förra regeringen har gett och som går att läsa följs inte av myndigheten. Det är en allvarlig slutsats.

En annan sak handlar om de sabotage som samhället utsätts för. Men det finns också andra delar. Jag kan som exempel ta 2011 då apoteken i stor omfattning slogs ut. Det berodde helt enkelt på internetleverantören som fick tekniska problem. Apoteken kunde inte lämna ut receptbelagda läkemedel. Det finns alltså även en sådan sårbarhet. Allt handlar inte om sabotage.

I dag har vi fem olika lagstiftningar som styr detta. Det är nästan som att det byggs in möjligheter för att det ska gå tokigt. Det borde rättas till. Vi har föreslagit att det ska tas fram en handlingsplan. Man kan börja med att ta de roller som är utdelade och samordningsansvaret. Oavsett vad EU eller den nya myndigheten kommer fram till måste man förstå innebörden av de roller som man har fått tilldelade. Man måste förstå vad det innebär att göra en risk- och sårbarhetsanalys.

Oavsett vilka myndigheter som skapas och oavsett vad som görs, kommer man säkert inte att lösa detta om man inte förstår innebörden i de uppgifter som man har fått.

Civilplikt har vi haft tidigare, som ni känner till. Man hade en krigsplacering. Det fanns på bensinmackar och överallt på den tiden. Vi tycker att det är en bra idé att gå tillbaka till någon form av ansvar: Du är ansvarig om något händer. Du ska lösa den här uppgiften.

Överläggningen var härmed avslutad.

Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen

(Beslut fattades under § 14.)