om ADB-sårbarhet och ADB-säkerhet

Försvarsutskottets betänkande
1987/88:1

om ADB-sårbarhet och ADB-säkerhet

Sammanfattning

I betänkandet behandlas tre motioner som tar upp olika synpunkter och
förslag med anknytning till frågor om ADB-sårbarhet och ADB-säkerhet.
Utskottet föreslår med anledning av motionsyrkanden rörande organisationen
för handläggning av ADB-sårbarhetsfrågorna att riksdagen som sin
mening ger regeringen till känna vad utskottet har anfört om vidgade
uppgifter på ADB-säkerhetsområdet för överstyrelsen för civil beredskap
(ÖCB). I övrigt föreslår utskottet att motionerna avslås av riksdagen.

Motionerna

1986/87:Fö403 av Bengt Westerberg m.fl. (fp) vari - med hänvisning till
motion 1986/87: K410 - yrkas

1. att riksdagen hos regeringen begär ett skyndsamt förslag om en
sammanhållen och effektiv organisation för sårbarhetsfrågorna,

2. att riksdagen hos regeringen begär förslag om undanförsel och
förstöring av ADB-uppgifter i kris- och krigssituationer.

1986/87:Fö408 av Anders Björck m.fl. (m) vari - med hänvisning till motion
1986/87 :K431 - yrkas

1. att riksdagen hos regeringen begär förslag till riktlinjer för undanförande
av dataregister vid krigsfara i enlighet med vad som i motionen anförs,

2. att riksdagen som sin mening ger regeringen till känna vad som i
motionen anförs angående kravet på sårbarhetsanalys i samband med statliga
utredningar samt i förordningen om investeringar i statliga ADB-register
(SFS 1981:266),

3. att riksdagen som sin mening ger regeringen till känna vad som i
motionen anförs angående behovet av inventering av datorbehov i kris och
krig,

4. att riksdagen som sin mening ger regeringen till känna vad som i
motionen anförs om inrättandet av ett sårbarhetsorgan.

1986/87:Fö410 av Bengt Kindbom m.fl. (c) vari - med hänvisning till motion
1986/87:K437 - yrkas att riksdagen som sin mening ger regeringen till känna
vad som i motionen anförts om tillsättande av en parlamentarisk sårbarhetsutredning.

FöU

1987/88:1

1 Riksdagen 1987/88. 10sami. Nrl

Organisationen för handläggning av ADBsårbarhetsfrågor I

samtliga motioner finns yrkanden som behandlar organisationen för
handläggning av frågor som rör samhällsfunktionernas och därmed totalförsvarets
sårbarhet främst till följd av ADB-användning. I motion 1986/
87:Fö403 (fp) upprepas en tidigare reservationsvis framförd kritik mot att
sårbarhetsberedningen (SÅRB) avvecklats (FöU 1985/86:2 y, FiU 5, FöU 8).
Motionärerna anser det vara ett klart misstag att avskaffa SÅRB utan att en
ny heltäckande och effektiv organisation för sårbarhetsfrågor inrättas. De
anser att en sådan skyndsamt bör skapas.

Också i motion 1986/87:Fö408 (m) hävdas att staten behöver ett sårbarhetsorgan.
Detta bör enligt motionärerna objektivt, självständigt och
förutsättningslöst svara för en allmän överblick och medverka till effektiva
åtgärder inom sårbarhetsområdet. Det föreslås sortera under försvarsdepartementet
och ha rätt att meddela föreskrifter och rekommendationer till
myndigheter och näringsliv.

Enligt motion 1986/87:Fö410 (c) bör riksdagen besluta ge regeringen i
uppdrag att tillsätta en parlamentarisk utredning för beredning av sårbarhetsfrågorna.
Denna utredning bör förutom att ta hand om det material som
finns från SÅRB också formulera mål för ökad säkerhet och minskad
sårbarhet inom såväl offentlig som privat verksamhet.

Utskottet

Utskottet berörde frågorna om ADB-sårbarhet och ADB-säkerhet i betänkandet
(FöU 1986/87:11) över totalförsvarspropositionen. Sålunda noterade
utskottet att försvarsministern uttalat att sårbarhetsfrågorna i allt väsentligt
kan betraktas som problem som avser enskilda funktioner men att samhällets
beroende av datorer och informationsbehandling kan betraktas som ett för
de olika funktionerna gemensamt sårbarhetsproblem som det är motiverat
att behandla separat. Vidare noterades att försvarsministern i propositionen
uttalat att beredskapsplaneringen inom ADB-området måste aktiveras och
att arbetet bör fortsättas med hög prioritet och inriktas mot att höja
beredskapsnivån för dem som avser utnyttja ADB för sin verksamhet under
kriser och i krig.

Utskottet konstaterade att försvarsministern i totalförsvarspropositionen
sade sig avse att senare lämna förslag till regeringen om att uppdra åt
överstyrelsen för civil beredskap (ÖCB) att i samverkan med försvarets
rationaliseringsinstitut och statskontoret samt funktionsansvariga myndigheter
konkretisera de åtgärder som bör vidtas för att förbättra ADBsäkerheten.
Bl.a. med hänvisning till detta uppsköt utskottet sin beredning
av de motionsyrkanden i vilka dessa frågor behandlades.

Utskottet har anledning att här inledningsvis i anslutning till vad som
anförs i motionerna i dessa delar konstatera att beredskapsplaneringen inom
ADB-området uppenbarligen är i stort behov av aktivering. Bl.a. från
riksrevisionsverket och ÖCB har påtalats stora, om än starkt varierande,
brister inom ADB-användande myndigheter och organ och att således

FöU 1987/88:1

2

ADB-sårbarheten ofta är oacceptabelt hög. Bristerna uppges härröra från
bl.a. otillräcklig kunskap om existerande säkerhetsrisker, otillräcklig personalutbildning,
lågt intresse från ansvarig lednings sida och ovilja att bestrida
kostnader för ökad säkerhet samt oklara eller ofullständiga riktlinjer från
statsmakter och centrala myndigheter. Härtill kommer att ADB-systemen
ofta införts så snabbt att tiden ej medgivit ett seriöst beaktande av
säkerhetsproblemen.

Ansvaret för samordning av ADB-säkerhetsfrågorna på central nivå är för
närvarande utspritt på flera myndigheter. Rollfördelningen mellan dessa har
dock förblivit något oklar och i flera fall uppges resurser saknas för att
vederbörande myndighet skall kunna fullt ut axla de tilltänkta uppgifterna.
Sålunda har statskontoret ett samordningsansvar vad gäller samordning av
sårbarhetsfrågorna för den civila statsförvaltningen i fred. OCB har ett
motsvarande samordningsansvar vad gäller beredskapsförberedelserna inkl.
ADB-säkerhetsfrågor inför kris och krig för hela det civila samhället - ett
ansvar som på militär sida motsvaras av det som innehas av försvarets
rationaliseringsinstitut (FRI). Civildepartementet, slutligen, som har ansvaret
för ADB-säkerhetsfrågorna inom regeringskansliet, har till sig knutit en
särskild samrådsgrupp (SAMS) i vilken representanter för olika samhällssektorer
avses kunna diskutera ADB-sårbarhetsfrågor.

Mot bakgrund av rådande brister i ADB-säkerhet och av den inte helt
utklarade rollfördelningen mellan de olika centrala myndigheter som har ett
partiellt ansvar för samordningen av åtgärder för att minska ADB-sårbarheten
anser sig utskottet, i linje med vad som anförs i här behandlade
motionsyrkanden, böra betona vikten av att det tas ett samlat grepp på
ADB-säkerhetsfrågorna, syftande till ett förtydligande av samordningsansvaret
och ett undvikande av ineffektivt dubbelarbete.

Den självklara och nödvändiga utgångspunkten är dock att ADBsäkerhetsarbetet
i allt väsentligt utgör systemanvändarens ansvar. ADBsäkerhetsfrågorna
är så mångfacetterade, komplexa och specifika för olika
system och användare att det torde vara omöjligt för ett överordnat organ att
skaffa sig kunskap om de svagheter som vidlåder det enskilda systemet. De
totala sammanlagda kostnaderna för de olika åtgärder som erfordras för att
väsentligt nedbringa ADB-sårbarheten i samhället skulle därtill bli mycket
höga. De som avser att utnyttja ADB för sin verksamhet under kriser och i
krig torde i allmänhet vara de användare som även i fredstid bör eftersträva
särskilt hög systemsäkerhet. Det huvudsakliga ADB-säkerhetsarbetet måste
således bedrivas av den ansvarige systeminnehavaren i fråga om organisation,
säkerhetsrutiner, personal, tekniska anordningar, fysiskt skydd, personalutbildning,
m.m.

Vad som erfordras på central nivå är således en kraftsamling när det gäller
samordning och praktiskt främjande av ADB-säkerhetsarbetet, i varje fall
under en övergångsperiod till dess ADB-tillvänjningen i samhället hunnit
därhän att huvudregeln om varje ADB-användares primära säkerhetsansvar
fått fast form.

Frågan om vilken av de aktuella myndigheterna som i detta kraftsamlande
syfte i första hand skulle kunna ges vidgade uppgifter bör enligt utskottets

FöU 1987/88:1

3

mening bl.a. ses i sammanhang med frågan om huruvida det är ändamålsenligt
att, som hittills, i fråga om ADB-säkerhet och ADB-sårbarhet särskilja
problemen i fred från de som gäller för kriser och krig. Utskottet finner för
sin del övervägande skäl tala för att ett organisatoriskt särskiljande är sakligt
omotiverat och olämpligt. Problemen är tillräckligt likartade för att de
lämpligen bör behandlas i ett sammanhang. I konsekvens härmed och mot
bakgrund av existerande kompetens och inriktning inom resp. myndighet
anser utskottet att det påtalade behovet av samordning, kraftsamling och
överblick inom ADB-säkerhetsområdet i första hand bör tillgodoses genom
att ÖCB ges vidgade uppgifter på detta område. De resursfrågor som därvid
aktualiseras torde hanteras inom ramen för den löpande budgetprocessen.

Utskottet anser att riksdagen som sin mening bör ge regeringen till känna
vad som i det föregående har anförts om vidgade uppgifter på ADBsäkerhetsområdet
för ÖCB. Utskottet anser att detta i allt väsentligt
tillgodoser önskemålen i här behandlade motionsyrkanden. Utskottet finner
däremot inga vägande skäl för inrättande av ett särskilt sårbarhetsorgan/
organisation eller tillsättande av en parlamentarisk sårbarhetsutredning.

Undanförsel och förstöring av ADB-uppgifter

Undanförsel och förstöring av ADB-uppgifter i kris- och krigssituationer
behandlas i motionerna 1986/87 :Fö403 (fp) och 1986/87 :Fö408 (m).

I motion Fö403 pekar motionärerna på att SÅRB redan i augusti 1983
överlämnade ett delbetänkande (Ds Fö 1983:3) om undanförsel och förstöring
av ADB-uppgifter i vissa kris- och krigssituationer. Ännu - tre och ett
halvt år senare - har, framhåller motionärerna, regeringen inte gjort något åt
saken. De anser att det är ansvarslöst att inte redan i fred göra vad som göras
kan för att förhindra att våra känsligaste personregister faller i en fiendes
händer i händelse av kris och krig. Regeringen bör enligt motionärernas
mening ges i uppdrag att skyndsamt utarbeta ett förslag i frågan.

Även i motion 1986/87:Fö408 anser motionärerna det vara djupt otillfredsställande
att SÅRB:s förslag rörande förstöring eller undanförsel av känsliga
ADB-register inte lett till några åtgärder från regeringens sida. Det är enligt
motionärerna lämpligt att det av dem föreslagna sårbarhetsorganet ges i
uppgift att meddela föreskrifter om förstörelse av register som är känsliga för
såväl rikets säkerhet som för den enskilde. Regeringen bör, anser de, lämna
förslag till riksdagen härom. Regeringen bör vidare enligt deras mening
lämna förslag om hur andra viktiga ADB-register skall undanföras.

Utskottet

I likhet med motionärerna anser utskottet det vara angeläget att det finns
klara riktlinjer för hur viktiga datasystem skall hanteras inför en krigssituation.

Utskottet ser det dock som angeläget att i första hand understryka att det
åvilar resp. myndighet att svara för undanförsel och förstöring av de känsliga
ADB-uppgifter som myndigheten har ansvaret för. I och med att detta
ansvarsförhållande gäller finns enligt utskottets mening inget behov av nya

FöU 1987/88:1

4

regler för undanförsel eller förstöring av ADB-register. Vad utskottet i det
föregående anfört beträffande behovet av kraftsamling för att samordna och
stödja ADB-säkerhetsarbetet torde dock gälla även planeringen av undanförsel
och förstöring. Utskottet konstaterar därvid att ett arbete pågår inom
regeringskansliet och ÖCB. Sålunda kommer den slutliga utgåvan av de
provisoriska föreskrifter och allmänna råd för undanförsel som förutvarande
överstyrelsen för ekonomiskt försvar givit ut att behandla även frågan om
undanförsel av ADB-register. Vidare har utskottet inhämtat att ÖCB
planerar att ge ut nya anvisningar för ADB-säkerhet i kris och i krig varvid
frågor om förstöring och undanförsel av ADB-uppgifter kommer att
behandlas ytterligare. Något uttalande behöver enligt utskottets mening mot
denna bakgrund inte göras av riksdagen. Motionerna Fö403 (fp) och FÖ408
(m) bör avslås i dessa delar.

Sårbarhetsanalys

I motion FÖ408 (m) anför motionärerna att det i allmänhet inte genomförts
sårbarhetsanalyser vid några civila myndigheter. Staten har, anser motionärerna,
ett oavvisligt ansvar att tillse att myndigheterna åläggs att svara för en
sådan planering att risken för datorhaverier på grund av olyckshändelser
eller medvetna sabotagehandlingar minskar. Detta kan, anser de, ske genom
att en sårbarhetsanalys läggs till grund för beslutsfattandet om varje nytt
register. Kravet på en sårbarhetsanalys bör enligt motionärerna ingå i det
beslutsunderlag som skall föreligga enligt förordningen om investeringar i
det statliga ADB-registret (SFS 1981:266).

Utskottet

Enligt utskottets mening måste det betraktas som en självklarhet att det
ankommer på systemansvarig myndighet att göra en sårbarhetsanalys vad
gäller sårbarheten i fred, kris och krig och att det även utgör myndighetens
ansvar att ta vederbörlig hänsyn till erfarenheterna av denna analys innan ett
nytt ADB-system anskaffas. Huruvida några ändringar i av regeringen
utfärdade bestämmelser behövs för att åstadkomma en sådan ordning bör
ankomma på regeringen att bedöma. Något uttalande i denna fråga i enlighet
med vad som föreslås i motion Fö408 i denna del bör riksdagen därför inte
göra.

Inventering av datorbehov i kris och i krig

I motion FÖ408 (m) behandlas också frågan om inventering av datorbehovet i
kris och krig. Motionärerna anser det vara angeläget att underlaget för en
säkrare bedömning av utlandsberoendet förbättras genom en utredning om
vilka systemdatorer som måste fungera i kris och krig och om vilka vi kan
avvara.

FöU 1987/88:1

5

Utskottet

FöU 1987/88:1

Ett arbete rörande inventering av datorbehovet i kris och i krig har enligt vad
utskottet inhämtat påbörjats av ÖCB. Några åtgärder därutöver anser
utskottet inte påkallade. Motion Fö408 (m) bör enligt utskottets mening
avslås även i denna del.

Hemställan

Utskottet hemställer

1. beträffande organisationen för handläggning av ADB-sårbarhetsfrågor att

riksdagen med anledning av motionerna 1986/87:Fö403, yrkande 1,
1986/87:Fö408, yrkande 4, och motion 1986/87:Fö410 som sin mening
ger regeringen till känna vad utskottet har anfört om vidgade uppgifter
på ADB-säkerhetsområdet för ÖCB,

2. beträffande undanförsel och förstöring avADB-uppgifter

att riksdagen avslår motionerna 1986/87:Fö403, yrkande 2, och
1986/87 :Fö408, yrkande 1,

3. beträffande sårbarhetsanalys

att riksdagen avslår motion 1986/87:Fö408, yrkande 2,

4. beträffande inventering av datorbehov i kris och i krig
att riksdagen avslår motion 1986/87:408, yrkande 3.

Stockholm den 10 november 1987
På försvarsutskottets vägnar
Olle Göransson

Närvarande: Olle Göransson (s), Roland Brännström (s). Kerstin Ekman
(fp), Gunhild Bolander (c), Evert Hedberg (s), Göthe Knutson (m). Ingvar
Björk (s). Hans Lindblad (fp). Olle Aulin (m), Iréne Vestlund (s), Christer
Skoog (s), Barbro Evermo (s), Lennart Holmsten (s), Sten Andersson i
Malmö (m) och Lennart Brunander (c).

6

Särskilt yttrande

FöU 1987/88:1

Organisationen för handläggning av ADB-sårbarhetsfrågor

Gunhild Bolander och Lennart Brunander (båda c) anför:

Utskottet understryker i sitt betänkande att beredskapsplaneringen inom
ADB-säkerhetsområdet är i stort behov av aktivering och att ADBsårbarheten
i många fall är oacceptabelt hög. Det är från centerpartiets
synpunkt värdefullt att dessa markeringar görs och att behovet understryks
av ett samlat grepp i fråga om samordningen av ADB-säkerhetsarbetet. Det
är en för centerpartiet i dagsläget godtagbar lösning som anvisas att
överstyrelsen för civil beredskap ges vidgade uppgifter i det angivna syftet. Vi
vill dock i anslutning till detta betona vikten av att det arbete som bedrivs för
att förbättra samordningen av ADB-säkerhetsarbetet sker under former som
medger parlamentarisk insyn. Vi anser från centerpartiets sida därför att
försvarsutskottet i framtiden bör nära följa detta arbete.

7

13924