Cyberattacker från Ryssland

Herr talman! Mikael Oscarsson har frågat mig om jag anser att det finns skäl att skapa en svensk cybersäkerhetsmyndighet.

Det finns ett stort behov av att utveckla informations och cybersäkerheten i samhället, inte minst inom den offentliga förvaltningen. Sedan regeringen tillträdde har därför en rad åtgärder vidtagits. Bland annat har obligatorisk it-incidentrapportering för statliga myndigheter införts, och lagrådsremissen Ett modernt och stärkt skydd för Sveriges säkerhet - ny säkerhetsskyddslag har beslutats.

MSB har tillförts ökade resurser för att förstärka arbetet med informationssäkerhet och psykologiskt försvar. I vårändringsbudgeten för 2017 tillförde regeringen 10 miljoner kronor. I budgetpropositionen för 2018 fyrfaldigar och permanentar regeringen ökningen av medel utifrån en överenskommelse mellan regeringen, Moderaterna och Centerpartiet.

Flera åtgärder har vidtagits för att på både kort och lång sikt minska riskerna i samband med utkontraktering av säkerhetskänslig verksamhet, till exempel Utredningen om vissa säkerhetsskyddsfrågor, som ska föreslå åtgärder för att förebygga att säkerhetskänslig information och verksamhet utsätts för risker i samband med bland annat utkontraktering. I uppdraget ingår även att föreslå ett system med sanktioner i säkerhetsskyddslagen. Uppdraget ska redovisas senast den 1 maj 2018.

Regeringen konstaterade efter sommaren 2017 att man när det gäller statliga myndigheter inte kan avvakta förslagen utan att kontrollen över statliga myndigheters utkontrakteringar måste skärpas redan nu. Därför har förslaget om samrådsplikt med och vetorätt för Säkerhetspolisen och Försvarsmakten tagits fram. Förslaget har remitterats, och en majoritet av remissinstanserna ställer sig positiva till förslaget. Förslaget bereds nu i Regeringskansliet.

För att skapa en gemensam riktning för utvecklingsinsatser och förbättra förutsättningarna för samverkan mellan berörda aktörer presenterade regeringen i juni en nationell strategi för samhällets informations och cybersäkerhet. Genom strategins målsättningar tydliggör regeringen bland annat vikten av att statliga myndigheter ska ha kännedom om hot och risker, ta ansvar för sin informationssäkerhet och bedriva ett systematiskt informationssäkerhetsarbete. Dessutom betonas vikten av att samverkan och informationsdelning på informations och cybersäkerhetsområdet stärks.

Här ligger också svaret på frågan om det finns skäl att skapa en svensk cybersäkerhetsmyndighet. För att stärka vår förmåga att skydda oss mot cyberattacker och andra allvarliga it-incidenter måste vi först och främst bli bättre på att arbeta tillsammans, var och en utifrån sitt uppdrag. Det är inte möjligt att skapa en ny myndighet med ett mandat så omfattande att den inte behöver samverka med andra myndigheter. Det är inte heller möjligt att skapa en ny myndighet som kan överta det ansvar som vilar på varje verksamhetsutövare och privatperson att vidta lämpliga säkerhetsåtgärder utifrån ett riskbaserat och systematiskt informationssäkerhetsarbete. Informationssäkerhet kan inte betraktas som en separat verksamhet; det är en del av - och en förutsättning för - nästan allt annat i dagens samhälle.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Mot bakgrund av detta ser jag inte nu skäl till att skapa en svensk cybersäkerhetsmyndighet, men jag kommer att fortsätta att noga följa arbetet med att stärka samhällets informations och cybersäkerhet och vid behov vidta ytterligare åtgärder.

Herr talman! Tack, det var klara besked! Justitieministern vill inte ha en cybersäkerhetsmyndighet - inte ännu. I stället ska utvecklingen följas noggrant, och ytterligare åtgärder ska kanske vidtas i framtiden.

Men, Morgan Johansson, framtiden är redan här. Framtiden gör sig påmind i form av en serie av cyberattacker mot Sveriges it-infrastruktur. Man kan säga att de står som spön i backen.

I min interpellation nämner jag de 673 polisanmälningarna om utpressning via datavirus. Jag nämner de cancerbehandlingar på Akademiska sjukhuset som blev stoppade på grund av utpressning via cyberattacker. Jag nämner att SVT avslöjat att Myndigheten för press, radio och tv betalar ut skattepengar till utpressare. De senaste åren har 81 statliga myndigheter och 187 kommuner drabbats av utpressningsvirus, och det fortsätter att öka.

Därför tog jag initiativ i försvarsutskottet - FRA, Must och Säpo var hos oss och bekräftade att det här är någonting som ökar och att attackerna blir värre. Det är enskilda, grupper och länder. Ministern vet ju att man har sagt att det är 10 000 cyberattacker av utländsk makt per månad och att det ökar.

De angrepp vi sett hittills har ändå varit relativt skonsamma. Men om inget samlat grepp tas om cybersäkerhetsfrågan kommer Sverige, enligt flera bedömare, förmodligen inom loppet av 1 000 dagar att utsättas för en riktigt stor cyberattack.

Vad är det då vi vill undvika genom att vidta den här åtgärden? Låt mig nämna några saker som vi kan räkna med.

Kollektivtrafiken kan drabbas av stillastående en hel dag genom att spärrar, biljettsystem eller signalsystem angrips av kidnappningsvirus.

Betalningar med bankkort i butiker kan vara omöjliga ett par dagar genom attacker på betalningsinfrastrukturen.

Elförsörjningen till hushåll och industrier kan temporärt slås ut. Det är någonting som har drabbat Ukraina i december två år i rad.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Hälso och sjukvård kan på grund av cyberangrepp inte utföras.

Främmande makt kan genom angrepp ta del av information som flödar i Sveriges it och kommunikationssystem, vilket kraftigt försämrar Sveriges utsikter att försvara sig i händelse av krig.

Framtiden, justitieministern, är redan här. Om vi inte gör någonting nu sker garanterat ett stort cyberangrepp mot det här landet inom en inte alltför avlägsen framtid. Då kommer vi förmodligen att föra en ny sådan här diskussion, men då kan det tyvärr vara för sent. Då kan skadan vara mycket större.

Vårt förslag, som vi försökt driva från Kristdemokraternas sida under flera år, är att ta ett helhetsgrepp om cybersäkerhetsfrågan för den civila sidan av samhället genom att skapa en cybersäkerhetsmyndighet.

I dag styrs informations och cybersäkerheten på ett fragmenterat och splittrat sätt, vilket sätter de olika säkerhetsmyndigheternas egna intressen före cybersäkerheten.

Resultatet är att företag, kommuner, statliga myndigheter, landsting och andra organisationer träffas av en ständigt ökad reglering på området. Denna reglering inriktas nästan alltid på ett perspektiv åt gången. Det kan vara dataskydd för personuppgifter, driftssäkerhet, säkerhetsskydd och så vidare, men regleringen följer samma mönster och kräver nästan samma sak. Det är detta vi skulle komma runt med en myndighet.

Herr talman! Det vi nu genomför inom hela detta område är en rejäl uppstramning av säkerhetsarbetet, inklusive it-säkerhet. Vi tog i somras fram en ny strategi gällande just cyber- och informationssäkerhet, och i och med det gick ett stort antal uppdrag ut till myndigheter för att implementera strategin.

Samtidigt gör vi nu för de kommande åren en mycket stor satsning på det civila försvaret: 1,3 miljarder 2018-2020. Där ingår informations- och cybersäkerhet som en viktig del. Det finns en uppgörelse mellan regeringen, Moderaterna och Centern inom ramen för den stora försvarsuppgörelsen om att få loss så pass mycket pengar, över 430 miljoner kronor per år de kommande åren, för att återupprätta det civila försvaret, där just denna del är central i ett modernt samhälle.

Uppstramningen är faktiskt också en effekt av händelserna vid Transportstyrelsen. Vi hade tidigare en diskussion som handlade om just detta. Där ställdes frågan om vilka lärdomar vi drar av händelserna vid Transportstyrelsen. Ja, en sådan lärdom är att vi måste se till att det aldrig händer igen och att vi måste vara mycket mer vaksamma när det gäller våra informationssystem - vad vi själva har och vad vi utkontrakterar på en annan part.

Under många år hade vi en slentrianmässig privatisering på detta område, inte minst under den förra regeringen, som inte så mycket tänkte i säkerhetsbanor när det gällde dessa frågor. Nu är det slut med det; nu är det säkerheten först som gäller.

När det gäller gränserna för utkontraktering har Stefan Strömberg uppdraget att utreda vad man över huvud taget kan tillåta i form av upphandling och utkontraktering i dessa avseenden.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Vi lägger fram en ny säkerhetsskyddslag; lagrådsremissen har precis beslutats. Vi kommer också att utreda sanktioner för den som bryter mot säkerhetsskyddslagen. Det har vi inte nu.

Vi kommer att implementera det så kallade NIS-direktivet, ett EU-direktiv som innebär en allmän uppstramning, inte bara för de offentliga utan också för de privata aktörerna, och ökade krav på informationssäkerhet.

Men vi stärker också Säkerhetspolisens och Försvarsmaktens roll i detta sammanhang. I ärenden som rör exempelvis rikets säkerhet och när det gäller upphandlingar får både Säpo och Försvarsmakten nu en mycket starkare roll. Myndigheter som planerar att lägga ut sådant på andra aktörer måste först samråda med Säpo eller Försvarsmakten. Om de säger stopp och menar att det inte kan göras därför att rikets säkerhet äventyras är det också det som gäller; då ska man som enskild myndighet lyda och sätta stopp. Det handlar alltså om ett veto.

Mikael Oscarsson frågar om tillsynen och vilken myndighetsstruktur vi ska ha. Min uppfattning är att en ny myndighet inte skulle tillföra något mervärde i detta avseende.

Mikael Oscarsson berättade att man hade FRA, Must och Säpo i utskottet för att tala om dessa frågor. En intressant fråga att ställa till Mikael Oscarsson är: Frågade han FRA, Must och Säpo om de ville ha en ny cybersäkerhetsmyndighet? Vad svarade de i så fall på det? I alla diskussioner vi har med de myndigheter som detta berör framkommer nämligen att de väldigt gärna vill fortsätta att hålla på ansvarsprincipen, det vill säga att varje myndighet inom varje sektor har sitt ansvar. Det är nämligen där kompetensen finns, och det är i slutänden ändå de som kommer att få göra jobbet, oavsett vilka andra myndigheter vi har.

Herr talman! Det verkar finnas några missförstånd hos justitieministern om idén med en cybersäkerhetsmyndighet. Låt mig inleda med att komma till rätta med dessa missförstånd.

Justitieministern säger att det inte är möjligt att skapa en ny myndighet med ett mandat så omfattande att den inte behöver samverka med andra myndigheter. Det är det första missförståndet. Självfallet ska en cybersäkerhetsmyndighet inte ha något slags enväldigt mandat som förhindrar samverkan med andra myndigheter.

Justitieministern säger vidare i sitt svar att det inte är möjligt att skapa en ny myndighet som kan överta det ansvar som vilar på varje verksamhetsutövare. Det är missförstånd nummer två. Självfallet ska en cybersäkerhetsmyndighet inte överta något som helst ansvar från verksamhetsutövaren. I stället ska myndigheten verka för att en mer sammanhållen och enhetlig reglering och tillsyn träffar verksamhetsutövaren så att resurserna kan läggas på bra cybersäkerhet i stället för på ändlösa analyser och tolkningar av regleringar.

Justitieministern säger slutligen i sitt svar - och här har jag den sista invändningen - att informationssäkerhet inte kan "betraktas som en separat verksamhet; det är en del av - och en förutsättning för - nästan allt annat i dagens samhälle". Det är det tredje och sista missförståndet. Informations- och cybersäkerhet måste genomsyra allt; det är självklart. Det är ingen separat verksamhet. Det cybersäkerhetsmyndigheten ska göra är just detta: tillse att säkerheten verkligen kan genomsyra allt på ett kostnadseffektivt och ändamålsenligt sätt. Det är inte fråga om en centralisering av det ansvar varje verksamhetsutövare har för sin egen säkerhet.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

I dag träffas företag, kommuner, statliga myndigheter, landsting och alla organisationer av en ständigt ökad reglering. Denna reglering inriktas nästan alltid på ett perspektiv åt gången. Det kan vara dataskydd för personuppgifter, driftssäkerhet, säkerhetsskydd och så vidare, men regleringen följer nästan alltid samma mönster och kräver nästan samma sak.

För det första, herr talman, ska viktig information eller viktiga system identifieras. För det andra ska analyser av risk genomföras. För det tredje ska tekniska och administrativa säkerhetsåtgärder införas. Slutligen ska incidenter rapporteras.

För en teleoperatör, till exempel, kan ett enda it-system stå under en handfull olika detaljerade regleringar kopplade till cybersäkerheten. I stället för att kunna hantera systemets säkerhet sammanhållet tvingas operatören att i praktiken ha separata stuprör - det känns bekant - som svar på den detaljerade regleringen. Operatören tvingas till fem olika riskanalyser för it-systemet i stället för en. Det krävs olika interna lösningar för att försöka leva upp till alla dessa fragmenterade rättsliga krav.

Hela organisationer får byggas upp inom kommuner, statliga myndigheter och landsting för att hantera de olika säkerhetskraven. Ett exempel är dataskyddsförordningen, GDPR, en ny reglering som främst berör cybersäkerhetsområdet och som återigen gett upphov till nya organisationer, nya analyser och nya sätt att leda och styra cybersäkerheten internt.

Varför ser det ut så här, justitieministern? Jo, anledningen är att Sverige saknar ett sammanhållet grepp om landets cybersäkerhet. Situationen är akut. Medan de organisationer jag räknade upp paralyseras av allt analyserande som regeringen kräver förbereder angripare nästa angrepp. Det som krävs är en cybersäkerhetsmyndighet som får ett sammanhållningsansvar för cybersäkerheten i Sverige.

Herr talman! Jag noterade att Mikael Oscarsson inte svarade på min fråga: När han nu hade FRA, Must och Säpo i utskottet för att tala om just detta, frågade han då om de tycker att det vore bra att ha en egen, ny myndighet som bara skulle hantera cybersäkerhet? Ställde han den frågan, och vad fick han i så fall för svar? Det skulle jag gärna vilja veta.

Jag tror mig ana svaret, nämligen att våra expertmyndigheter i dessa frågor - Säkerhetspolisen och även MSB och FRA - håller väldigt noga på det vi kallar ansvarsprincipen, det vill säga att varje myndighet själv måste se till att man stramar upp sina system och kan få hjälp och stöd med det.

När vi i juni förra året antog den nationella strategin för samhällets informations- och cybersäkerhet gick vi ut med en rad uppdrag till olika myndigheter för att se till att implementera strategin. Det handlade bland annat om uppdrag till MSB och till de bevakningsansvariga myndigheterna för att öka kunskapen om informationssäkerhet, men också om riktade uppdrag för att i samverkan med SKL, E-hälsomyndigheten och Socialstyrelsen kartlägga och analysera vad som behöver göras på hälso- och sjukvårdsområdet. Ett särskilt uppdrag handlade också om att se till att jobba bättre med de privat-offentliga samarbetsformerna.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Frågar Mikael Oscarsson efter en myndighet som kan ge råd, stöd och hjälp till andra myndigheter när det gäller detta vill jag svara att vi redan har en sådan myndighet, och den heter MSB. Den har dessutom fått mer pengar - 10 miljoner i år och ytterligare 40 miljoner från och med nästa år. Men att lägga på ytterligare en byråkratisk överbyggnad, som skulle vara något slags överhatt eller överrock åt andra myndigheter på det här området utan att fullt ut själv ha kompetensen, tror jag skulle leda alldeles bort i tok. Det ska vi alltså inte göra.

Håll på ansvarsprincipen! Se till att de myndigheter som det handlar om lever upp till de krav vi sätter upp! Då kan det förstås bli en hel del analyserande, men det är ju faktiskt detta det handlar om. Man måste börja där. Man måste gå igenom sina system och se vilka risker man utsätts för. Handlar det om kollektivtrafiken är det en sak, handlar det om sjukvården är det en annan, och handlar det om industrin är det en tredje sak.

Man får gå igenom sina system ordentligt och se om man lever upp till de krav som statsmakterna ställer. Gör man inte det får man strama upp verksamheten. Man ska få stöd och hjälp i det arbetet.

Som sagt sätter vi de kommande åren av sammanlagt 1,3 miljarder för det civila försvaret. Vi har gott om pengar till detta totalt sett. Detta är en av de viktigaste prioriteringarna framöver. Men jag tror inte att den väg som Kristdemokraterna anvisar är särskilt effektiv, och det är också det svar vi får när vi frågar våra expertmyndigheter hur vi ska bygga upp tillsynsverksamheten på det här området.

Herr talman! Det är uppenbart att justitieministern upplever att detta handlar om en "överhatt", som var det uttryck han använde, och att allt är i sin ordning. Men jag rekommenderar honom att kolla på exempelvis Riksrevisionens granskning, som gjordes häromåret. Där kom man fram till att det fungerade väldigt dåligt och att det är väldigt lätt att komma åt information. Den som vill oss illa kan lätt komma åt den. Riksrevisionen pekar i sin rekommendation på att någon borde få ett huvudansvar att ge myndigheterna handgripliga råd om hur de ska bygga upp det hela.

Det vi nu har provat under närmare 50 år är att styra informationssäkerheten i samhället på ett sätt som karakteriseras av att myndigheter med olika särintressen inom säkerheten delar på styrningen. Då är frågan: Tycker ministern att detta har fungerat bra?

Fråga en kommun, en statlig myndighet eller varför inte ett företag hur detta har fungerat! Det är ett ändlöst analyserande av risker. Cybersäkerheten har, trots regeringens goda intentioner, blivit mycket av en papperstiger - en svensk papperstiger. Vårt förslag innebär att man skapar en ny myndighet som får det sammanhållande ansvaret för all tillsyn och som på sikt får föreskrivningsrätt inom informations- och cybersäkerheten. Sammantaget kommer detta att leda till en enhetlig reglering som blir lättare att förstå och efterleva. Det kommer att leda till att de skattepengar och resurser som läggs på säkerheten verkligen kommer till nytta. Slutligen kommer det att leda till att cybersäkerhetsmyndigheten kan utveckla program för en riktigt god tillsyn av säkerheten i våra organisationer, allt detta för att säkra vårt digitala samhälle.

Frågan är alltså: Är du villig att titta en gång till på dessa argument innan det är för sent?

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Herr talman! Den modell som Mikael Oscarsson nu sätter upp - att vi ska ha en myndighet som utövar all tillsyn på det här området oavsett sektor - innebär att en enorm apparat ska byggas upp. Det är en enorm ansamling av kompetens det handlar om. Sedan ska man ha föreskrivningsrätt, alltså, som jag uppfattar det, att man ska ålägga andra myndigheter att göra saker. Ett sådant upplägg tror jag vore väldigt ineffektivt, och inga andra myndigheter som jobbar med detta säger att det vore en klok modell. Det är också därför jag nu flera gånger har frågat: När ni nu träffade företrädare för FRA, Must och Säpo och diskuterade detta, frågade ni då också om det verkligen behövs en ny cybersäkerhetsmyndighet? Jag är ganska säker på vad svaret från dem skulle ha blivit.

Håll på ansvarsprincipen, och se till att de myndigheter som har ansvar för sektorerna också bär tillsynsansvaret! Det är ju de som har kompetensen, och det är i slutändan de som kommer att behöva göra jobbet på riktigt. Jag tror att detta är den kloka vägen att gå framöver.

Riksrevisionens rapport har vi naturligtvis läst. Det är bakgrunden till att vi kom med skrivelsen om en nationell cyberstrategi och med alla de uppdrag som nu går ut. Det är MSB som är den viktiga myndigheten när det handlar om att ge råd och stöd i det här sammanhanget. Jag tror inte att den modell som Kristdemokraterna förespråkar här skulle vara särskilt effektiv.

Överläggningen var härmed avslutad.