över proposition 1987/88:95 om datapolitik för statsförvaltningen

Observera att dokumentet är inskannat och fel kan förekomma.

Försvarsutskottets yttrande

1987/88:2 y

över proposition 1987/88:95 om datapolitik för statsförvaltningen

FöU

1987/88:2 y

Till finansutskottet

Finansutskottet har berett försvarsutskottet tillfälle att yttra sig över proposition 1987/88:95 om datapolitik för statsförvaltningen och motioner i anslutning härtill. Försvarsutskottets yttrande berör främst avsnittet 3.6 om organisation av säkerhetsarbetet och omfattar också ett antal till utskottet hänvisade motionsyrkanden från den allmänna motionstiden 1988, nämligen Fö501, FÖ511 samt FÖ526. Dessa överlämnas till finansutskottet - under ■ förutsättning av dess medgivande - med detta yttrande.

Motionerna

Väckta under allmänna motionstiden 1988,

1987/88:Fö501 av Bengt Westerberg m.fl. (fp) vari yrkas att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om säkerhet och sårbarhet.

1987/88:Fö5ll av Bengt Kindbom m.fl. (c) vari yrkas

1.  att riksdagen hos regeringen begär att en parlamentarisk sårbarhetsbe­redning tillsätts,

2.  att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om parlamentarisk medverkan i datautvecklingsarbetet,

3.  att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om decentralisering av dataregistren.

1987/88:Fö526 av Anders Björck m.fl. (m) vari yrkas

1.  att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om hanteringen av sårbarhetsfrågorna inom regeringskansliet,

2.  att riksdagen som sin mening ger regeringen till känna väd i motionen anförts om sårbarhetsanalys i samband med utredningsförslag om jnrättande av nya register.

3.  att riksdagen hos regeringen begär förslag till krav på kryptering av sekretessbelagd information vid datakommunikation.

4.  att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om .sammanställning och försäljning av information som kan vara till skada för rikets säkerhet.

1 Riksdagen 1987/88. lOsaml. Nr2 y

Rättelse: S. 1 rad 14 nedifrån. Står: decentralisering av dataregistren. Rättat till:
parlamentarisk datautvecklingsarbetet.

Väckta med anledning av proposition 1987/88:95                       FöU 1987/88:2 y

1987/88:Fil5 av Lars Tobisson m.fl, (m) såvitt gäller yrkande 3 att riksdagen som sin meningger regeringen till känna vad som i motionen anförs angående sårbarhetsarbetets organisation,

l987/88:Fil6 av Anne Wibble m.fl, (fp) såvitt gäller yrkande 6 att riksdagen som sin mening ger regeringen till känna vad i motionen anförs om ansvaret för säkerhetsarbetet.

Inledning

Riksdagen behandlade - med anledning av vissa under den allmänna motionstiden 1987 väckta motioner - frågor rörande ADB-sårbarhet och ADB-säkerhet hösten 1987 (FöU 1987/88:1. rskr. 24). Det finns i detta sammanhang anledning att återge huvuddragen i vad försvarsutskottet i sitt betänkande därvid anförde som sin - sedermera riksdagens - mening beträffande datasäkerhetsarbetets organisation och vidgade uppgifter ,för överstyrelsen för civil beredskap (ÖCB).

Sålunda konstaterade utskottet bl.a,  att beredskapsplaneringen inom           ,

ADB-området förefaller vara i stort behov av aktivering, att ADB-sårbarheten inom ADB-användande myndigheter och organ ofta är oaccep­tabelt hög, att rollfördelningen mellan de olika centrala myndighetersom har ett partiellt ansvar för samordningen av åtgärder för att minska ADB-sårbarheten inte är helt utklarad samt att det därför är av stor vikt att ett samlat grepp tas på ADB-säkerhetsfrågorna, syftande till ett förtydligande av samordningsansvaret och ett .undvikande av ineffektivt dubbelarbete.

I betänkandet anförde utskottet vidare:

Den självklara och nödvändiga utgångspunkten är dock att ADB-säkerhets­
arbetet i allt väsentligt utgör systemanvändarens ansvar, ADB-säkerhetsfrå­
gorna är så mångfacetterade, komplexa och specifika för olika system och
användare att det torde vaia omöjligt för ett överordnat organ att skaffa sig
kunskap om de svagheter som vidlåder det enskilda systemet. De totala      '           ''

sammanlagda kostnaderna för de olika åtgärder som erfordras för att väsentligt nedbringa ADB-sårbarheten i samhället skulle därtill bli mycket höga. De som avser att utnyttja ADB för sin verksamhet under kriser och i krig torde i allmänhet vara de användare som även i fredstid bör eftersträva särskilt hög systemsäkerhet. Det huvudsakliga ADB-säkerhetsarbetet måste således bedrivas av den ansvarige systeminnehavaren i fråga om organisa­tion, säkerhetsrutiner, personal, tekniska anordningar, fysiskt skydd, perso- ,. nalutbildning. m.m.

Vad som erfordras pä central nivå är således en kraftsamling närdet gäller
samordning och praktiskt främjande av ADB-säkerhetsarbetet i varje fall
under en övergångsperiod till dess ADB-tillvänjningen i samhället hunnit       '

därhän att huvudregeln om \arje ADB-användares primära säkerhetsansvar fatt fast form.

Frågan om vilken a\ de aktuella myndigheterna som i detta kraftsamlande s\'fte i första hand skulle kunna ges sidgade uppgifter bör enligt utskottets mening bl,a, ses i sammanhang med frågan om huruvida det är ändamålsen­ligt att. soni hittills, i fråga om ADB-säkerhet och ADB-sårbarhet särskilja problemen i fred frän de som gäller för kriser och krig. Utskottet finner för

 

sin del övervägande skäl tala för att ett organisatoriskt särskiljande är sakligt      FöU 1987/88:2 y omotiverat och olämpligt.  Problemen är tillräckligt likartade för att de lämpligen bör behandlas i ett sammanhang, I konsek'ens härmed och mot    , .     , bakgrund av existerande kompetens och inriktning inom resp. myndighet anser utskottet att det påtalade behovet av sarriordning. kraftsamling och överblick inom ADB-säkerhetsområdet i första hand bör tillgodoses genom att ÖCB ges vidgade uppgifter på detta område. De resursfrågor som därvid aktualiseras torde hanteras inom ramen för den löpande budgetprocessen. Utskottet anser att riksdagen som sin mening bör ge regeringen till känna vad som i det föregående har anförts om vidgade uppgifter på ADB-  , säkerhetsområdet för ÖCB,

Propositionens huvudsakliga innehåll

I proposition 1987/88:95 konstaterar föredragande statsråden Holmberg och          '

Bodström inledningsvis i vad avser frågor rörande säkerhet och sekretess

inom dataområdet (kap, 3) att man utan inbördes skarpa gränser kan urskilja

följande huvudområden:                                                  .    ■ , ■       i     '

-       den grundläggande säkerhet i fred som omfattar systemkvalitet, reserv-funktioner, intrångsskydd, fysiska hot som sabotage och terrorism, etc,    '

-       den ytterligare säkerhet som avser särskild utformning av vissa system för att kunna stödja funktioner som skall verka under kris och i krig;'

I propositionen konstateras vidare att ett antal myndigheter har ans\ar för olika delar av säkerhetsarbetet och att det finns ett behov av att precisera deras uppgifter och att skapa en organisatorisk grund för samordning, krattsamling och överblick över beredskapsplaneringen och säkerheten i      ... ADB-systemen,

Härutöver anförs att alla myndigheter som har ansvar för ADB-system, vilka den egna eller andras verksamhet är beroende av. bör ha en klar uppfattning om säkerheten i ADB-verksamheten. Dessa myndigheter skall därför, enligt vad som föreskrivs i propositionen, senast budgetåret 1989/90 ha genomfört säkerhetsanalyser för dessa system samt vid behov ha utarbetat en plan för erforderliga säkerhetshöjande åtgärder, I propositionen'anförs att statskontoret bör ges i uppdrag att sammanställa resultaten av dessa säkerhetsanalyser och till regeringen i samråd med ÖCB redovisa en bedömning av analyserna samt planerade eller vidtagna åtgärder vid myndigheterna med anledning av analyserna.

Beträffande organisationen av ADB-säkerhetsarbetet i' övrigt anförs i              •

propositionen (bil. 3.6. s. 33-36) att överstyrelsen för civil beredskap. ÖCB: och statskontoret har ansvaret för främst sämordiiing och sårbarhets- och säkerhetsfrågor i fred. under kris och i krig. Med hänvisning till riksdagens ställningstaganden hösten 1987 i dessa frågor behandlas frågan rörande ansvarsfördelningen mellan dessa häda myndigheter och även rollen för den särskilda samrådsgrupp för samhällets säkerhet inom dataområdet (SAMS) soni tillsatts inom regeringskansliet.

Härvid anförs beträffande ÖCB bl,a, att överstyrelsen bör få i uppdrag att utreda behoNet av styrniedel for att förverkliga en samhitllsövergripande beredskiijisplan för landets ADB-beroende vid krigsfara eller krig. Vidare bör OCB enligt propositionen belysa förutsättningarna för att ocksatitfärda '

 

riktlinjer för förberedelser i fred som ger tillräcklig ADB-säkerhet vid    FöU 1987/88:2 y krigsfara eller i krig. Det sägs i propositionen kunna vara möjligt att i samma riskanalys och i samma planeringsprocess behandla säkerhetsåtgärder för såväl fred som kris och krig samt formulera de funktionskrav som samhälls­viktiga ADB-system skall kunna leva upp till.,

ÖCB:s övergripande ansvar för beredskapsplaneringen av bl.a. säkerhet som följd av ADB-användningen år enligt propositionen emellertid så nytt att det ännu saknas erfarenheter av hela planeringsprocessen, exempelvis beträffande finansieringen av åtgärder som inte är motiverade för enbart fredssamhället. ÖCB bör därför enligt propositionen få i uppdrag att närmare utveckla frågor rörande beredskapsplaneringens styrmedel, som ett första steg i riktning mot att utöka ÖCB:s ansvar till att också omfatta riktlinjer för förberedelser i fred för att uppnå tillräcklig ADB-säkerhet i kris och krig.

Beträffande statskontoret .sägs i propositionen att kontoret bör ha kvar ■ sina nuvarande uppgifter inom säkerhetsområdet. Däri ingår enligt proposi­tionen att ha ett samordningsansvar för ADB-säkerheten i fred inom den civila statsförvaltningen inkl. affärsverken. I sitt säkerhetsarbete skall statskontoret bl.a. utgå från de krav på ADB-säkerhet i kris och krig som kommer fram i ÖCB:s arbete.

Försvarsutskottet

Organisation av ADB-säkerhetsarbetet

Utskottet konstaterar att regeringen i föreliggande proposition sökt ta fasta på och närmare konkretisera bl.a. vad som från riksdagens sida hösten 1987 tillkännagavs i inledningsvis återgivna utskottsbetänkande om ADB-sårbar­het och ADB-säkerhet, Vad utskottet idet sammanhanget anförde utgör den självklara utgångspunkten för utskottets här föreliggande ställningstagande till den inriktning som redovisas i propositionen och till de motioner som omfattas av detta yttrande.

Utskottet biträder således den uppfattning som uttrycks i propositionen och som även i väsentliga avseenden kommer till uttryck i motionerna i berörda delar, nämligen att det saknas en samlad bild över sårbarheten/ säkerheten i ADB-verksamheten och konsekvenserna av störningar och att det därför finns ett behov av att skapa en organisatorisk grund för samordning, kraftsamling och överblick över beredskapsplaneringen och säkerheten i ADB-systemen. Utskottet biträder också vad som anförs i propositionen om det lämpliga i att stegvis skapa konkreta former för tillämpningen av de av riksdagen angivna riktlinjerna beträffande ÖCB;s utökade samordningsansvar och ansvar för att bl.a. tillhandahålla det för ADB-säkerhetsarbetet nödvändiga riskanalysunderlaget,

I tre motioner från den allmänna motionstiden 1988 berörs frågor rörande ADB-säkerhetsarbetets bedrivande,

1 motion 19S7/88;Fö.'01 (fp) framhålls att det huvudsakliga ansvaret för en enskild myndighets säkerhetsarbete och sårbarhetskontroll ligger på myndig­heten själv. Vidare anförs att sårbarhetsberedningen i sitt arbete visade att

 

det också är nödvändigt att statsmakterna har ett samlat grepp över dessa FöU 1987/88:2 y frågor. Det finns, heter det, gemensamma metodproblem för situationer i såväl fred som krig, något som hösten 1987 bekräftades av försvarsutskottet som föreslog ÖCB som samordningsmyndighet. I motionen anges därefter ett antal konkreta uppgifter som i enlighet härmed borde åläggas ÖCB, däribland ansvaret för principer om undanförsel och förstöring av ADB-register och uppgifter i händelse av krig.

I motion 1987/88:Fö511 (c) anförs bl.a. att ett sätt att öka säkerheten och minska sårbarheten i de funktioner som är beroende av ADB-teknik vore att begränsa användningen av stora centrala dataregister. Motionärerna anser att ADB-användning inom myndigheter och andra offentliga organisationer skall baseras på små decentraliserade datasystem. Regeringen bör enligt motionärerna ges i uppdrag att utarbeta planer för decentralisering av de centrala dataregistren inom olika centrala förvaltningar. Slutligen framhåller motionärerna att sårbarhetsfrågorna och datafrågornas handläggning måste ges en förstärkt pariamentarisk förankring. I ett yrkande hemställs att riksdagen hos regeringen begär att en parlamentarisk sårbarhetsberedning tillsätts.

I motion 1987/88:FÖ526 (m) anförs att de brister inom ADB-säkerhetsom­rådet som sårbarhetsberedningen pekade på ännu kvarstår och att det i dag inte finns något organ med ett samlat och övergripande ansvar för den nationella säkerheten, trots det ansvar som nu lagts på ÖCB. Det är enligt motionärerna nödvändigt att regeringen snarast till riksdagen redovisar vilka åtgärder man avser att vidta för att minska sårbarheten. Samtidigt bör regeringen, framhålls det, till riksdagen redovisa en organisation för sårbarhetsfrågornas hantering med klara ansvarsförhållanden inom rege­ringskansliet.

Frågorna om ADB-säkerhetsarbetets organisation berörs även i ett par motioner som väckts med anledning av proposition 1987/88:95.

I motion 1987/88:Fil5 (m) noteras att regeringen valt att låta statskontoret ta ett samordningsansvar för ADB-säkerheten i fred inom den civila statsförvaltningen inkl. affärsverken. Enligt motionärerna finns det nu risk att sårbarhetsfrågorna splittras mellan ÖCB, statskontoret och SAMS. De framhåller att en organisation med en gemensam handläggning av sårbar­hetsfrågorna både i fredstid och för kris- och krigslägen hade varit att föredra. Med den nuvarande organisationen åvilar det regeringen ett stort ansvar att tillse att sårbarhetsfrågorna beaktas såväl inom den statliga sektorn som inom övriga samhällssektorer. Motionärerna anser även att statskontorets samordningsansvar på detta område bör inskränkas till den civila statsförvaltningen, exkl. affärsverken.

I motion 1987/88:Fil6 (fp), slutligen, avvisar motionärerna den ansvars­uppdelning som redovisas i propositionen mellan ÖCB och statskontoret. Motionärerna anser att uppdelningen enligt propositionen är oklar och överlappande och därtill ej i överensstämmelse med riksdagens tillkännagi­vande hösten 1987. ÖCB har enligt motionärernas mening tilldelats ansvaret för säkerhetsarbetet och skall ha det i fortsättningen.

Utskottet får med anledning av dessa motioner anföra följande. Utskottet erinrar om att det var mot bakgrund av ett antal motionsyrkanden om

 

effektiviserad  samordning  av och  parlamentariskt  deltagande  i   ADB-      FöUiy87/88:2 y

säkerhetsarbetet, mm, som utskottet hösten 1987 enigt uttalade att ÖCB

borde kunna ges vidgade uppgifter i syfte att tillgodose det påtalade behovet

av samordning, kraftsamling och överblick inom ADB-säkerhetsomrädet,

Utskottet kvarstår vid sin bedömning att det därmed inte finns några vägande

skäl för inrättande av ett särskilt sårbarhetsorgan eller tillsättande av en

parlamentarisk sårbarhetsutredning.  Yrkandena  1  och 2 i motion  1987/

88:Fö511 (c) bör således avslås av riksdagen.

Utskottet har inhämtat att ett samråd upprättats mellan främst ÖCB och ■ statskontoret för att diskutera fram en lämplig,och preciserad roll- och ansvarsfördelning. Den inriktning som nu redovisas i propositionen beträf­fande ansvarsfördelningen utgår i hög grad från resultatet av hittillsvarande samråd, ett samråd som för övrigt även kommer att fortsätta med sikte pä en ytterligare precisering av ansvarsförhållandena.

Utskottet konstaterar vidare ånyo att ADB-säkerhetsfrågorna och frågor­na om samordning m.m. av ADB-säkerhetsåtgärderna är mångskiftande och komplexa. Det handlar här om ett område där den inom totalförsvaret gängse principen om att ett ansvar i fred även utgör ett ansvar i kris och krig knappast kan iiga full tilliimplighet. Det gäller således att på sikt finna'en lämplig balans mellan dels principen om systemanvändarens eget ansvar, dels nödvändigheten av central samordning och överblick över helheten och dels de olika specifika krav som ställs av olika specialintressenter inom ADB-området,

Det perspektiv som försvarsutskottet har att anlägga pä här behandlade
frågor avser hela samhället och hela spännvidden fred - kris - krig. Utifrån
detta bredare perspektiv har det varit naturligt att - såsom metod att främja
en effektiviserad och aktiver:id samordning av ADB-siikerhetsåtgärder - i
första hand förorda att ÖCB ges vidgade uppgifter. Detta gör inte det arbete
som kan bedrivas av bl,a, statskontoret inom dess verksamhetsområde
mindre angeläget,                                '                                                  '          ,    '

Utskottet har mot ovanstående bakgrund inga invändningar mot de första
steg i riktning mot förnyade organisationsformer för ADB-säkerhetsarbetets
samordning och bedrivande som redovisas i propositionen, 1 avvaktan på den
vidare utvecklingen av samarbetet och ansvarsfördelningen mellan berörda '

myndigheter i den angivna färdriktningen - och i avvaktan pä att ÖCB i
enlighet med regeringens programplaneanvisningar 1988-02-25 skäll ange "
vilka resursbehov som följer av de nya uppgifterna - anser utskottet att
riksdagen inte bör uttala sig i enlighet med här behandlade motionsyrkan­
den. Utskottet avstyrker säledes bifall till motionerna 1987/88:Fö501 (fp);
1987/88:Fö526 (m). yrkande  1.  1987/88:Fil5 (m). yrkande 3 samt  1987/    ■ ■

88:Fil6 (fp), yrkande 6,     •' ,   '                                                                   :         .

Andra ADB-säkerhctsfrägor

1 motion 1987/88:Fö511 (c) betonas som framgått ovan'att en decentralise­ring av datarcuistrcn \'orc en s;n'h:irhetsniinskaiidc åtgärd. Enligt liiotionä-rerna borilc riksd;igcii ge icgciiiigcii till k;lnna vad som i moticinen i deti;i ämne anförs. Utskottet ;\nser cmellonid inte att riksdagen bör tillkännage någon mening i denna fräga. Det ;ir visserligen liippenbärt att stora centrala

 

datasystem är sårbara för störningar, men den tekniska utvecklingen i sig FöU 1987/88:2 y tenderar att verka i decentraliserande riktning. Dessutom har utskottet inhämtat att uppmärksamheten inom ADB-användande myndigheter och organ i ökande grad kommit att riktas mot säkerhetsfrågor även i centrala system. Utskottet avstyrker nied hänvisning härtill bifall till detta motionsyr­kande (yrk, 3).

Imotion 1987/88:Fö526 (m), slutligen, tar motionärerna upp vissa frågor rörande sårbarhetsanalys, kryptering av sekretessbelagd information samt sammanställning och försäljning av information som kan vara till skada för rikets säkerhet.

Motionärerna anser att alla myndigheter med ADB-register bör göra en sårbarhetsanalys och bedöma eventuella störningar och att en sårbarhetsana­lys bör läggas till grund för beslutsfattande om varje nytt register, ett krav som bör ställas på statliga myndigheter genom tillägg i kommittékungörel­sen. Beträffande datakommunikationernas sårbarhet anför motionärerna bl,a. att skyddet mot avlyssning snabbt måste vidareutvecklas genom förbättrade krypteringsmöjligheter. Motionärerna anser att regeringen bör lämna riksdagen förslagsom innebär krav på kryptering vid datakommunika­tion av sekretessbelagd information. Härutöver anförs att dagens moderna ADB-teknik och dess oanade möjligheter till selektering och sammanställ­ningar gör att hanteringen av en mängd i och för sig oskyldiga uppgifter kan skada rikets säkerhet. Med exempel från postens transportplaneringssystem understryks det angelägna i att pröva om vissa informationssammanställning­ar är godtagbara med avseende på rikets säkerhet.

Med hänsyn till vad som i propositionen föreskrivs beträffande genomfö­rande av säkerhetsanalyser senast budgetåret 1989/90 finner utskottet att motionsyrkandet om sårbarhetsanalys i så hög grad får anses tillgodosett att något ytterligare uttalande från riksdagens sida inte är befogat. Beträffande övriga yrkanden utgår utskottet ifrån att de aspekter som där behandlas noga beaktas inom ramen för det säkerhetsfrämjande och säkerhetssamordnande arbete som bedrivs. Härutöver torde dessa frågor kunna uppmärksammas i de förnyade direktiv till samrådsgruppen för samhällets säkerhet inom dataområdet, SAMS, som aviseras! propositionen. Utskottet anser dock inte att riksdagen har anledning uttala någon mening om dessa frågor. Av det anförda framgår att utskottet avstyrker bifall till här behandlade yrkanden i motion 1987/88:Fö526 (yrk, 2-4),

Stockholm den 14 april 1988 På försvarsutskottets vägnar

Arne Andersson

Närvarande: Arne Andersson i Ljung (m). Roland Brännström (s), Gunhild Bolander (c). Evert Hedberg (s), Göthe Knutson (m). Ingemar Konradsson (s). Ingvar Björk (s), Hans Lindblad (fp), Olle Aulin (m). IréneVestlund (s). Ingvar Karlsson i Bengtsfors (c). Christer Skoog (s). Barbro Evermo Palmerlund (s). Lennart Holmsten (s) och Carl-Johan Wilson (fp).

 

Avvikande mening                                          föu 1987/88:2 y

Organisation av ADB-säkerhetsarbetet

Arne Andersson i Ljung, Göthe Knutson och Olle Aulin (alla m) anser att i den del av yttrandet - under rubriken Organisation av ADB-säkerhetsarbe­tet - som på s. 6 börjar med "Det perspektiv" och slutar med "mindre angeläget" sista meningen borde ha utgått.

gotab    Stockholm 1988  15098