över proposition 1987/88:95 om datapolitik för statsförvaltningen

Försvarsutskottets yttrande
1987/88:2 y

över proposition 1987/88:95 om datapolitik för FöU

statsförvaltningen 1987/88:2 y

Till finansutskottet

Finansutskottet har berett försvarsutskottet tillfälle att yttra sig över
proposition 1987/88:95 om datapolitik för statsförvaltningen och motioner i
anslutning härtill. Försvarsutskottets yttrande berör främst avsnittet 3.6 om
organisation av säkerhetsarbetet och omfattar också ett antal till utskottet
hänvisade motionsyrkanden från den allmänna motionstiden 1988, nämligen
FÖ501, Fö511 samt FÖ526. Dessa överlämnas till finansutskottet - under
förutsättning av dess medgivande - med detta yttrande.

Motionerna

Väckta under allmänna motionstiden 1988

1987/88:Fö501 av Bengt Westerberg m.fl. (fp) vari yrkas att riksdagen som
sin mening ger regeringen till känna vad i motionen anförts om säkerhet och
sårbarhet.

1987/88:Fö511 av Bengt Kindbom m.fl. (c) vari yrkas

1. att riksdagen hos regeringen begär att en parlamentarisk sårbarhetsberedning
tillsätts,

2. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om parlamentarisk medverkan i datautvecklingsarbetet,

3. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om decentralisering av dataregistren.

1987/88:Fö526 av Anders Björck m.fl. (m) vari yrkas

1. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om hanteringen av sårbarhetsfrågorna inom regeringskansliet.

2. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om sårbarhetsanalys i samband med utredningsförslag om inrättande
av nya register,

3. att riksdagen hos regeringen begär förslag till krav på kryptering av
sekretessbelagd information vid datakommunikation,

4. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om sammanställning och försäljning av information som kan vara till
skada för rikets säkerhet.

1

1 Riksdagen 1987/88. lOsaml. Nr2 y

Rättelse: S. 1 rad 14 nedifrån. Står: decentralisering av dataregistren. Rättat till:
parlamentarisk datautvecklingsarbetet,

Väckta med anledning av proposition 1987/88:95

FöU 1987/88:2 y

1987/88:Fil5 av Lars Tobisson m.fl. (m) såvitt gäller yrkande 3 att riksdagen
som sin mening ger regeringen till känna vad som i motionen anförs angående
sårbarhetsarbetets organisation.

1987/88:Fil6 av Anne Wibble m.fl. (fp) såvitt gäller yrkande 6 att riksdagen
som sin mening ger regeringen till känna vad i motionen anförs om ansvaret
för säkerhetsarbetet.

Inledning

Riksdagen behandlade - med anledning av vissa under den allmänna
motionstiden 1987 väckta motioner - frågor rörande ADB-sårbarhet och
ADB-säkerhet hösten 1987 (FöU 1987/88:1, rskr. 24). Det finns i detta
sammanhang anledning att återge huvuddragen i vad försvarsutskottet i sitt
betänkande därvid anförde som sin - sedermera riksdagens - mening
beträffande datasäkerhetsarbetets organisation och vidgade uppgifter för
överstyrelsen för civil beredskap (ÖCB).

Sålunda konstaterade utskottet bl.a. att beredskapsplaneringen inom
ADB-området förefaller vara i stort behov av aktivering, att ADBsårbarheten
inom ADB-användande myndigheter och organ ofta är oacceptabelt
hög, att rollfördelningen mellan de olika centrala myndigheter som har
ett partiellt ansvar för samordningen av åtgärder för att minska ADBsårbarheten
inte är helt utklarad samt att det därför är av stor vikt att ett
samlat grepp tas på ADB-säkerhetsfrågorna, syftande till ett förtydligande
av samordningsansvaret och ett undvikande av ineffektivt dubbelarbete.

I betänkandet anförde utskottet vidare:

Den självklara och nödvändiga utgångspunkten är dock att ADB-säkerhetsarbetet
i allt väsentligt utgör systemanvändarens ansvar. ADB-säkerhetsfrågorna
är så mångfacetterade, komplexa och specifika för olika system och
användare att det torde vara omöjligt för ett överordnat organ att skaffa sig
kunskap om de svagheter som vidlåder det enskilda systemet. De totala
sammanlagda kostnaderna för de olika åtgärder som erfordras för att
väsentligt nedbringa ADB-sårbarheten i samhället skulle därtill bli mycket
höga. De som avser att utnyttja ADB för sin verksamhet under kriser och i
krig torde i allmänhet vara de användare som även i fredstid bör eftersträva
särskilt hög systemsäkerhet. Det huvudsakliga ADB-säkerhetsarbetet måste
således bedrivas av den ansvarige systeminnehavaren i fråga om organisation.
säkerhetsrutiner, personal, tekniska anordningar, fysiskt skydd, personalutbildning.
m.m.

Vad som erfordras på central nivå är således en kraftsamling när det gäller
samordning och praktiskt främjande av ADB-säkerhetsarbetet i varje fall
under en övergångsperiod till dess ADB-tillvänjningen i samhället hunnit
därhän att huvudregeln om varje ADB-användares primära säkerhetsansvar
fatt fast form.

Frågan om vilken av de aktuella myndigheterna som i detta kraftsamlande
syfte i första hand skulle kunna ges vidgade uppgifter bör enligt utskottets
mening bl.a. ses i sammanhang med frägan om huruvida det är ändamålsenligt
att. som hittills, i fråga om ADB-säkerhet och ADB-sårbarhet särskilja
problemen i fred frän de som gäller för kriser och krig. Utskottet finner för

2

sin del övervägande skäl tala för att ett organisatoriskt särskiljande är sakligt
omotiverat och olämpligt. Problemen är tillräckligt likartade för att de
lämpligen bör behandlas i ett sammanhang. I konsekvens härmed och mot
bakgrund av existerande kompetens och inriktning inom resp. myndighet
anser utskottet att det påtalade behovet av samordning, kraftsamling och
överblick inom ADB-säkerhetsområdet i första hand bör tillgodoses genom
att ÖCB ges vidgade uppgifter på detta område. De resursfrågor som därvid
aktualiseras torde hanteras inom ramen för den löpande budgetprocessen.

Utskottet anser att riksdagen som sin mening bör ge regeringen till känna
vad som i det föregående har anförts om vidgade uppgifter på ADBsäkerhetsområdet
för ÖCB.

Propositionens huvudsakliga innehåll

I proposition 1987/88:95 konstaterar föredragande statsråden Holmberg och
Bodström inledningsvis i vad avser frågor rörande säkerhet och sekretess
inom dataområdet (kap. 3) att man utan inbördes skarpa gränser kan urskilja
följande huvudområden:

- den grundläggande säkerhet i fred som omfattar systemkvalitet, reservfunktioner.
intrångsskydd, fysiska hot som sabotage och terrorism, etc.,

- den ytterligare säkerhet som avser särskild utformning av vissa system för

att kunna stödja funktioner som skall verka under kris och i krig.

I propositionen konstateras vidare att ett antal myndigheter har ansvar för
olika delar av säkerhetsarbetet och att det finns ett behov av att precisera
deras uppgifter och att skapa en organisatorisk grund för samordning,
kraftsamling och överblick över beredskapsplaneringen och säkerheten i
ADB-systemen.

Härutöver anförs att alla myndigheter som har ansvar för ADB-system,
vilka den egna eller andras verksamhet är beroende av, bör ha en klar
uppfattning om säkerheten i ADB-verksamheten. Dessa myndigheter skall
därför, enligt vad som föreskrivs i propositionen, senast budgetåret 1989/90
ha genomfört säkerhetsanalyser för dessa system samt vid behov ha utarbetat
en plan för erforderliga säkerhetshöjande åtgärder. I propositionen anförs
att statskontoret bör ges i uppdrag att sammanställa resultaten av dessa
säkerhetsanalyser och till regeringen i samråd med ÖCB redovisa en
bedömning av analyserna samt planerade eller vidtagna åtgärder vid
myndigheterna med anledning av analyserna.

Beträffande organisationen av ADB-säkerhetsarbetet i övrigt anförs i
propositionen (bil. 3.6, s. 33-36) att överstyrelsen för civil beredskap. ÖCB.
och statskontoret har ansvaret för främst samordning och sårbarhets- och
säkerhetsfrågor i fred, under kris och i krig. Med hänvisning till riksdagens
ställningstaganden hösten 1987 i dessa frågor behandlas frågan rörande
ansvarsfördelningen mellan dessa båda myndigheter och även rollen för den
särskilda samrådsgrupp för samhällets säkerhet inom dataområdet (SAMS)
som tillsatts inom regeringskansliet.

Härvid anförs beträffande ÖCB bl.a. att överstyrelsen bör få i uppdrag att
utreda behovet av styrmedel för att förverkliga en samhällsövergripande
beredskapsplan för landets ADB-beroende vid krigsfara eller krig. Vidare
bör ÖCB enligt propositionen belysa förutsättningarna för att också utfärda

FöU 1987/88:2 y

3

riktlinjer för förberedelser i fred som ger tillräcklig ADB-säkerhet vid
krigsfara eller i krig. Det sägs i propositionen kunna vara möjligt att i samma
riskanalys och i samma planeringsprocess behandla säkerhetsåtgärder för
såväl fred som kris och krig samt formulera de funktionskrav som samhällsviktiga
ADB-system skall kunna leva upp till.

ÖCB:s övergripande ansvar för beredskapsplaneringen av bl.a. säkerhet
som följd av ADB-användningen är enligt propositionen emellertid så nytt
att det ännu saknas erfarenheter av hela planeringsprocessen, exempelvis
beträffande finansieringen av åtgärder som inte är motiverade för enbart
fredssamhället. ÖCB bör därför enligt propositionen få i uppdrag att
närmare utveckla frågor rörande beredskapsplaneringens styrmedel, som ett
första steg i riktning mot att utöka ÖCB:s ansvar till att också omfatta
riktlinjer för förberedelser i fred för att uppnå tillräcklig ADB-säkerhet i kris
och krig.

Beträffande statskontoret sägs i propositionen att kontoret bör ha kvar
sina nuvarande uppgifter inom säkerhetsområdet. Däri ingår enligt propositionen
att ha ett samordningsansvar för ADB-säkerheten i fred inom den
civila statsförvaltningen inkl. affärsverken. I sitt säkerhetsarbete skall
statskontoret bl.a. utgå från de krav på ADB-säkerhet i kris och krig som
kommer fram i ÖCB:s arbete.

Försvarsutskottet
Organisation av ADB-säkerhetsarbetet

Utskottet konstaterar att regeringen i föreliggande proposition sökt ta fasta
på och närmare konkretisera bl.a. vad som från riksdagens sida hösten 1987
tillkännagavs i inledningsvis återgivna utskottsbetänkande om ADB-sårbarhet
och ADB-säkerhet. Vad utskottet i det sammanhanget anförde utgör den
självklara utgångspunkten för utskottets här föreliggande ställningstagande
till den inriktning som redovisas i propositionen och till de motioner som
omfattas av detta yttrande.

Utskottet biträder således den uppfattning som uttrycks i propositionen
och som även i väsentliga avseenden kommer till uttryck i motionerna i
berörda delar, nämligen att det saknas en samlad bild över sårbarheten/
säkerheten i ADB-verksamheten och konsekvenserna av störningar och att
det därför finns ett behov av att skapa en organisatorisk grund för
samordning, kraftsamling och överblick över beredskapsplaneringen och
säkerheten i ADB-systemen. Utskottet biträder också vad som anförs i
propositionen om det lämpliga i att stegvis skapa konkreta former för
tillämpningen av de av riksdagen angivna riktlinjerna beträffande ÖCB:s
utökade samordningsansvar och ansvar för att bl.a. tillhandahålla det för
ADB-säkerhetsarbetet nödvändiga riskanalysunderlaget.

1 tre motioner från den allmänna motionstiden 1988 berörs frågor rörande
ADB-säkerhetsarbetets bedrivande.

1 motion 1987/88:Fö501 (fp) framhålls att det huvudsakliga ansvaret för en
enskild myndighets säkerhetsarbete och sårbarhetskontroll ligger på myndigheten
själv. Vidare anförs att sårbarhetsberedningen i sitt arbete visade att

FöU 1987/88:2 y

4

det också är nödvändigt att statsmakterna har ett samlat grepp över dessa
frågor. Det finns, heter det, gemensamma metodproblem för situationer i
såväl fred som krig, något som hösten 1987 bekräftades av försvarsutskottet
som föreslog ÖCB som samordningsmyndighet. I motionen anges därefter
ett antal konkreta uppgifter som i enlighet härmed borde åläggas ÖCB,
däribland ansvaret för principer om undanförsel och förstöring av ADBregister
och uppgifter i händelse av krig.

I motion 1987/88:Fö511 (c) anförs bl.a. att ett sätt att öka säkerheten och
minska sårbarheten i de funktioner som är beroende av ADB-teknik vore att
begränsa användningen av stora centrala dataregister. Motionärerna anser
att ADB-användning inom myndigheter och andra offentliga organisationer
skall baseras på små decentraliserade datasystem. Regeringen bör enligt
motionärerna ges i uppdrag att utarbeta planer för decentralisering av de
centrala dataregistren inom olika centrala förvaltningar. Slutligen framhåller
motionärerna att sårbarhetsfrågorna och datafrågornas handläggning måste
ges en förstärkt parlamentarisk förankring. 1 ett yrkande hemställs att
riksdagen hos regeringen begär att en parlamentarisk sårbarhetsberedning
tillsätts.

I motion 1987/88:Fö526 (m) anförs att de brister inom ADB-säkerhetsområdet
som sårbarhetsberedningen pekade på ännu kvarstår och att det i dag
inte finns något organ med ett samlat och övergripande ansvar för den
nationella säkerheten, trots det ansvar som nu lagts på ÖCB. Det är enligt
motionärerna nödvändigt att regeringen snarast till riksdagen redovisar vilka
åtgärder man avser att vidta för att minska sårbarheten. Samtidigt bör
regeringen, framhålls det, till riksdagen redovisa en organisation för
sårbarhetsfrågornas hantering med klara ansvarsförhållanden inom regeringskansliet.

Frågorna om ADB-säkerhetsarbetets organisation berörs även i ett par
motioner som väckts med anledning av proposition 1987/88:95.

I motion 1987/88:Fi 15 (m) noteras att regeringen valt att låta statskontoret
ta ett samordningsansvar för ADB-säkerheten i fred inom den civila
statsförvaltningen inkl. affärsverken. Enligt motionärerna finns det nu risk
att sårbarhetsfrågorna splittras mellan ÖCB, statskontoret och SAMS. De
framhåller att en organisation med en gemensam handläggning av sårbarhetsfrågorna
både i fredstid och för kris- och krigslägen hade varit att
föredra. Med den nuvarande organisationen åvilar det regeringen ett stort
ansvar att tillse att sårbarhetsfrågorna beaktas såväl inom den statliga
sektorn som inom övriga samhällssektorer. Motionärerna anser även att
statskontorets samordningsansvar på detta område bör inskränkas till den
civila statsförvaltningen, exkl. affärsverken.

I motion 1987/88:Fi 16 (fp), slutligen, avvisar motionärerna den ansvarsuppdelning
som redovisas i propositionen mellan ÖCB och statskontoret.
Motionärerna anser att uppdelningen enligt propositionen är oklar och
överlappande och därtill ej i överensstämmelse med riksdagens tillkännagivande
hösten 1987. ÖCB har enligt motionärernas mening tilldelats ansvaret
för säkerhetsarbetet och skall ha det i fortsättningen.

Utskottet får med anledning av dessa motioner anföra följande. Utskottet
erinrar om att det var mot bakgrund av ett antal motionsyrkanden om

FöU 1987/88:2 y

5

effektiviserad samordning av och parlamentariskt deltagande i ADBsäkerhetsarbetet,
m.m. som utskottet hösten 1987 enigt uttalade att ÖCB
borde kunna ges vidgade uppgifter i syfte att tillgodose det påtalade behovet
av samordning, kraftsamling och överblick inom ADB-säkerhetsområdet.
Utskottet kvarstår vid sin bedömning att det därmed inte finns några vägande
skäl för inrättande av ett särskilt sårbarhetsorgan eller tillsättande av en
parlamentarisk sårbarhetsutredning. Yrkandena I och 2 i motion 1987/
88:Fö511 (c) bör således avslås av riksdagen.

Utskottet har inhämtat att ett samråd upprättats mellan främst ÖCB och
statskontoret för att diskutera fram en lämplig och preciserad roll- och
ansvarsfördelning. Den inriktning som nu redovisas i propositionen beträffande
ansvarsfördelningen utgår i hög grad frän resultatet av hittillsvarande
samråd, ett samråd som för övrigt även kommer att fortsätta med sikte på en
ytterligare precisering av ansvarsförhållandena.

Utskottet konstaterar vidare ånyo att ADB-säkerhetsfrågorna och frågorna
om samordning m.m. av ADB-säkerhetsåtgärderna är mångskiftande och
komplexa. Det handlar här om ett område där den inom totalförsvaret
gängse principen om att ett ansvar i fred även utgör ett ansvar i kris och krig
knappast kan äga full tillämplighet. Det gäller således att på sikt finna en
lämplig balans mellan dels principen om systemanvändarens eget ansvar,
dels nödvändigheten av central samordning och överblick över helheten och
dels de olika specifika krav som ställs av olika specialintressenter inom
ADB-området.

Det perspektiv som försvarsutskottet har att anlägga på här behandlade
frågor avser hela samhället och hela spännvidden fred - kris - krig. Utifrån
detta bredare perspektiv har det varit naturligt att - såsom metod att främja
en effektiviserad och aktiverad samordning av ADB-säkerhetsåtgärder - i
första hand förorda att ÖCB ges vidgade uppgifter. Detta gör inte det arbete
som kan bedrivas av bl.a. statskontoret inom dess verksamhetsområde
mindre angeläget.

Utskottet har mot ovanstående bakgrund inga invändningar mot de första
steg i riktning mot förnyade organisationsformer för ADB-säkerhetsarbetets
samordning och bedrivande som redovisas i propositionen. I avvaktan på den
vidare utvecklingen av samarbetet och ansvarsfördelningen mellan berörda
myndigheter i den angivna färdriktningen - och i avvaktan på att ÖCB i
enlighet med regeringens programplaneanvisningar 1988-02-25 skall ange
vilka resursbehov som följer av de nya uppgifterna - anser utskottet att
riksdagen inte bör uttala sig i enlighet med här behandlade motionsyrkanden.
Utskottet avstyrker således bifall till motionerna 1987/88:Fö501 (fp).
1987/88:Fö52ö (m). yrkande I. 1987/88:Fi 15 (m), yrkande 3 samt 1987/
88:Fi 1 f> (fp), yrkande 6.

Andra ADB-säkerhctsfrägor

I motion ]987/88:Fö511 (c) betonas som framgått ovan att en decentralisering
av dataregistren vore en särbarhetsminskande åtgärd. Enligt motionärerna
borde riksdagen ge regeringen till känna vad som i motionen i detta
ämne anförs. Utskottet anser emellertid inte att riksdagen bör tillkännage
någon mening i denna fråga. Det är visserligen uppenbart att stora centrala

FöU 1987/88:2 y

6

datasystem är sårbara för störningar, men den tekniska utvecklingen i sig
tenderar att verka i decentraliserande riktning. Dessutom har utskottet
inhämtat att uppmärksamheten inom ADB-användande myndigheter och
organ i ökande grad kommit att riktas mot säkerhetsfrågor även i centrala
system. Utskottet avstyrker med hänvisning härtill bifall till detta motionsyrkande
(yrk. 3).

I motion 1987/88:Fö526 (m), slutligen, tar motionärerna upp vissa frågor
rörande sårbarhetsanalys, kryptering av sekretessbelagd information samt
sammanställning och försäljning av information som kan vara till skada för
rikets säkerhet.

Motionärerna anser att alla myndigheter med ADB-register bör göra en
sårbarhetsanalys och bedöma eventuella störningar och att en sårbarhetsanalys
bör läggas till grund för beslutsfattande om varje nytt register, ett krav
som bör ställas på statliga myndigheter genom tillägg i kommittékungörelsen.
Beträffande datakommunikationernas sårbarhet anför motionärerna
bl.a. att skyddet mot avlyssning snabbt måste vidareutvecklas genom
förbättrade krypteringsmöjligheter. Motionärerna anser att regeringen bör
lämna riksdagen förslag som innebär krav på kryptering vid datakommunikation
av sekretessbelagd information. Härutöver anförs att dagens moderna
ADB-teknik och dess oanade möjligheter till selektering och sammanställningar
gör att hanteringen av en mängd i och för sig oskyldiga uppgifter kan
skada rikets säkerhet. Med exempel från postens transportplaneringssystem
understryks det angelägna i att pröva om vissa informationssammanställningar
är godtagbara med avseende på rikets säkerhet.

Med hänsyn till vad som i propositionen föreskrivs beträffande genomförande
av säkerhetsanalyser senast budgetåret 1989/90 finner utskottet att
motionsyrkandet om sårbarhetsanalys i så hög grad får anses tillgodosett att
något ytterligare uttalande från riksdagens sida inte är befogat. Beträffande
övriga yrkanden utgår utskottet ifrån att de aspekter som där behandlas noga
beaktas inom ramen för det säkerhetsfrämjande och säkerhetssamordnande
arbete som bedrivs. Härutöver torde dessa frågor kunna uppmärksammas i
de förnyade direktiv till samrådsgruppen för samhällets säkerhet inom
dataområdet, SAMS, som aviseras i propositionen. Utskottet anser dock inte
att riksdagen har anledning uttala någon mening om dessa frågor. Av det
anförda framgår att utskottet avstyrker bifall till här behandlade yrkanden i
motion 1987/88:Fö526 (yrk. 2-4).

Stockholm den 14 april 1988
På försvarsutskottets vägnar

Arne Andersson

Närvarande: Arne Andersson i Ljung (m). Roland Brännström (s). Gunhild
Bolander (c). Evert Hedberg (s). Göthe Knutson (m). Ingemar Konradsson
(s). Ingvar Björk (s). Hans Lindblad (fp). Olle Aulin (m). Iréne Vestlund (s).
Ingvar Karlsson i Bengtsfors (c). Christer Skoog (s). Barbro Evermo
Palmerlund (s). Lennart Holmsten (s) och Carl-Johan Wilson (fp).

FöU 1987/88:2 y

7

Avvikande mening
Organisation av ADB-säkerhetsarbetet

Arne Andersson i Ljung, Göthe Knutson och Olle Aulin (alla m) anser att i
den del av yttrandet - under rubriken Organisation av ADB-säkerhetsarbetet
- som på s. 6 börjar med ”Det perspektiv” och slutar med ”mindre
angeläget” sista meningen borde ha utgått.

FöU 1987/88:2

gotab Stockholm 1988 15098