Bristande cybersäkerhet

Interpellationsdebatt 3 juni 2019

Protokoll från debatten

Anföranden: 7

Anf. 29 Statsrådet Mikael Damberg (S)

Fru talman! Pål Jonson har frågat mig om regeringen delar den uppfattning som framförs av dess expertmyndigheter om att det fortsatt finns allvarliga brister på informations- och cybersäkerhetsområdet, om det nya centret för informations- och cybersäkerhet kommer att samverka med näringslivet i syfte att dela information om hot och risker i cybermiljön och om centret kommer att ha en specifik myndighet som huvudman samt om regeringen avser att införa en cybersäkerhetskoordinator på Regeringskansliet med mandat och resurser för att hålla samman cybersäkerhetsfrågorna och om koordinatorn i så fall även kan föra en direkt dialog med berörda myndigheter. Jag kommer att besvara de tre frågorna i tur och ordning.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Det korta svaret på den första frågan är ja. Regeringen delar expertmyndigheternas uppfattning. Cyberhoten är en av våra mest komplexa säkerhetsutmaningar. Med utgångspunkt i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet har regeringen vidtagit en rad åtgärder. Regeringen har arbetat fram lagstiftning som på flera sätt skärper kraven på myndigheter och företag. Det handlar till exempel om en ny säkerhetsskyddslag och lagen om informationssäkerhet för samhällsviktiga och digitala tjänster, NIS-lagen.

Regeringen har ökat resurserna till våra expertmyndigheter så att de ska kunna höja ambitionerna i sina verksamheter. Regeringen har också intensifierat styrningen av myndigheterna genom olika uppdrag och återrapporteringskrav. Därutöver har regeringen gett flera expertmyndigheter uppdrag som handlar om att utveckla stödet till myndigheter, kommuner, regioner, företag och allmänheten.

Mellan 2017 och 2018 har regeringen genomfört ett femtiotal aktiviteter som bidrar till att nå målen i den nationella strategin. Men vi behöver göra mer, vilket leder till den andra frågan.

När det gäller den andra frågan om det nationella center som statsministern aviserade i regeringsförklaringen för att öka informations- och cybersäkerheten pågår just nu ett intensivt arbete med att inrätta ett sådant center. Regeringens utgångspunkt är att vi ska upprätta ett center som motsvarar de behov vi har i Sverige. Vi ska naturligtvis hämta inspiration och lärdomar från andra länder, men det måste vara utformat på ett sådant sätt att det stöder och stärker det system som vi redan har. Hur detaljerna kring centret kommer att se ut är dock för tidigt att säga. Det får vi återkomma om.

För att svara på den tredje frågan är regeringens utgångspunkt att alla politikområden behöver arbeta med informations- och cybersäkerhet. Alla statsråd har ett tydligt ansvar för informations- och cybersäkerhetsfrågorna inom sitt ansvarsområde. För att öka informations- och cybersäkerheten i samhället behöver detta perspektiv integreras i all politik och i styrningen av myndigheterna. För att få ett bättre helhetsperspektiv och ökade synergieffekter mellan departementen finns det en samordnande funktion på Statsrådsberedningen för cyberfrågor, som bland annat ska stödja arbetet i Regeringskansliet i inrättandet av ett nationellt cybersäkerhetscenter. Funktionen tar inte över något sakansvar och har inte heller någon direkt koppling till myndigheterna.


Anf. 30 Pål Jonson (M)

Fru talman! Tack, inrikesministern, för svaret på min interpellation! Jag uppskattar att inrikesministern i sitt svar är ödmjuk inför de utmaningar som Sverige står inför på cybersäkerhetsområdet. Jag tror att det är både klokt och rimligt.

Sverige står nämligen sämre rustat än många andra jämförbara länder på detta område. Motsägelsen i Sverige är ju att vi är starka på digitalisering men svaga på cybersäkerhet. I Global Security Index, som presenterades bara för någon månad sedan, kom Sverige på femte plats när det kom till att vara världens mest digitaliserade land. När man utvärderade vår cybersäkerhet kom vi dock först på plats 32.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Detta skapar en väldigt olycklig kombination av ett väldigt stort beroende av digitala lösningar samtidigt som vi har rätt svag säkerhet i dessa digitala lösningar. Det kan ju låta paradoxalt, fru talman, att vara bra på digitalisering och dåliga på cybersäkerhet, men de svenska problemen på cybersäkerhetsområdet handlar inte om att vi inte skulle ha en innovativ it-industri. Vi har ju världsledande företag när det kommer till området kryptering. Problemen i Sverige handlar i stället om bristerna i organisation och struktur både inom Regeringskansliet och i regeringens myndigheter. Det råder en svag tillsyns- och säkerhetskultur hos många myndigheter. Det sker en fragmentisering av resurserna, och författningsstödet är otydligt på området, fru talman. Vi har den ordningen i Sverige att det är fyra ministrar och minst åtta myndigheter som lutar sig mot fyra olika lagar. Det är inte optimalt formulerat om vi vill ha en effektiv cybersäkerhet.

Framför allt, fru talman, krävs ett tydligt politiskt ledarskap - det som på engelska heter management attention - om vi vill få ordning på de allvarliga brister som finns på området cybersäkerhet i Sverige. Det har brustit under alldeles för lång tid, både under den regering som Mikael Damberg representerar och under de åtta år som Alliansen satt vid makten - det vill jag vara tydlig med. Det leder in på frågorna i min interpellation om tydligt politiskt ledarskap.

Inrikesministern sa i sitt svar att det pågår ett intensivt arbete på myndighetsnivå för att inrätta ett nytt center, men hur detaljerna runt centret ska utformas är det för tidigt att säga något om.

Fru talman! Det svaret inger oro i min värld. De två frågor jag ställde i min interpellation rörde inga detaljer utan fundamentala byggstenar för hur centret ska utformas. Vem ska vara huvudman för centret? Det ska inte vara en egen myndighet. Det spelar roll om det blir FRA eller MSB. Blir det FRA blir det sannolikt större fokus på informationssäkerhet och delning av information från signalspaning. Blir det MSB kanske det blir större fokus på säkerhetsskydd. Det spelar roll vem som är huvudman.

Ännu viktigare är framför allt vilken funktion centret ska fylla och hur det ska vara organiserat. Här är den centrala frågan om centret kommer att samverka med det privata näringslivet. Det är en bärande idé i det brittiska centret, som jag vet att Mikael Damberg nyligen har besökt, att det ska vara en effektiv samverkan. Jag noterade också att Mikael Damberg under EU-valrörelsen var ute och sa att EU ska etablera ett center på europeisk nivå som ska jobba med skydd mot industrispionage och stärka företagens skydd mot olika typer av cyberangrepp. Om man vill detta på europeisk nivå borde det vara en självklarhet att centret ska ägna sig åt dessa frågor på nationell nivå.

Fru talman! Jag vill få ett förtydligande. Uppfattar jag inrikesministern rätt när han säger att arbetet med att upprätta centret pågår med hög intensitet men att regeringen inte har någon uppfattning om hur centret ska vara organiserat eller om det ska kunna samverka med näringslivet för att kunna hindra olika former av cyberangrepp?


Anf. 31 Statsrådet Mikael Damberg (S)

Fru talman! Tack, Pål Jonson, för en viktig interpellation! Jag tackar också för tonläget i fråga om att vi i Sverige över tid inte har tagit frågorna på allvar. Jag tror att båda våra partier har ett ansvar för det ur ett politiskt perspektiv.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Vi ska vara ödmjuka nog att säga att den paradox som beskrivs delvis är en förklaring, det vill säga att vi har varit pigga på ny teknik. Att vi under lång tid har velat driva digitalisering också i offentlig förvaltning har gjort att vi har byggt system. De systemen, som i dag är gammalmodiga, togs fram utan tillräckligt mycket tänkande i cybersäkerhetsfrågor. Nu tar det en del tid att göra om gamla system till modernare och säkrare system. Att vi låg långt framme och att vi inte tog de frågorna på allvar gör att det finns större utmaningar att ställa om system, även om helt nya system byggs upp.

Dessa system hänger ihop. Det är ingen ursäkt, men det kan vara en förklaring till varför det finns en del extra utmaningar. Det är fråga om myndigheter och offentlighet, och som gammal näringsminister kan jag säga att en del av det privata näringslivet inte heller har tagit frågorna på riktigt allvar. Det har vi sett i en del intrångs- och patentfrågor, som är viktiga för svensk teknik.

Det är otroligt viktigt att dessa frågor lyfts upp i riksdagen och i regeringen. Vi har nu vår första nationella strategi på området, och det kommer nu en handlingsplan från ansvariga myndigheter. Det ska inrättas ett center. Allt detta är ett sätt för oss att tillsammans med tuffare lagstiftning skärpa kraven på återrapportering och förberedelsearbete. Vi tar frågorna på stort allvar.

Det kan vara så att jag var lite kort i svaret i fråga om cybercentret. Jag har varit i London och tittat på det. Anledningen är att vi inte vill lockas in i en diskussion där vi beskriver centret i detalj. Min utgångspunkt är att de fyra myndigheter, och någon annan myndighet, som har stora intressen i dessa frågor och som i dag jobbar mest med frågorna ska vara de som styr inriktningen och sätter sitt märke. Det finns en risk att om vi skapar ett center vid sidan av ansvariga myndigheter, som ska länka till dessa myndigheter, gör vi saker som inte ökar förmågan - att det inte blir mer "pang" för pengarna med det nya centret.

Därför vill jag gärna att myndigheterna så långt det är möjligt är eniga i sin beskrivning av behoven när de kommer till regeringen. En strategi är att få de ansvariga myndigheterna att snacka ihop sig för att få bäst utfall av en centrumbildning.

Däremot är det helt självklart att vi har politiska ambitioner. Jag skulle bli mycket förvånad om vi inrättade ett center som inte säger att man ska ha samverkan med näringslivet som en dimension. Det skulle vara mycket förvånande. Vi kommer att ha synpunkter, men vi vill gärna att myndigheterna kommer så samlat som möjligt till oss. Om vi ska bygga ett center utifrån ett svenskt koncept måste vi förstå vilka som har ansvar i det svenska systemet, så att det inte görs överlappande eller onödiga saker utan att vi i stället får mest "pang" för pengarna. Det är i alla fall utgångspunkten för regeringens arbete med dessa frågor.

Jag, flera av mina ministerkollegor och den nya koordinatorn på Statsrådsberedningen följer upp och jobbar mycket noga med denna fråga.


Anf. 32 Pål Jonson (M)

Fru talman! Jag skulle bli förvånad om Mikael Damberg blir förvånad. Regeringen styr riket och ansvarar för dess myndigheter. Det ankommer på regeringen att ha en tydlig politisk vilja. I direktiven måste det framgå att frågan är prioriterad och att det ska vara en samverkan med näringslivet. Det är där den politiska viljan och styrningen tidigare har brustit på området.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Jag ser två starka skäl till att cybercentret måste kunna förmedla information om hot och risker i cybermiljön. Det gäller framför allt de företag som driver samhällsviktig verksamhet och kritisk infrastruktur.

För det första handlar det om Sveriges säkerhet. Det mesta av den verksamhet som sker i dag inom områden som telekom, transporter och finanssektor utförs av privata aktörer. Vi är helt enkelt beroende av att företagen inte drabbas av storskaliga cyberangrepp, om vi vill säkra Sveriges funktionalitet. Vi måste, Mikael Damberg, få igång, en mycket effektivare samverkan mellan det privata och det offentliga på området cybersäkerhet.

För det andra, fru talman, handlar frågan om Sveriges välstånd. Vi vet att de statssanktionerade cyberangreppen och cyberspionaget har ökat dramatiskt i omfattning under de senaste tre åren. Det framgår i bland annat Säpos årsrapport, där man tydligt attribuerar Kinas verksamhet på området. Jag välkomnar att Säpo är tydlig med detta.

Om Sverige ska fortsätta att vara ett världsledande land inom forskning, utveckling och innovation måste vi kunna erbjuda företagen en säker handelsplats, det som britterna kallar Safe Marketplace UK. Ett led i arbetet är att säkra att företagen kan få information om de utsätts för storskaliga cyberangrepp. Det finns, fru talman, redan i dag exempel på företag som har valt att lyfta ut sin forsknings- och utvecklingsverksamhet i Sverige till andra länder eftersom andra länder kan erbjuda ett bättre skydd med hjälp av bättre samverkan mellan myndigheter och företag när och om de utsätts för storskaliga cyberangrepp. Detta är en fråga som är kopplad till Sveriges långsiktiga välstånd.

Jag noterade senast i morse, fru talman, att revisionsfirman PWC presenterade en rapport. De hade intervjuat hundra representanter för svenska storföretag. 83 procent av dem uppfattade att den cybersäkerhet som erbjuds i Sverige är för låg för deras behov. Det manar till eftertanke.

Fru talman! Just för att komma till rätta med den bristande politiska styrningen av cybersäkerhetsfrågorna på Regeringskansliet borde Sverige, likt en lång rad andra länder har gjort, införa en cybersäkerhetskoordinator. Nu sa inrikesministern i sitt svar att regeringen har infört en samordnare - jag vet inte om det är koordinator eller samordnare, men det spelar egentligen ingen roll - som bättre ska bidra till att skapa ett helhetsperspektiv i frågorna och uppnå ökade synergieffekter. Samordnaren ska också stödja arbetet med att upprätta ett cybercenter.

Det är faktiskt första gången jag hör regeringen presentera detta. Rätt utformat tror jag att funktionen kan spela en mycket viktig roll för att faktiskt få ordning på samordningen i Regeringskansliet i cybersäkerhetsfrågorna. Men i så fall behövs tre åtgärder.

För det första måste funktionen formaliseras och permanentas. Annars kommer inte Mikael Damberg att få genomslag på Regeringskansliet.

För det andra måste det finnas ett tydligt mandat för funktionen att den också ska föra en dialog med myndigheter. Sedan vet jag, precis som Mikael Damberg, att det är de enskilda fackdepartementen som utfärdar regleringsbrev, men jag tror att funktionen måste kunna prata med myndigheterna. Det är där musklerna i arbetet med cybersäkerhet finns.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

För det tredje måste funktionen ges resurser, rimligen i form av ett sekretariat. Det går inte att en person ensam ska vara ansvarig för samordningen av frågorna om cybersäkerhet på Regeringskansliet.

Jag vill därför fråga inrikesministern om han delar uppfattningen att samordnaren eller koordinatorn ska ha ett tydligt mandat, resurser och möjlighet att föra dialog med myndigheterna. Jag tror att det är viktigt att vi får ordning på den frågan.


Anf. 33 Statsrådet Mikael Damberg (S)

Fru talman! Jag konstaterar att vi verkar vara överens om den första delen av det senaste inlägget om samverkan mellan privat och offentligt. Jag vill bara återigen koppla det till att privata företag också har ansvar för att öka och jobba med sin cybersäkerhet. De kan inte överlåta det ansvaret på någon annan. Men samverkan kan göra oss ännu starkare tillsammans och avskräcka från angrepp eller intrång i Sverige.

Dessutom har samhället en del unika förmågor som privata företag inte har. Det är klart att det är en viktig fråga att diskutera om kretsen av organisationer som får ta del av detta - i dag myndigheter och statliga bolag - ska utvidgas eftersom vi också har privata företag som står för samhällskritisk verksamhet. Jag tycker att det är en viktig diskussion att föra, och den ligger helt i linje med de diskussioner som vi för.

När det gäller cyberkoordinatorn är det en ny tjänst, så det är klart att vi måste utveckla den över tid.

En dimension som inte nämndes här är det internationella arbetet. Mycket av arbetet för att motverka detta har internationella dimensioner. Vi har framför allt europeiska men också andra internationella samverkanspartner i detta som är helt centrala för ett regeringskansli och en regering att ha.

Här får vi en samlad struktur där också Statsrådsberedningen får ett tydligare mandat att jobba med dessa frågor och koordinera arbetet i Regeringskansliet men, återigen, inte överta allt ansvar. Ansvaret ligger ju på respektive fackminister, så det får inte vara så att någon slappnar av därför att vi nu har en koordinator på Statsrådsberedningen. Så får det inte gå till.

Frågan är kopplad till det säkerhetspolitiska råd som har koppling till statsministern. Det är därför vi har valt att göra kopplingen till statsministern genom det säkerhetspolitiska rådet. Jag hoppas att det är en funktion som kommer att visa sig vara framgångsrik och att vi får utveckla den över tid. Men det är också ett exempel på hur viktig vi anser att denna fråga är och att vi avser att stärka arbetet framöver.


Anf. 34 Pål Jonson (M)

Fru talman! Att fackdepartementen skulle slappna av i denna fråga tror jag inte att det finns någon risk för. Jag tror tvärtom att de bevakar sina intressen rätt noggrant. Min oro är därför att koordinatorn eller samordnaren inte kan få det tydliga mandat som behövs för att hålla ihop arbetet. Det ligger i sakens natur.

Jag vill återkomma till den rätt allvarliga situation som Sverige befinner sig i på cybersäkerhetsområdet. Det har kommit för många sådana rapporter som Global Security Index som visar att vi hamnar efter på cybersäkerhetsområdet. Jag vet att regeringen har vidtagit ett antal åtgärder den senaste tiden, men vi har inte råd att vara sämre än andra jämförbara länder på detta område. Hoten och riskerna i cybermiljön ökar exponentiellt, och gapet mellan digitalisering och säkerhet fortsätter växa. Detta enligt regeringens alla expertmyndigheter. Den trenden måste vi vända, ytterst eftersom detta hotar både Sveriges säkerhet och Sveriges välstånd.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Grunden för bättre cybersäkerhet i Sverige läggs som jag sa förut genom ett tydligt politiskt ledarskap i kombination med management attention. Regeringen måste helt enkelt veta vad den vill åstadkomma på cybersäkerhetsområdet snarare än att bara räkna upp antalet aktiviteter.

Jag vill avsluta med att ta upp tre områden där jag inte tycker att det har blivit tillräckligt bra.

För det första presenterade regeringen en information och cybersäkerhetsstrategi. Det var Sverige det sista landet inom EU att göra. Strategin innehöll 68 mål och delmål, fördelat på 29 sidor. Men en strategi ska innehålla tre M: mål, medel och metod. Denna strategi var svag i fråga om både vilka medel som regeringen avser att tillföra och med vilka metoder man ska uppnå målen.

För det andra: Om man nu sjösätter ett cybersäkerhetscenter tror jag att det är viktigt att man från början har bestämt vad man vill åstadkomma och vilka uppgifter detta center ska ha. Därför är det jätteangeläget att regeringen är tydlig med att det måste kunna främja bättre dialog mellan näringslivet och det offentliga för att stärka Sveriges cybersäkerhet.

För det tredje: Ge samordnaren ett tydligt mandat, resurser och en tydlig uppgift! Då blir det bättre.


Anf. 35 Statsrådet Mikael Damberg (S)

Fru talman! Det är viktigt att den här frågan diskuteras i riksdagen. Detta är ett område där Sverige har bestämt sig för att stärka sin beredskap och sin förmåga.

Vi formulerade för första gången i Sverige en nationell informations och cybersäkerhetsstrategi. Expertmyndigheterna i Samfi presenterade i mars en handlingsplan med 77 åtgärder som myndigheterna nu genomför enskilt eller tillsammans med andra. Det pågår alltså ett stort implementeringsarbete utifrån strategin. Vi nöjer oss inte med det. Vi kommer att fortsätta och återkomma med nya initiativ på området.

Vad jag ser som den stora utmaningen för att hålla farten uppe i detta framöver handlar mycket om medvetande. Där vill jag säga att Sverige på toppnivån, spetsnivån, har höga kompetenser på detta område. Inte bara på krypto utan också på signalspaningsområdet finns det experter som är otroligt duktiga på detta. Det vi har problem med är den allmänna säkerhetsnivån i våra system, som måste höjas. Det handlar mycket om människor. Det handlar om kompetens och utbildning för att Sverige ska hänga med i utvecklingen, både i privata företag och i det offentliga systemet.

Regeringen kommer att fortsätta bevaka detta. Vi har tagit väldigt många initiativ de senaste åren. Vi kommer att fortsätta hålla högt tempo i detta, för Sverige ska klara av att både ligga långt fram i digitaliseringen och se till att säkerhetsgapet inte växer över tid när vi ligger långt framme vad gäller digitala lösningar. Det är i alla fall utgångspunkten för oss, och jag tror att Sverige även på det här området kommer att kunna visa framfötterna.

STYLEREF Kantrubrik \* MERGEFORMAT Svar på interpellationer

Interpellationsdebatten var härmed avslutad.

Interpellation 2018/19:236 Bristande cybersäkerhet

av Pål Jonson (M)

till Statsrådet Mikael Damberg (S)

 

Sverige är ett av världens mest digitaliserade länder, men vid internationella jämförelser rankas Sverige anmärkningsvärt lågt på cybersäkerhetsområdet. I Global Security Index för 2018 rankades Sverige som världens femte mest digitaliserade land men hamnade först på plats 32 när det kommer till cybersäkerhet.

Det har skett vissa framsteg på detta område under senare tid. Riksdagen har bland annat antagit en ny säkerhetsskyddslag där utökade åtgärder för informationssäkerhet utgör en central del. Men mycket arbete återstår. Säkerhetspolisens årsbok för 2018 fångar den rådande situationen på säkerhetsskyddsområdet väl genom att beskriva situationen som bättre men inte bra. Även Försvarets radioanstalt (FRA) och Must pekar i sina årsrapporter för 2018 på att det alltjämt finns stora brister på informations- och cybersäkerhetsområdet i Sverige. 

Svag styrning från Regeringskansliet, fragmentiseringar av resurser på myndighetsnivå samt otydligt författningsstöd är några av skälen till den bristande cybersäkerheten i Sverige. Det är fortsatt fyra statsråd i regeringen och åtta myndigheter som har ansvar för informations- och cybersäkerhetsfrågorna i en form eller annan.

Statministern kungjorde i regeringsdeklarationen 2019 att regeringen avser att upprätta ett nationellt center för informations- och cybersäkerheten. Moderaterna har under en längre tid förespråkat att Sverige bör upprätta ett cyberoperationscenter som motsvarar den modell som Storbritannien upprättade för tre år sedan.

Vidare har Moderaterna även föreslagit att en cybersäkerhetskoordinator med tydligt mandat och resurser bör inrättas på Statsrådsberedningen. Syftet är att hålla samma informations- och cybersäkerhetsfrågorna i Regeringskansliet på ett väsentligt effektivare sätt än vad som är fallet i dag. En cybersäkerhetskoordinator bör rimligen även kopplas till ett nationellt säkerhetsråd.

Med anledning av det ovanstående vill jag ställa följande frågor till statsrådet Mikael Damberg:

 

  1. Delar regeringen den uppfattning som framförs av dess expertmyndigheter att det fortsatt finns allvarliga brister på informations- och cybersäkerhetsområdet i Sverige?
  2. Kommer det nya centret för informations- och cybersäkerhet att samverka med näringslivet i syfte att dela information om hot och risker i cybermiljön, och kommer centret att ha specifik myndighet som huvudman?
  3. Avser regeringen att införa en cybersäkerhetskoordinator på Regeringskansliet med mandat och resurser för att hålla samman cybersäkerhetsfrågorna, och kan koordinatorn i så fall även föra en direkt dialog med berörda myndigheter?