Handlingsplan för samhällets informationssäkerhet

Herr talman! Désirée Liljevall har frågat mig vad jag avser att göra för att se till att de åtgärder som Krisberedskapsmyndigheten föreslog i handlingsplanen för samhällets informationssäkerhet verkställs och vid vilken tidpunkt de bör vara genomförda. I juni 2008 beslutade regeringen att uppdra åt Krisberedskapsmyndigheten att i samverkan med berörda myndigheter påbörja förvaltningen av handlingsplanen. Inom Regeringskansliet pågår ett arbete för att genomföra de åtgärder som regeringen föreslog i propositionen Stärkt krisberedskap - för säkerhets skull (prop. 2007/08:92). Av propositionen framgår att Myndigheten för samhällsskydd och beredskap, MSB, ges uppgiften att hålla samman det nationella informationssäkerhetsarbetet för samhällsviktiga verksamheter. Ansvaret gäller före, under och efter en kris. Ansvarsprincipen stärks genom att den kompletteras med en skyldighet för myndigheter och andra aktörer att initiera och bedriva sektorsövergripande samverkan. Krisberedskapsmyndigheten, Säkerhetspolisen, Rikskriminalpolisen, Försvarsmakten, Försvarets radioanstalt, Försvarets materielverk, Post- och telestyrelsen och Verket för förvaltningsutveckling har etablerat en samverkansgrupp för informationssäkerhet (Samfi). Den är en viktig plattform för genomförandet av gemensamma och koordinerade insatser inom det nationella informationssäkerhetsområdet. Myndigheten för samhällsskydd och beredskap kommer att ges föreskriftsrätt för att informationssäkerheten hos myndigheter ska vara tillräcklig. Den kommer också att ges föreskriftsrätt om risk- och sårbarhetsanalyser. Med inrättandet av MSB och det arbete som sker inom ramen för handlingsplanen ger regeringen nödvändiga förutsättningar för ett sammanhållet informationssäkerhetsarbete, ett stärkt samhällsskydd och en god beredskap där alla aktörer tar ansvar. En god informationssäkerhet bygger på ett kontinuerligt arbete inom alla samhällssektorer och på alla ansvarsnivåer. Etablerandet av Myndigheten för samhällsskydd och beredskap är viktigt i arbetet att stärka samhällets informationssäkerhet.

Herr talman! Jag vill börja med att tacka försvarsminister Sten Tolgfors, men jag tycker att ministern slingrar sig från själva kärnfrågan, nämligen vad som händer med den handlingsplan för samhällets informationssäkerhet som Krisberedskapsmyndigheten, KBM, lämnade till regeringen i våras. Samtidigt bekräftar det min farhåga att regeringens arbete med IT-säkerhet går med snigelfart. När KBM i våras lämnade över sin handlingsplan till regeringen tror jag inte de i sin vildaste fantasi kunde tro att det mesta skulle skjutas på framtiden. Av de 47 åtgärdsförslag som handlingsplanen består av är det flera som regeringen bör sätta tänderna i redan i år. Herr talman! Anledningen är inte svår att förstå. Hot som rör informationssäkerhet ökar. För en enskild datoranvändare räcker det med ett klick på fel länk i ett e-postmeddelande eller på en hemsida för att datorn ska bli kapad. Det mest kända exemplet på hur informationssäkerheten i ett helt land kan riskeras är incidenterna mot Estland under förra året. Banker, medier, regeringskansli och lång rad departement utsattes för organiserade överlastningsattacker som världen inte sett tidigare. 20 000 datorer kapades. I somras under Georgienkonflikten fick vi se ytterligare exempel på modern krigföring. På samma gång som ryska stridsvagnar rullade över georgisk mark var ett annat krig i full gång i cyberspace. Georgiska webbplatser utsattes under flera veckors tid för gigantiska nätangrepp. Bland annat hackades nationalbankens och flera viktiga myndigheters sajter och ny information lades ut. Landets invånare visste inte vad som var sant eller falskt. Frågan som alla genast ställer sig är förstås: Skulle det här kunna hända i Sverige? Vilken beredskap har egentligen Sverige för att ett cyberkrig av den kaliber som drabbade Georgien och Estland? Behöver svenska folket känna sig oroliga? Tyvärr är det nog så. Den ena efter den andra undersökningen som har presenterats under det senaste året visar på stora brister inom svensk IT-säkerhet. Det var bland annat dessa larmrapporter som föranledde den handlingsplan för samhällets informationssäkerhet som vi diskuterar här i dag. Herr talman! KBM:s handlingsplan togs fram därför att den behövs och för att läget i många stycken är akut. Det var inte tänkt att den skulle läggas på hyllan och sedan tas fram ur gömmorna lagom till att den nya Myndigheten för samhällsskydd och beredskap sjösätts i januari nästa år. Det är därför oroande att försvarsministern envisas med att endast tala om denna myndighet som inte ens finns än. Det är en del av framtiden även om det är en nära framtid. Jag är intresserad av att veta vad som händer nu. Hur står Sverige berett i dag om vi skulle utsättas för ett nätangrepp? Vilka av KBM:s högprioriterade åtgärdsförslag har regeringen påbörjat?

Herr talman! Det är otroligt kraftfullt av Socialdemokraterna att efter tolv år i regeringsställning utan något resultat på IT-säkerhetsområdet komma tillbaka till sin kammare och verkligen tänka till varefter man presenterar en rapport med förslaget om en ny myndighet. Nu säger Désirée Liljevall att det har gått flera månader och planen är inte i alla delar verkställd. Man kan knappast tycka att det är en kraftfull argumentation. Den nya myndigheten MSB ska hålla samman det nationella informationssäkerhetsarbetet. Vi tydliggör också olika aktörers ansvar på området. MSB får ansvar för att inrikta, leda och samordna samhällets krisberedskap. Åtgärdsbehoven har utretts under tolv år, och den tidigare regeringen gjorde knappast någonting värt att nämna. Nu läggs i stället grunden för samarbete och ansvarstagande. Det är ansvarsprincipen som är grundläggande för säkerhet i informationssamhället. För att den ska fungera krävs det att kunskap, överblick och ett sammanhållet informationssäkerhetsarbete finns. Den som har ansvar för en verksamhet under normala förhållanden ska också ha motsvarande ansvar under krissituationer. Den som bäst känner och kan sin verksamhet i normala tider ska hantera den också när det är kris. Det är därför som Socialdemokraternas tanke om en särskild ny myndighet med ett separerat ansvar är så grundläggande fel. Det vi nu gör innebär att det förebyggande och förberedande arbetet kommer att stärkas. Den nya myndigheten kommer också att arbeta med att samordna de åtgärder som krävs för att hejda attacker och minimera konsekvenser. Den nya myndigheten får ett ansvar för att inrikta och föreskriva vilken säkerhet som respektive annan myndighet ska ha i sina IT-system. Det är sedan upp till respektive myndighet att tillse att man kan leva upp till den säkerhetsnivån. KBM har sedan länge bedrivit en liknande verksamhet gentemot kommuner, men då genom ett frivilligt åtagande från kommunen. Det har inte varit fullt ut tillräckligt. Som sagt: Ett system med förflyttning av ansvar till en annan myndighet, en krisledande myndighet, en särskild IT-säkerhetsmyndighet, skulle leda till effektivitets- och tidsförluster i tidskritiska skeenden. Att vid en kris börja flytta ansvar skulle skapa osäkerhet och otydlighet. Samtidigt som den nya myndigheten MSB nu inrättas arbetar Krisberedskapsmyndigheten tillsammans med andra myndigheter för att genomföra förslagen i handlingsplanen. Genom åtgärdsförslagen i handlingsplanen har Krisberedskapsmyndigheten i samarbete med andra myndigheter med särskilda uppgifter inom informationssäkerhetsområdet fått nödvändiga förutsättningar för att skapa grunderna för att kunna hantera hot, risker, sårbarhet och allvarliga samhällskonsekvenser inom informationssäkerhetsområdet. Jag tillhör dem, Désirée Liljevall, som löpande samråder med min estniska kollega för att tillsammans med esterna dra slutsatser om vad som hände i Estland, resonera om hur man kan undvika det i framtiden och också följa utvecklingen av det kompetenscenter inom Natos ram som Estland just nu arbetar med att etablera. Sverige är inte medlem i Nato, men vi kan samverka med Nato, inte minst vad gäller kunskap för att lära oss bättre framöver. Det skulle vara väldigt intressant att höra Désirées inställning till Estlands nya center, kompetenscentret inom Nato, och hur hon anser att Sverige ska förhålla sig till den kunskap och de projekt som där bedrivs.

Herr talman! Jag är självfallet mycket positiv till att Estland tittar över vad som har hänt och lär sig några läxor så att man vet hur man ska hantera framtiden. Men när ministern fortsätter att tala om den nya myndigheten MSB vill jag tala om fakta. I november förra året kunde KBM tillsammans med .SE, Stiftelsen för Internetinfrastruktur, påvisa att sex av tio samhällsviktiga organisationer brister i sin IT-säkerhet och inte skulle klara en attack utifrån. Det konstaterades att tre av fyra undersökta webbservrar skulle kunna användas för spridning av falsk information. En fjärdedel hade så allvarliga brister att KBM och .SE bedömde att de måste åtgärdas akut. Att det går att kapa svenska myndigheters hemsidor var det få som kände till. Det säger sig självt att den insikten gav anledning för regeringen att agera med omedelbar verkan. Nu har det gått ett år sedan KBM och .SE lade fram sin rapport om svenska myndigheters och organisationers stora IT-säkerhetsbrister. Regeringen har alltså haft ett år på sig att se till att svenska myndigheter och organisationer är bättre rustade och har skaffat de viktiga rutiner som behövs. Men den rapport jag har med mig här, .SE:s uppföljning av förra årets undersökning, visar på motsatsen, även om .SE tillstår att det har blivit lite bättre. Resultatet talar dock sitt tydliga språk. Av de 621 samhällsviktiga domäner som testats har 28 procent allvarliga fel som måste åtgärdas snarast, och 57 procent, mer än hälften, har brister av en karaktär som genererar varning. Sämst ser det ut för de svenska landstingen. 33 procent av alla namnservrar har någon typ av fel som kan betraktas som allvarligt. Sätter jag det i relation till det faktum att landstingen är ansvariga för svenska folkets sjukjournaler, som ligger lagrade i sjukvårdens datorer, reser sig håren på mina armar. Vad händer om någon går in och läser journalerna, eller ännu värre, ändrar i journalerna? Estland har förstås rannsakat sig självt, och det har man gjort bra. En av de läxor man har lärt sig är att aktören bakom en attack kan vara grannbarnen lika gärna som ett fientligt grannland. Det är viktigt att ha en god beredskap på IT-området, både under normaltillstånd och under kris. Att svenska myndigheter har stora brister är oroväckande. Organisationsledningarna måste vara medvetna om att ansvaret för informationssäkerhet är en del i verksamhetsansvaret. Det är bekymmersamt att många fortfarande verkar tro att informationssäkerhetsfrågorna ligger på IT-avdelningen, och endast där. Herr talman! Jag vill veta när regeringen kommer att sätta handlingsplanens sjätte åtgärdsförslag i verket. Kommer regeringen i fortsättningen att kräva att svenska myndigheter i sin årsredovisning redovisar hur informationssäkerheten uppfylls?

Herr talman! När man lyssnar på ministern i den här frågan framgår det klart och tydligt att det här kanske inte är regeringens högst prioriterade fråga. Jag har också tittat i den här rapporten från .SE, och jag skulle vilja ta upp en aspekt som på sitt sätt tangerar FRA-debatten. Man konstaterar i rapporten att det fortfarande är så att många svenska myndigheter har sina servrar för tvätt av skräppost och liknande placerade utomlands. Man konstaterar dessutom i den här rapporten att det är på väldigt få av de här servrarna som det används kryptering. Det är faktiskt så att om man försöker skicka krypterade mejl till myndigheterna via de här servrarna studsar mejlen tillbaka. De accepteras inte. Att ha servrarna utomlands innebär att det blir omöjligt att avgöra vad som är inhemsk, svensk trafik och vad som går utomlands. De flesta av de här servrarna finns i EU-länder, men det förekommer även att de placeras på andra sidan Atlanten. Då får vi komplikationen med FRA-debatten - det går inte att särskilja svensk och utländsk trafik. Dessutom blir det här, vilket också påpekas i rapporten, vidöppet för utländska säkerhetstjänster som kan ta vara på information som skickas mellan svenska myndigheter. Min fråga till ministern är helt enkelt: Vad kommer regeringen att göra för att rätta till de här uppenbara bristerna i säkerheten?

Herr talman! Den här regeringen har förmodligen gjort mer på tolv månader än Socialdemokraterna gjorde på tolv år. Nu tvingades interpellanten medge att det visst hade skett förbättringar. Jag ställde en fråga till interpellanten som handlade om, inte hur hon såg på vad Estland lärt sig av IT-attacken, utan om Sverige ska vara med och lära sig av vad Estland har lärt sig av IT-attacken och hur hon ser på att vi skulle vara delaktiga i arbetet med det kompetenscenter som byggs nu inom ramen för Nato i Estland. Det fick vi absolut inget svar på. Vi fick höra att det var väldigt bra för esterna att de lär sig av den IT-attack som där skedde. Jag vill gärna höra det svaret. Det är viktigt för Sverige. Hur ser Socialdemokraterna på det? Det är inte fråga om medlemskap utan om samverkan på detta utpekade område, det kompetenscenter som nu byggs. Sedan tyckte jag att det var intressant och bra att den andra deltagaren i debatten, Hans Stenberg, tog upp FRA-frågan, därför att där har också Désirée Liljevall i hög grad en hel del att svara för. I dag hjälper FRA till med att skapa säkra krypton för myndigheter. Det gäller alltså inte signalspaningsdelen av FRA utan IT-säkerhetsdelen. Man är bra på att knäcka krypton - det har man lärt sig - och därför är man också bra på att hjälpa andra svenska myndigheter med att få säkra krypton. Man är vidare duktig på att hjälpa till vid en enskild IT-attack. Vem har hackat sig in i en svensk myndighet? Vad har hänt under IT-attacken? Vilka virus till exempel har använts? Hur ser Socialdemokraterna på detta FRA:s andra ben? Det enda vi känner till nu är den destruktiva linje som partiet har i frågan om Försvarets radioanstalt. Den lag som finns ska rivas upp, och man har ägnat lång tid till att bara kritisera och inte lämnat något besked över huvud taget vad gäller den del som också är central och som går rakt in i svensk IT-säkerhet. Jag vill passa på att lägga till, herr talman, att den nya myndigheten kommer att få mandat att hantera informationssäkerhet för samhällsviktiga system. Det innebär att IT-system som finns i privat sektor och är samhällsviktiga också kommer att omfattas av de åtgärder som myndigheten kommer att föreslå. Det är inte meningen att den nya myndigheten ska vidta konkreta åtgärder utan det är en sak för berörda företag och myndigheter samt de privata IT-företag som tillhandahåller olika IT-lösningar. Jag kan även påpeka att FMV har rätt att utfärda certifikat enligt Common Criteria-standarden för IT. Det säkerhetsarbete som nu vidtas och som stärks kraftfullt med den nya myndigheten går alltså även in vad gäller samhällsviktig verksamhet i den privata sektorn. Vad är Socialdemokraternas svar på det? Om jag minns rätt vill de riva upp beslutet. De var emot den nya myndigheten. I stället skulle de ha en lösning både på IT-området och generellt på krisområdet där ansvaret i en krissituation flyttades. De var emot samordningen och vår utveckling av ansvarsprincipen. Sedan ville de flytta ansvaret i en krissituation så att den som ansvarar för en verksamhet i vardagen inte skulle ansvara för samma verksamhet i kris, med allt vad det innebär av otydlighet, osäkerhet och tidsmässig fördröjning. Nu förväntar jag mig svar, herr talman, i interpellanten Désirée Liljevalls nästa inlägg. Hur ser man på Natocentret i Estland, och hur ser man på FRA:s IT-säkerhetsarbete?

Herr talman! Jag stod här för ett år sedan och debatterade IT-säkerhet med försvarsministerns kollega i regeringen, Åsa Torstensson. Hon bedyrade då att regeringen hade läget under kontroll och sade: Det vidtas åtgärder nu. I dag står jag och försvarsministern här och debatterar samma fråga. Det har gått ett år, men några åtgärder och handlingsplan har jag inte sett röken av. Jag förstår att ministern därför vill tala om annat, sådant som inte har med handlingsplanen att göra, men jag vill tala om informationssäkerhet och det debatten handlar om, det vill säga handlingsplanen. Att det brister i informationssäkerhet är inte bra. Åtgärder ur handlingsplanen måste tas om hand redan nu. Men det kanske allra viktigaste är att se över hela paketet, det vill säga ha ett ovanifrånperspektiv och se vad som verkligen behöver göras. I stället för att stifta en lag i taget är det bättre att ta ett övergripande ansvar och uppnå en informationssäkerhetsnivå i Sverige som är heltäckande och sammanhållen. Med detta sagt, herr talman, vill jag fråga försvarsministern när regeringen kommer att ta tag i KBM:s fjärde åtgärdsförslag. Med andra ord: När tar regeringen initiativ till en ordentlig författningsöversyn på informationssäkerhetsområdet?

Herr talman! Jag vill börja med att upplysa ministern om att de haft regeringsmakten i två år, inte tolv månader, som ministern tycks tro. Dessutom är det ni, försvarsministern, som har regeringsmakten och därmed också ansvaret för att nu hantera dessa frågor. Det blir lite märkligt när ministern, i stället för att svara på frågor, ägnar sin tid åt att ställa frågor till oppositionen. Det är faktiskt regeringen som sitter på hela makten och myndigheterna i dagsläget. Jag fick inget som helst svar på mina frågor. I stället kom en utläggning om att FRA hjälper myndigheterna att utforma krypton för deras meddelanden för att på det viset stärka säkerheten. Om det nu är så, försvarsministern, att bara 34 procent av myndigheternas servrar över huvud taget accepterar krypton eller annat transportskydd av e-post blir frågan vart säkerheten då tar vägen. Jag frågar igen: Vad kommer regeringen att göra för att åtgärda bristerna med att många svenska myndigheter fortfarande har sina servrar utomlands och att det är omöjligt att avgöra vad som är svensk och utländsk post sett ur FRA-frågans synvinkel? Dessutom skickas denna information internationellt helt oskyddat. Den är alltså vidöppen, vilket betyder att utländska säkerhetstjänster kan ta del av den information som skickas mellan svenska myndigheter. Svara på frågan, ministern: Vad kommer regeringen att göra för att åtgärda detta?

Herr talman! Den ena socialdemokraten är arg och vill "smala av" debatten, den andra är arg och vill bredda den. Samtidigt vill ingen av dem prata om det som vi faktiskt kan göra. De saknar svar om IT-säkerhetscentret i Estland, de saknar svar om synen på FRA - konkreta saker som också påverkar Sverige. Svaret på deras frågor är att regeringen har gett Krisberedskapsmyndigheten i uppdrag att förvalta och verkställa planen. Den nya myndigheten MSB, som inrättas vid årsskiftet, får föreskriftsrätt om bland annat myndigheternas hantering av informationssäkerheten. Vad är då svaret i dag från Socialdemokraterna? Jo, nu ska det utredas igen. Det hjälper inte att ständigt och återkommande utreda hur informationssamhället ska göras tillräckligt säkert. Det handlar om att bygga starka grundvalar för informationssäkerhet som fungerar inom alla samhällsområden. Jag har förstått så mycket som att Socialdemokraterna vill lösa ett potentiellt hot mot samhället genom inrättandet av en ny myndighet. Ja, det är ju kraftfullt. Ska det gälla för alla potentiella hot och kriser som samhället kan utsättas för? Ska det vara en ny sektorsmyndighet för varje hot? Genom att göra så skulle vi återupprätta ett stuprörstänkande. Vi skulle frångå ansvarsprincipen som styr hela statsförvaltningen. Det är knappast något som denna regering kommer att förorda. Det andra kraftfulla förslaget som jag hörde i Sälen i början av året var att vi behövde en IT-säkerhetsminister. Man hade tolv år på sig att införa så många IT-säkerhetsministrar man ville, men man valde att avstå, precis som den här regeringen gör. En god informationssäkerhet bygger på ett kontinuerligt arbete inom alla samhällssektorer och alla ansvarsnivåer. Med inrättandet av den nya myndigheten MSB och det arbete som sker inom ramen för handlingsplanen, som ska verkställas, ger regeringen nödvändiga förutsättningar för ett sammanhållet informationssäkerhetsarbete, ett stärkt samhällsskydd och en god beredskap där alla aktörer kan och kommer att ta ansvar.