Nationell Internetsäkerhet

Herr talman! Désirée Liljevall har frågat mig vad jag tänker göra för att skydda svenska myndigheters IT-system från Internetattacker. Jag vill inledningsvis säga att det är viktigt att lära av Estlands och andras erfarenheter. Även Sverige hade motsvarande problem under årets första hälft. Inom EU-samarbetet diskuteras nu de politiska konsekvenserna av sådana problem som Liljevall nämner. Vad gäller svenska förhållanden vill jag påminna om att myndigheterna har ett eget ansvar att skydda sina IT-system från attacker. Även vid krissituationer gäller ansvarsprincipen, det vill säga att den statliga myndighet som i normala fall ansvarar för en verksamhet även har detta ansvar under en krissituation. Krisberedskapsmyndigheten, KBM, har studerat nätattackerna mot Estland i våras och undersökt det svenska samhällets möjligheter att motstå liknande storskaliga Internetangrepp. Resultatet presenterades för två veckor sedan i rapporten Sveriges beredskap mot nätangrepp . Studien visar att det finns sårbarheter i svenska samhällsfunktioners verksamhet på Internet. Risken är emellertid liten att den svenska grenen av Internet skulle blockeras helt vid ett angrepp då stamnätinfrastrukturen har mycket hög överföringskapacitet. Däremot kan enskilda tjänster och webbplatser drabbas hårt. Både före och efter händelserna i Estland har regeringen redan vidtagit flera åtgärder för att skydda svenska myndigheters IT-system från Internetattacker. Sveriges IT-incidentcentrum, Sitic, vid Post- och telestyrelsen, PTS, har fått utökade resurser för incidenthantering och stöd till myndigheterna dygnet runt alla dagar. I den nyligen ändrade instruktionen för PTS har också skrivits in att Sitic ska bistå myndigheterna i deras IT-säkerhetsarbete. I alliansregeringen har vi lyft upp frågan och tillsatt en statssekreterargrupp i Regeringskansliet med ansvar att ta ett mer samlat grepp om bland annat e-förvaltningen. En handlingsplan för e-förvaltning kommer att beslutas inom kort. Där tar vi gemensamma grepp för att bland annat genom god beställarkompetens upphandla och sjösätta e-tjänster, egna system och elektroniska kommunikationer som är både säkra och robusta. Regeringen har också fastställt en strategi för ett säkrare Internet i Sverige och har givit PTS i uppdrag att följa upp och utveckla strategins handlingsplan. Lagen om elektronisk kommunikation har anpassats så att PTS kan ställa ökade krav på Internetoperatörerna att tillhandahålla en robust och säker IT-infrastruktur. Det pågår just nu en utredning som syftar till att säkerställa tillgängligheten och tilliten till myndigheternas tjänster på Internet. Det är PTS som i samarbete med Verket för förvaltningsutveckling, Verva, och Krisberedskapsmyndigheten utreder hur myndigheterna ska kunna motstå attacker via Internet. Riksdagen antog i april regeringens förslag till ändring i bestämmelsen om dataintrång, justitieutskottets betänkande 2006/07:JuU13. Som bekant gällde det vissa lagändringar för att leva upp till EU:s rambeslut om angrepp mot informationssystem. Verva har tagit fram en föreskrift med innebörden att myndigheterna ska införa ett ledningssystem för sitt interna informationssäkerhetsarbete. Krisberedskapsmyndigheten kommer att i mars redovisa en handlingsplan med konkreta åtgärder för att öka informationssäkerheten. Regeringen kommer med en proposition där ytterligare åtgärder kommer att redovisas. Med denna lista vill jag belysa den mångfald av åtgärder som pågår för att skapa möjligheter för svenska myndigheter att skydda IT-systemen från Internetattacker. Precis som Désirée Liljevall påpekar är problemen globala, något som också förutsätter globala åtgärder. Sverige kommer även fortsättningsvis att arbeta på den internationella arenan för ett stabilt och säkert Internet.

Herr talman! Jag vill tacka infrastrukturministern för svaret, men jag känner mig likväl inte trygg och lugn efter att ha hört ministerns svar. Trots försäkringar om att regeringen har läget under kontroll hyser jag mina tvivel. Ministern hänvisar till Krisberedskapsmyndighetens senaste rapport och summerar: "Det finns sårbarheter i svenska samhällsfunktioners verksamhet på Internet". Där snubblade ministern över ett vitalt ord. "Det finns oroväckande sårbarheter", säger nämligen Krisberedskapsmyndigheten. Det, herr talman, är en avsevärd skillnad. Krismyndigheter konstaterar, till skillnad från ministern, att det råder stora brister inom svensk IT-säkerhet. Det är ett faktum som inte går att bortse från, trots bedyranden från vår IT-minister. För en dryg vecka sedan ringde banken i Oskarshamn upp Anna Gustafsson. Banken berättade att någon hade försökt hacka sig in på hennes bankkonto. Men innan hackaren hade hunnit stjäla hennes pengar hade banken reagerat på att bankkontot börjat uppträda konstigt. Ungefär samtidigt förlorade ett 70-tal bankomatkunder i Stockholm sina pengar när deras kort utsattes för skimning, det vill säga informationen på kortets magnetremsa kopierades och stals. Det är inget ovanligt att cybertjuvar gör på det viset. Just bankkontouppgifter, kreditkortsnummer, personliga PIN-koder och e-postadresser är högvilt för hackare. Under den första halvan av 2007 skapades enligt Symantec över 200 000 nya virus, trojaner, maskar och annan elak kod. Flera undersökningar har under det senaste halvåret riktat strålkastarljuset mot IT-säkerhetsproblem hos svenska myndigheter och organisationer. I maj hissade Post- och telestyrelsen varningsflagg och larmade om stora brister inom den svenska Internettrafiken. Genom simulerade attacker konstaterade PTS att Internettrafiken är mycket känslig och saknar inbyggda skydd. Den kom fram till att upp emot 70 procent av den svenska Internettrafiken kan slås ut vid en attack. I november presenterade Krisberedskapsmyndigheten och .SE, Stiftelsen för Internetinfrastruktur, sin granskning av IT-säkerheten hos svenska samhällsviktiga organisationer. Undersökningen visade att sex av tio har brister i sin IT-säkerhet och inte skulle klara en attack utifrån. Tre av fyra undersökta webbservrar skulle kunna användas för spridning av falsk information. En fjärdedel har så allvarliga fel att de måste åtgärdas akut. Herr talman! Larmrapporterna är flera. I somras var det Riksrevisionens tur att varna för stora brister i flera svenska myndigheters IT-system. Karin Lindell, ansvarig riksrevisor, var i en TT-intervju inte nådig i sin kritik av regeringen. Hon sade: "Den har noll koll, på samma sätt som merparten av myndighetsledningarna." Som svensk medborgare känns det inte bra. Sverige har en mycket dålig beredskap för att skydda sig mot ett cyberangrepp. Hur allvarligt ser ministern på frågan kring bristande svensk IT-säkerhet? Hur ska svenska folket kunna känna sig tryggt?

Herr talman! Först och främst är det viktigt att förstå att arbetet med informationssäkerheten i Sverige styrs av ansvarsprincipen, vilket innebär att myndigheter, företag och organisationer, som har det normala verksamhetsansvaret, även har ansvaret för informationssäkerheten. Ansvarsprincipen i sig fråntar emellertid inte staten ansvaret att garantera att de statliga myndigheternas IT-användning uppfyller kraven på säkerhet, just det som interpellanten efterfrågar. Det är en förtroendefråga gentemot både allmänheten och företagen. Riksrevisionen har, som redan nämnts, vid sina granskningar kommit fram till att styrning och kontroll av informationssäkerheten brister hos myndigheterna. Därför föreskriver Verva nu ett ledningssystem för informationssäkerhet; det ska dessutom vara obligatoriskt. Detta tillmötesgår det som interpellanten efterfrågar. Också Sitic, som i 2008 års budget får nya resurser, ska bistå myndigheterna med tekniskt kunnande inom sitt område. Verva leder och samordnar i dag arbetet med säkerheten vid informationsutbyte och hantering av elektroniska dokument i statsförvaltningen. Verva lämnade i juni 2007 en delrapport från sitt uppdrag att leda och samordna statsförvaltningens utvecklingsarbete avseende säkert elektroniskt informationsutbyte och säker hantering av elektroniska handlingar. En slutrapportering av Vervas arbete beräknas komma i mitten av juni nästa år.

Herr talman! Jag har nu lyssnat till infrastrukturministerns andra svar. Jag tycker inte det skiljer sig mycket från det första inlägget. Under ytterligare nästan fyra minuter har hon berömt sig för de åtgärder som regeringen vidtar för att skydda svenska myndigheters IT-system från nätattacker. Av dessa ord drar jag två slutsatser, nämligen att ministern greppar efter halmstrån och att ministern inte riktigt förstått hur stort problemet är. Vi behöver bara kasta en blick över Östersjön, på vårt grannland Estland, för att se hur informationssäkerheten i ett helt land kan äventyras. Banker, medier, regeringskansli och en lång rad departement utsattes i våras för organiserade överbelastningsattacker som saknar motstycke. 20 000 kapade datorer runt om i världen användes för attacken. Även regeringarna i USA, Tyskland, Indien, Nya Zeeland och Australien har utsatts för intrångsattacker i år. Frågan om IT-brottslighet lyftes även upp på EU-toppmötet den 14 december. Det går inte att ta en sådan här fråga lättvindigt. Inget land i världen står på undantag. Det är bara en tidsfråga innan någonting händer här. Jag har under debatten räknat upp flera undersökningar som visar att Sverige har en mycket dålig beredskap för att skydda sig mot en Internetattack. I den senaste rapporten från Krisberedskapsmyndigheten, som både jag och ministern tagit del av, skriver myndigheten att det behövs en rejäl förstärkning av den svenska beredskapen mot ett cyberangrepp. Rutiner för att snabbt upptäcka riktade angrepp behöver tas fram. Herr talman! Jag undrar på vilket sätt svenska myndigheter tar ett eget ansvar för att skydda sina IT-system från attacker. Vad gör regeringen för att kräva en högre IT-standard hos svenska myndigheter? Hur är det formulerat i regleringsbreven?

Fru talman! Jag får tacka Åsa Torstensson. Det här är den första interpellationsdebatt som jag har lyssnat till där infrastrukturministern inte skyller på den föregående socialdemokratiska regeringen. Hon har inte gjort det ännu i alla fall. Men hon har chansen en gång till. Men jag blev lite orolig när jag lyssnade på den förra interpellationsdebatten, där det kom upp frågor kring regeringens infrastrukturproposition. IT-frågor och IT-säkerhet kommer självklart att ligga med också i den ack så viktiga propositionen. Nu måste jag få fråga ministern en sak. Vi socialdemokrater vill ha ett svar, och det svaret måste vi kunna få så här dagarna före juluppehållet. Kommer verkligen inte infrastrukturpropositionen i vår som ministern har talat så mycket om, inte minst i de debatter som vi har haft tidigare. Jag vill alltså ha ett klart besked: Kommer infrastrukturpropositionen eller kommer den inte?

Fru talman! Nu pratar vi om nationell Internetsäkerhet. Det är naturligtvis så att interpellanterna är fria att ställa frågor om vad som helst, men det kanske inte huvudinterpellanten är intresserad av. Det är lite olyckligt om Désirée Liljevall inte lyssnar. Det må vara att hon inte är intresserad av att vare sig läsa eller lyssna på svaret. Jag upprepar: Med anledning av Riksrevisionens kritik av bristen på styrning av kontrollen över informationssäkerheten har Verva nu föreskrifter om att ledningssystemet för informationssäkerheten ska införas obligatoriskt. Sitic, som får nya resurser 2008, ska bistå myndigheterna med sitt tekniska kunnande. Det är Verva som leder och samordnar arbetet med säkert informationsutbyte och säker hantering av elektroniska dokument i statsförvaltningen. En slutrapport för utvecklingsarbetet återkommer Verva med i juni månad. Det som interpellanten efterfrågar är, om man nu ska återkoppla till Christina Axelssons efterfrågan, det som Socialdemokraterna tidigare inte har engagerat sig i, nämligen IT-säkerheten. Det vidtas åtgärder nu.

Fru talman! Jag kan upplysa ministern om att jag i högsta grad lyssnar. Men jag har inte hört någonting om regleringsbreven som jag frågade om. Det tolkar jag som att infrastrukturministern inte har formuleringarna i regleringsbreven i färskt minne. Det kan jag förstå; det är mycket nu före jul. Jag har läst några av dem och kan berätta för ministern att direktiven för hur svenska myndigheter ska skydda sig mot cyberattacker är skrala. Dessutom bygger de på 2006 års nivå, och sedan dess har det hänt mycket. Internetbrottsligheten utvecklas kolossalt snabbt och är inte bara ett hot mot företag och privatpersoner utan också mot den nationella säkerheten och myndigheter. Till på köpet använder sig cyberbovarna av alltmer komplicerade och fräcka metoder för sina attacker. Jag förstår att departementen just nu sitter och filar på de sista skrivningarna för nästa års regleringsbrev. Det kan vara ett ypperligt läge för ministern att ta tag i IT-säkerheten på allvar. Fru talman! Jag vill därmed tacka ministern för dagens debatt och berätta att jag kommer tillbaka till ministern längre fram och hör hur det har gått. Huruvida propositionen kommer i vår eller i höst skulle jag också gärna vilja veta.

Fru talman! Det är det talade ordet som gäller. Jag får för protokollets skull anföra att jag tar bort det där grattiset vad gäller att inte skylla på den tidigare socialdemokratiska regeringen. Detta har vi nu ånyo sett ett exempel på. Men, ministern - börja nu att regera och titta framåt i stället för att sura över vad vi socialdemokrater inte gjorde när vi hade makten i hela tolv år. Ta chansen! Nu är det Åsa Torstensson som är minister. Nu är det Åsa Torstensson som står för IT, vägar, järnvägar etcetera som infrastrukturminister och har chansen att åtgärda allt det där som hon har drömt om att göra under de tolv åren, när hon fick sitta i alla fall några år i riksdagen. Men nu vill jag komma tillbaka till min fråga. Det är ohövligt av ministern att inte svara på den. Kommer infrastrukturpropositionen under våren eller kommer den inte? Jag tycker att vi i Sveriges riksdag måste få ett besked om det av ministern när frågan nu har väckts. Ministern verkar tydligen inte vilja svara på den. Men jag hoppas! Ministern har två minuter kvar att ta chansen att tala om för oss hur det blir med den till våren.

Fru talman! Hela interpellationssvaret beskriver de åtgärder som regeringen nu vidtar för att säkra informationssäkerheten och IT-säkerheten, Désirée Liljevall. Verva leder detta. Verva leder och är ansvarigt för arbetet och samordnar det samt föreskriver att ledningssystem för informationssäkerhet ska införas - precis det som interpellanten efterfrågar. Sitic har fått ytterligare resurser för 2008 års budget i syfte att dygnet runt kunna ha verksamhet och bistå myndigheterna med tekniskt kunnande. Detta är en åtgärd i syfte att säkra informationssamhället och informationssäkerheten. Det Christina Axelsson frågar om vad gäller budgetdebatten var precis det jag redogjorde för. I det arbete som nu pågår med infrastrukturspropositionen ingår ett arbete som är kopplat till revideringen av befintliga planer. Jag lägger ett stort ansvar på oss, Christina Axelsson. Underskottet på 33 miljarder för vägar och 50 och 60 miljarder för järnvägar kommer naturligtvis att påverka inriktningen för 2019. Det är det arbete som nu pågår i Regeringskansliet.