Vem tar ansvar för Sveriges informationssäkerhet?

Transkript

1 Vem tar ansvar för Sveriges informationssäkerhet? 6 åtgärder för förbättrad informationssäkerhet Sälen

2 Vem har ansvaret vid en storskalig it-attack? Vem skulle vara ansvarig om Sverige utsattes för en it-attack liknande den som förlamade Estlands infrastruktur 2007? Är det infrastrukturminister Åsa Torstensson, näringslivsminister Maud Olofsson, försvarsminister Sten Tolgfors eller statsminister Fredrik Reinfeldt själv? Sverige saknar idag en informationssäkerhetsminister. Det är även oklart vilken organisatorisk struktur som skulle få det övergripande ansvaret för att hantera en sådan storskalig attack. Är det Statsrådsberedningens krisledningskansli, Krisberedskapsmyndigheten, eller drabbade myndigheter? Vi socialdemokrater föreslår här sex åtgärder för att öka informationssäkerheten i Sverige. Sex åtgärder för förbättrad informationssäkerhet 1. Utse en informationssäkerhetsminister En informationssäkerhetsminister bör utpekas omgående. Hon/han får i uppgift att ta ett samlat grepp om informationssäkerheten, vidta åtgärder för att minska sårbarheten och öka beredskapen. Det blir dennes ansvar att se till att följande punkter genomförs. Vid en it-kris finns därmed en tydligt utpekad minister i regeringen med ansvar för frågorna. 2. En myndighet ges ansvar för informationssäkerhet Idag har fyra departement (Försvars-, Utrikes-, Justitie- och Näringsdepartementet) och sju myndigheter (Säpo, KBM, FRA, PTS, FMV, FM, Verva) ansvar för informationssäkerhet i Sverige. Detta ger en oklar ansvarsfördelning och otydlig ledning. Säkerhetsarbetet borde organiseras så att en myndighet ges ett övergripande strategiskt ansvar utifrån samhällets breda perspektiv. Denna myndighet får identifiera vilka myndigheter och företag som är samhällsviktigt betydande och därmed bör stå under regelbunden informationssäkerhets-tillsyn. Myndighetens fokus bör ligga på långsiktiga aktiviteter inklusive forskning och utveckling. En andra myndighet agerar operativt för att skydda nationella värden och funktioner.

3 3. Tala om vilken informationssäkerhet som myndigheterna ska ha Idag finns det inte reglerat vilken informationssäkerhet som landets myndigheter bör ha. Grundförutsättningarna för ett lyckat informationssäkerhetsarbete saknas därmed. Otydliga uppdrag förvirrar och bidrar till att det blir enklare att nedprioritera arbetet med informationssäkerheten. Regeringen bör tydligt redogöra och reglera vilken informationssäkerhet som landets myndigheter behöver uppnå. 4. Skapa en lägesbildsfunktion mot cyberattacker på myndighetsnivå Idag har ingen myndighet i uppdrag att i realtid följa utvecklingen på internet. Detta innebär att om det som hände i Estland skulle hända i Sverige så finns det ingen som skulle kunna presentera en samlad lägesbild och föreslå motåtgärder för att minimera skadorna av en attack. Detta kunde man i Estland. Sverige bör genast upprätta en sådan lägesbildsfunktion mot cyberattacker på myndighetsnivå. 5. Förebyggande arbete Idag kan inte landsting, kommuner och företag i förebyggande syfte rådfråga eller begära hjälp från Försvarets Radioanstalt (FRA). Ett landsting som misstänker att någon hämtar hemlig patientinformation ur landstingets datasystem skulle nekades hjälp till dess att det blir ett polisärende, då FRA via polisen kan ge stöd. Det är dock oacceptabelt att landsting och kommuner ska behöva vänta tills hemlig information stulits. Därför bör landsting, kommuner och samhällsviktiga företag kunna rådfråga kunniga myndigheter för att kunna minska sin sårbarhet. 6. Nordiskt samarbete för samlad syn på hotbilder Det finns ett stort behov av att i större utsträckning än vad som är fallet i dag skapa en samlad syn på såväl hotbilder som effekter och konsekvenser av illegitima cyberaktiviteter. Detta är en säkerhetsfråga som lämpar sig mycket väl för nordiskt samarbete, där våra länders högteknologiska kompetens, särskilt inom telekomområdet är en oerhörd resurs.

4 Sverige står och faller med internet Mer än 99 procent av det svenska samhällets kritiska infrastruktur är beroende av internet som den stora bäraren av information. Informationstekniken har brutit staters tidigare maktmonopol och underlättar för en resurssvag angripare. En cyberattack mot vital infrastruktur skulle lamslå i stort sett hela landet på några få timmar. Fientliga krafter, med oklart eller dolt motiv, kan utnyttja nätet för att rikta en strategisk sabotageattack. Estland utsattes våren 2007 för en mailbombning som paralyserade landets infrastruktur. En sådan attack mot Sverige skulle kunna orsaka en nationell kris, av en omfattning vi aldrig sett i vårt land. Svenska servrar kan bli föremål för sådana attacker men kan även användas som verktyg vid en mailbombning, utan vår vetskap. Dagens system är som olåsta kassaskåp Redan nu sker dagliga cyberattacker mot svensk kritisk infrastruktur och i likhet med många andra länder har Sverige under senare år blivit utsatt för stundtals mycket omfattande datavirusspridning. Dessa angrepp har dock varit mer slumpartade än riktade. Vid angreppen har de uppkomna skadorna i form av avbrott och stillestånd blivit relativt begränsade vad gäller samhällsviktiga infrastrukturer, men har icke desto mindre medfört stora kostnader för de drabbade. Viktiga samhällsfunktioner inom vård och omsorg, handel och kreditväsende har ett starkt ökande beroende av informations- och telekommunikationstjänster. Intrång och manipulation av informationssystem är ett allvarligt hot. Utvecklingen av internet har gjort dess standard för datakommunikation global. Det medför en ökad risk för att obehöriga kan ta sig in i dåligt skyddade IT-system och hämta känslig information. Våra system är så dåligt skyddade att de i praktiken är som olåsta kassaskåp. Krisberedskapsmyndigheten konstaterar i flera rapporter att rutiner, beredskap, kunskap och till och med intresset för it-säkerhet hos myndighetsledningarna uppvisar stora brister. En bred it-attack kan inte överblickas på central nivå. Det är få som kan möta ett angrepp och svenskens bredband kan användas för att skapa kaos.

5 Sverige är världsledande men kunskapen användas inte Sverige är världsledande på signalspaningsområdet. Sverige ingår som ett av fem länder i det internationella samarbetet G5 som har i uppdrag att förbättra EU-ländernas informationssäkerhet. Sverige representeras av Försvarets Radioanstalt. Det är direkt dumdristigt att inte använda Sveriges kompetens på området för att skydda känslig information och minska risken för sabotage. Hög tid att vidta åtgärder Intresset för krigföring med hjälp av it-attacker är stort. Över 120 länder utvecklar teknik för spioneri och anfall med hjälp av internet. Det finns tre aktuella svenska utredningar som berör informationssäkerhet: Mats Sjöstrands Alltid redo, Anders Svärds Informationssäkerhetsutredning och Åke Petterssons Riks och Sårbarhetsutredning. Vi socialdemokrater vill se breda politiska lösningar på säkerhets- och försvarsområdet. Mona Sahlin har öppnat upp för partiledaröverläggningar men försvarsministern har meddelat att detta inte är aktuellt. Det är beklagligt att partiprestige får gå före värnandet av svensk säkerhets- och försvarspolitik. Exempel på it-attacker i Sverige Aftonbladet utsattes senast 2 januari 2008 när lösenord till adresser lades ut på Internet. Därmed kunde obehöriga gå in och läsa e-posten, däribland källskyddade uppgifter. Estland mailbombades våren 2007 så att infrastrukturen bröt samman. McAfee konstaterade att nätverk av kapade datorer runt om i världen användes vid attacken. Natten mellan 3-4 juni 2006 kunde samhällsviktig information inte hämtas från Regeringskansliets hemsida. Anledning var en riktad distribueringsattack en s.k. ddos-attack genomfördes. Sammanställd av: Socialdemokraterna i Riksdagen