De senaste dagarnas mediagranskning av sårbarheten i samhällsviktiga digitala styrsystem är välbehövlig och resultaten kommer inte som en överraskning. Riktlinjer och teknik finns tillgängligt men används inte. En orsak till problemet är otydligt ansvar och bristande riskinsikt på ledningsnivå inom företag och myndigheter med nedprioritering av frågan som följd. Samhällets uppenbara sårbarhet kräver att nuvarande myndighetsansvar tydliggörs och förstärks med ett samlat ansvar på regeringsnivå.
Dagens Nyheter:s avslöjande om den dåliga säkerhet som finns i fastigheters digitala styrsystem är bara ytterligare ett exempel som tydliggör såväl bristen på ett tillräckligt högt säkerhetsmedvetande bland kunder och leverantörer av digitala kommunikationssystem, som svenska myndigheters misslyckande att föra ut tydliga riktlinjer för ökad IT-säkerhet i samhället.
Det krävs därför inte bara en ökad förståelse för problemet utan även en långsiktig, nationell strategi som på allvar tar sig an uppgiften att förbättra IT-säkerheten i landet. För detta behövs en myndighet med samlat ansvar för att hela det offentliga Sverige har en god säkerhet i sin IT-infrastruktur, bland annat genom att etablera gemensamma direktiv och riktlinjer och samtidigt ha ett tillsynsansvar. T.ex. det faktum att det finns ett elsäkerhetsverk men inget motsvarande för IT-säkerhet visar att regeringen inte förmått ta till sig den tekniska utvecklingen i samhället.
I grund och botten handlar det om medborgarnas förtroende för både den offentliga och privata sektorn, oberoende av vilket digitalt kommunikationssystem som hanterar våra privata uppgifter eller som ska stödja de samhällsfunktioner vi utnyttjar och berörs av. De fortlöpande, avslöjande exempel på sårbarhet inom olika områden påverkar givetvis detta förtroende negativ; obehörig tillgång till patientjournaler, bredbandsbolag med allvarliga säkerhetsbrister, dataintrång på websidor och sociala medier konton o.s.v.
Anmärkningsvärt är att problematiken på intet sätt är ny. Offentliga myndigheter och privata organisationer har under flera års tid kunnat ta del av olika typer av rapportering av dessa allvarliga brister. Hittills verkar den insikten inte ha fört arbetet med dessa frågor framåt på något påtagligt sätt, trots att informationshanteringen dessutom förändras allt snabbare och att inslaget och beroendet av IT-stöd blir allt större.
Brister i IT-säkerhet innebär även ett hinder för effektivt IT-utnyttjande och blir i förlängningen ett hot mot samhällets utveckling och välfärd. EU har identifierat just cyberhotet som en av de stora utmaningarna för att åstadkomma ett öppet och säkert samhälle.
Tekniska lösningar finns men är komplexa (handen på hjärtat hur många förstår sig t.ex. på sitt eget IT-skydd i hemmet) och behöver utvecklas för att bli lättare att använda och kontinuerligt anpassas efter en dynamisk hotbild. I detta problemområde finns en enorm potential i att utveckla säkerhetslösningar som kan stärka samhällets IT-skydd och samtidigt skapa förutsättningar för innovation och tillväxt i IT-säkerhetsbranschen. Med ett nationellt innovationsprogram där kravställare/behovsägare samverkar med industri och forskare kan innovationer med stort strategiskt värde för Sverige skapas.
Det är hög tid för regeringen att visa handlingskraft i detta ärende. Det krävs nu ett kraftfullt agerande som säkerställer en strategi för ökad IT-säkerhet och tydliga, konkreta riktlinjer för myndigheternas arbete med detta. Här finns stora möjligheter att samverka med industrin för att förbättra processer och produkter, öka kunskapsnivå, införa certifieringar etc. Ett samarbete skulle innebära stora fördelar för både individer, myndigheter och industri – ett verkligt win-win för Sverige.
För kommentarer kontakta:
Ulf Dahlberg, Ordförande i SACS, 070-856 27 01
Therese Premler-Andersson, Projektledare SACS, 08-782 08 50