I efterdyningarna av det it-angrepp som bland annat har drabbat Coop svårt, uppmärksammas samhällets informationssäkerhet och cyberattacker i den offentliga debatten. Det är positivt för många i it-säkerhetsbranschen att insikten om vad som händer om säkerheten ignoreras börjar sprida sig på bred front. Låt mig slå fast redan från start att alla som talar om att det behövs mer fokus och resurser inom it-säkerhet (cybersäkerhetsområdet) naturligtvis har helt rätt! Fler måste göra mer och säkerhet kostar. Den insikten börjar sätta sig i samhällskroppen. Kanske leder konsekvenserna för Coop till nästa nivå i debatten; att osäkerhet och underlåtelse att handla kostar än mer?

Den andra inledande kommentaren är att det i ivern att uppmärksamma de brister som finns – vilket i grunden är mycket vällovligt – ibland manifesteras missförstånd kring vad som finns på plats eller ej i den svenska strukturen. Ibland framförs också förslag som riskerar att medge fortsatt ansvarsflykt och i värsta fall skapa resursbrister inom spetsområden. Alla önskar bättre effekt i arbetet och det finns inte en sanning hur detta ska åstadkommas, men det är viktigt att inte springa fel när det är bråttom. Låt mig komma tillbaka till det i slutet av inlägget.

Cybersoldater – en bredare samhällsnytta

Frågan om kompetensförsörjning är naturligtvis starkt kopplat till förmåga över tid, även om det inte alltid ligger högst på agendan. Glädjande nog uppmärksammar dock DN att Sveriges första värnpliktiga cybersoldater har muckat, att antalet cybersoldater ska öka och att specialistofficersutbildning planeras. Frågor uppstod omgående i sociala medier om Försvarsmakten kommer kunna behålla personalen, med tanke på löneläget för it-säkerhetsspecialister i det civila samhället? Lägger Försvarsmakten pengar på kvalificerad utbildning, bara för att sedan se personalen lämna myndigheten? Jag drar mig till minnes ett inlägg på Försvarsmaktens hemsida från muck, där det uttrycks att det är positivt att Försvarsmaktens förmågeuppbyggnad indirekt stödjer det civila samhället, och ringer upp avsändaren av budskapet, Patrik Sternudd på Ledningsstabens CIO-avdelning. Sternudd har varit med från början av cybersoldatprojektet och av samtalet framgår följande:

Hela poängen är att de ska krigsplaceras, utbildningen syftar inte primärt till anställning i Försvarsmakten. Det är den stora skillnaden mellan grundutbildning med värnplikt och tidigare grundutbildning (GMU), där den befattningsspecifika delen byggdes på under den första tiden som anställd gruppbefäl, soldat eller sjöman (GSS/K). Värnplikten omfattar grundutbildning, repetitionsutbildning, beredskapstjänstgöring och krigstjänstgöring. Om cybersoldater och värnpliktiga cyberbefäl går vidare till civila anställningar utanför Försvarsmakten ser inte Patrik det som ett problem – då kan de fortsätta utvecklas i branschen samtidigt som de är krigsplacerade, vilket är en kompetensvinst för alla inblandade. Även om det inte är huvudsyftet så är de naturligtvis varmt välkomna att söka anställning i Försvarsmakten. Patrik påminner här om att det finns ett stort antal civilanställda experter i myndigheten, både inom cyberförsvaret och övrig it-verksamhet. Det är alltså inte nödvändigt att ta anställning som soldat eller officer för att tjänstgöra inom cyberförsvaret.

Patrik säger också att att cybersoldatsutbildningen måste ses i ett bredare sammanhang och som en av delarna i cyberförsvarets personalförsörjnings- och karriärsystem. Patrik hänvisar till Försvarsmaktens verksamhetsplan för innevarande försvarsbeslutsperiod (FMVP 21), där man kan läsa att

Införandet av ett för funktionen [cyberförsvaret] sammanhängande personalförsörjnings- och karriärsystem fortsätter. Till detta knyts forskningsverksamhet i syfte att erbjuda personal grund- och vidareutbildning i teknikens framkant. I perioden fullföljs införandet av värnpliktsutbildningen för cybersoldater, som även ska kunna försörja andra myndigheter med roller i cyberförsvaret med krigsplacerade värnpliktiga.

På frågan om inte de utbildade cybersoldaterna behövs i en försvarsmakt i tillväxt, bland annat innebärande fler it-försvarsförband (ITF) och att det kan bli svårrekryterat utifrån löneläget, förklarar Patrik att Försvarsmakten som myndighet självklart måste följa den statliga lönepolicyn, men också att det finns viss flexibilitet inom den, bland annat utifrån arbetsområde och nivå i BESTA-systemet. Erfarenhet visar också att det är helheten i erbjudandet som avgör och att viktig faktor är möjligheten till (och nödvändigheten av) kompetensutveckling kombinerat med kvalificerade arbetsuppgifter inom Försvarsmaktens unika verksamhet och mandat inom cyberdomänen.

Patrik säger också att vidareutbildning gäller samtliga personalkategorier i systemet, vilket i sig bedöms bli en konkurrensfördel för att attrahera och behålla både civil och militär personal. Personalförsörjningsystemet kommer fullt utbyggt att ha utbildningar för alla typer av officerare, inklusive reservofficerare (en reservofficer är en officer eller specialistofficer som arbetar som reservofficer i Försvarsmakten under perioder, och som har sin huvudsakliga sysselsättning någon annanstans).

Slutligen säger Patrik att det är viktigt att komma ihåg att utbildningarna och befattningarna framför allt syftar till att försörja it-försvarsförbanden samt högre staber med cyberförsvarskompetens. Cybersäkerhet och cyberförsvar är inte samma sak. Kärnan i cyberförsvaret baseras på förmågan att genomföra defensiva och offensiva operationer i cyberdomänen, medan cybersäkerhet oftast används som en synonym till it-säkerhet. Cybersäkerhet är upp till alla aktörer i samhället, medan cyberförsvar och cyberoperationer tar sin utgångspunkt i Försvarsmaktens huvuduppgift och ytterst är ett militärt maktmedel, avslutar Patrik Sternudd.

I samband med vårt samtal ber jag Patrik om några tips att förmedla vidare. De återges i slutet på inlägget.

Några nedslag i cybersäkerhetsdebatten

Nu tillbaka till den offentliga debatten och det positiva faktum att många ser behovet av att vidta åtgärder. Förslagen tar dock ibland sin utgångspunkt i ett antal premisser som inte alltid stämmer. Detta kan riskera att ta fokus från både det som redan görs och det som verkligen skulle ge effekt. Det största helt övergripande problemet, som jag ser det, är att verksamheter inte resurssätts i enlighet med ambitionsnivån. Nedan följer ett antal påståenden med medföljande reflektioner.

”Cybersäkerhetsområdet saknar regleringar”

Mandat och ansvar inom cybersäkerhetsområdet är till stor del redan reglerat och följer den svenska förvaltningsmodellen. Även om mandaten i vissa fall kan behöva förstärkas hos befintliga myndigheter så är det största problemet inte brist på föreskrifter, ansvar och rekommendationer utan istället att gällande regler och rekommendationer inte efterlevs i tillräckligt hög utsträckning. Ett exempel är inom säkerhetsskyddsstiftningen som reglerar informationssäkerhet (inklusive cybersäkerhet) för all säkerhetskänslig verksamhet där regeringen i en lagrådsremiss (Ett starkare skydd för Sveriges säkerhet, 18 mars 2021) konstaterar

Det har också framkommit att det finns fall där påpekade brister inte har rättats till (se bl.a. SOU 2015:25 s. 476–478). Detta är inte en acceptabel ordning när det gäller åtgärder som ska motverka risker för Sveriges säkerhet. Regeringen anser därför att det bör införas ytterligare administrativa sanktioner och andra ingripandemöjligheter för att säkerställa säkerhetsskyddslagstiftningens efterlevnad.

De befintliga regleringarna kan grupperas tematiskt, där olika myndigheter utifrån det svenska systemet har olika uppgifter:

• Militärt försvar, höjd beredskap och totalförsvar (Försvarsmakten, övriga försvarsmyndigheter, MSB, alla aktörer i totalförsvaret (TF)
• Krisberedskap (MSB)
• Säkerhetsskyddet utifrån säkerhetsskyddsslagstiftningen (Försvarsmakten och Säkerhetspolisen är föreskrifts- och tillsynsmyndigheter)
• Samhällsviktiga it-tjänster (MSB och tillsynsmyndigheter)
• Elektroniska kommunikationstjänster (PTS, med beaktande av TF behov och säkerhetsskydd)

Exempel på regleringar

För säkerhetskänslig verksamhet: 3 kap 4 § i säkerhetsskyddsförordningen (sedan 2019):

4 § En verksamhetsutövare som ansvarar för ett informationssystem som ska användas i säkerhetskänslig verksamhet ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informationssystemet samt obehörig avlyssning av, åtkomst till och nyttjande av informationssystemet. Verksamhetsutövaren ska också se till att spårbarhet finns för händelser som är av betydelse för säkerheten i systemet.

19 § i förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap (SFS 2015:1052) gäller för alla myndigheter under regeringen:

19 § Varje myndighet ansvarar för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. Därvid ska behovet av säkra ledningssystem särskilt beaktas.

För leverantörer av samhällsviktiga alternativt digitala tjänster gäller lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (SFS 2018:1174) med tillhörande förordning:

13 § Leverantörer av samhällsviktiga tjänster ska vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska säkerställa en nivå på säkerheten i nätverken och informationssystemen som är lämplig i förhållande till risken.

Leverantörer av digitala tjänster som varken används för säkerhetskänslig verksamhet eller är samhällsviktiga omfattas istället av 15 § i samma lag, vilken förtydligas genom förordningens 6 §:

6 § Vid bedömningen av om säkerhetsåtgärder enligt 15 § lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster säkerställer en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till risken, ska följande beaktas:

1. säkerheten i system och anläggningar,

2. incidenthantering,

3. hantering av driftskontinuitet,

4. övervakning, revision och testning, och

5. efterlevnad av internationella standarder. […]

”Det borde finnas en enda myndighet med allt ansvar”

Man kan ha olika uppfattningar om huruvida den svenska förvaltningsmodellen är optimal eller ej, men oavsett hur man vill att strukturen ska se ut vill jag varna för föreställningen att samhällets cybersäkerhet kan lösas på central nivå. Det huvudsakliga arbetet behöver bedrivas på bredden och integrerat i verksamhetsutövarnas ordinarie processer. Detta avser hela kedjan från verksamhetsutveckling till säkerhetsarbete inom ramen för säkerhetsskyddslagstiftningen samt alla andra områden, inklusive och inte minst it-verksamheten i form av behörighetsstyrning, drift- och förvaltning.

Om man vill stärka cybersäkerhetsarbetet inom den befintliga förvaltningsstrukturen – som bygger på ett distribuerat ansvar där olika departement och myndigheter inom sina respektive kompetensområden och samhällssektorer har ansvar för samhällets verksamhet – är utgångspunkten att de befintliga myndigheterna har sakområdeskunskap och kan anpassa de överordnande lagkraven för att skapa förutsättningar för effektiv och säker verksamhet inom respektive område och bransch. Som ett paraply över alla områden finns Försvarsmakten och Säkerhetspolisen som utifrån säkerhetsskyddslagstiftningen utfärdar föreskrifter och utövar tillsyn för all säkerhetskänslig verksamhet.

Om man vill stärka cybersäkerhetsarbetet genom att förändra modellen, behöver man beakta konsekvenserna av att bryta ut informations- och cybersäkerheten ur strukturen. Samma sak gäller förståelsen för Försvarsmaktens roll och särskilda mandat när det gäller att möta ett väpnat angrepp (som kan jämföras med polisen och dess våldsmonopol som ordningsmakt). Att flytta dessa mandat till en annan myndighet förefaller olämpligt. 

”Staten måste lösa problemet”

Företag och myndigheter har under många år har dragit nytta av digitaliseringen utan att ta höjd för säkerheten. Eller brutalare uttryckt: I vissa fall har man struntat i säkerheten på grund av det anses dyrt och onödigt. Därmed har en omfattande säkerhetsskuld byggts upp, som ökat för varje år man inte tagit hand om den. Riskerna ignoreras fram till dess att det smäller och då reses krav på att staten ska gå in. Det ska den naturligtvis göra för att utreda brott och lagföra brottslingar, men det är tveksamt om det är statens uppgift att återställa systemen till fungerande skick. Staten har däremot en viktig roll i att, där så behövs, ställa krav genom författningar eller ansvariga myndigheters föreskrifter, samt utöva tillsyn genom dess utsedda tillsynsmyndigheter. Dock protesteras inte sällan mot statens regleringar, som genererar kostnader och känns klåfingriga.

En annan dimension handlar om relationen mellan staten och privat verksamhet. När stöd från staten efterfrågas i det generella it-säkerhetsarbetet ska vi minnas att vi har ett antal it-säkerhetsföretag och it-konsultföretag/tjänsteleverantörer med it-säkerhetskompetens i Sverige. Dessa företag bidrar i sin tur till Sveriges samlade kompetens och konkurrenskraft och kan i sig vara ett värdefullt stöd för att öka grundnivån av cybersäkerhet i samhället.

Om man ska vara djävulens advokat finns många ursäkter och undanflykter. Bland annat kompetensbrist, vilket är ett faktum, men om näringslivet ställer krav på utbildningar brukar akademin tids nog lyssna. Ett av problemen är dock att cybersäkerhet ses som en specialistfunktion. Kompetensen behöver integreras i verksamheten och grundförståelsen behöver finnas inom fler yrken är de rent tekniska. En god början kunde här vara att i högskoleförordningen införa krav på grundläggande förståelse inom it-säkerhetsområdet för samtliga yrkesexamina. Att göra en sådan förändring och styrning är uppenbart en uppgift för staten som i förlängningen gagnar alla.

Genom att generellt höja lägstanivån frigörs också resurser, så att de mest kvalificerade förmågorna istället för att användas för brandsläckning av problem som inte borde uppstått kan ägna sig åt att möta de mest kvalificerade hoten och ytterst möta ett väpnat angrepp. Även detta är en uppgift för staten. Att bedriva kostnadsfri it-konsultverksamhet är dock mer tveksamt.

”Det går inte att få hjälp från staten”

Ovanstående resonemang till trots; i vissa fall har statsmakten funnit det lämpligt att ge myndigheter i uppgift att stödja, och it-säkerhetsområdet är ett sådant fall. Att säga att lagen förhindrar stöd från staten är därför felaktigt. Det ropas ibland efter FRA, vilket jag kan förstå då det är en ytterst kompetent myndighet. Däremot är det inte FRA som har uppgiften. FRA är framför allt en försvarsunderrättelsemyndighet som med sin särskilda kompetens inom it-säkerhetsområdet efter begäran kan stödja statliga myndigheter och bolag som ”hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende” (FRA:s myndighetsinstruktion).

Vem kan då stödja?

MSB:s myndighetsinstruktion är mycket tydlig att MSB ska stödja med förebyggande arbete, inklusive rådgivning, såväl som vid incidenter.

11 a § Myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till andra statliga myndigheter, kommuner och regioner samt företag och organisationer. […]

11 b § Myndigheten ska ansvara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera it-incidenter.

Myndigheten ska

1. agera skyndsamt vid it-incidenter genom att sprida information samt vid behov arbeta med samordning av åtgärder och medverka i det arbete som krävs för att avhjälpa eller lindra effekter av det inträffade,

2. återrapportera till berörda aktörer i samband med att en it-incident har rapporterats, […]

Utöver råd och stöd i det förebyggande arbetet ska MSB årligen lämna en rapport till regeringen med en sammanställning över inrapporterade it-incidenter, samt

[…] även rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan leda till behov av åtgärder på olika nivåer och områden i samhället.

Stöd från Försvarsmakten?

Inom cyberförsvaret har Försvarsmakten kvalificerade resurser som i många fall är unika. Dessa resurser är i flera avseenden användbara när samhället utsätts för påfrestningar i cyberdomänen och kan användas under kriser eller andra allvarliga händelser. Genom Inriktning för Försvarsmakten 2021–2025 har Försvarsmakten av regeringen fått följande uppgifter

Försvarsmakten ska i fredstid ha förmåga att:

– med befintliga resurser förstärka skyddet av prioriterade kritiska samhällsfunktioner,

– med befintliga resurser kunna lämna stöd till civil verksamhet.

Motsvarande uppgifter gäller även i krig. Den sista strecksatsen ingår även i instruktionen till Försvarsmaktens 2 §

Försvarsmakten ska med myndighetens befintliga förmåga och resurser kunna lämna stöd till civil verksamhet.

Lämnande av den första typen av stöd, framför allt i fred, kan kräva särskilda beslut från regeringen och i vissa fall även författningsändringar. För den andra typen finns förutsättningar genom lagen om Försvarsmaktens stöd till polisen vid terrorismbekämpning, samt förordningen om Försvarsmaktens stöd till civil verksamhet. Den sistnämnda förordningen reglerar särskilt att stöd kan lämnas som en ingående del i Försvarsmaktens utbildningsverksamhet.

Övrigt stöd

Försvarets materielverk driver ett nationellt certifieringsorgan (CSEC) för it-säkerhet i produkter och system. Materielverkets certifieringsorgan ska i sin verksamhet beakta nationella säkerhetsintressen. Certifieringsorganet ansvarar även för certifiering av anordningar för skapande av kvalificerade elektroniska underskrifter och anordningar för kvalificerade elektroniska stämplar.

Om företag ställer krav på att de it-produkter de använder ska vara certifierade ökar kraven på tillverkarna, vilket skapar incitament för att i större utsträckning ta fram och sälja säkra produkter. I förlängningen kan det leda till att även privatkunder får bättre tillgång till produkter som uppfyller någon form av lägstanivå.

Totalförsvarets forskningsinstitut (FOI) bedriver uppdragsfinansierad forskning inom cybersäkerhetsområdet. FOI tillhandahåller även ett antal kurser inom cybersäkerhetsområdet samt utvecklar, på uppdrag av Försvarsmakten och MSB, träningsanläggningen CRATE.

”Myndigheterna måste berätta vad vi ska göra!”

Det har på Internet funnits fritt tillgängliga rekommendationer om vad som krävs för att uppnå god it-säkerhet under hela det innevarande årtusendet – inklusive rapporter om de mest vanligt förekommande hoten/sårbarheterna samt uppdaterade rapporter om vilka attacker som för tillfället förekommer. Avgörs följsamheten av vem som är avsändare eller är det snarare en prioriterings- och resursfråga?

Genom att företagen blir bättre på att skydda sig själva torde resurser och tid frigöras för myndigheter att utveckla sina delar inom föreskrifter, tillsyn, bekämpning av it-brottslighet, skyddet av det mest skyddsvärda samt militärt och civilt försvar.

”Cybersäkerhetscentret är lösningen på allt!”

Det finns ingen quick fix (se tidigare kommentar om övertro på centrala lösningar). Den stora vinsten med centret är samlokalisering och informationsutbyte. Myndigheterna hade dock redan innan centrumbildningen befintliga samarbeten, bland annat genom NSIT och SAMFI. Jag noterar också att mycket av det föreslås att centret ska få i uppgift att göra, redan ingår i uppdraget från regeringen. I regeringsuppdraget bör man särskilt komma ihåg den här skrivningen:

Myndigheterna som samverkar genom cybersäkerhetscentret ska bidra till verksamheten inom ramen för sina befintliga uppgifter. Den fördjupade samverkan inom cybersäkerhetscentret ska inte ta över det ansvar som ligger på de ingående myndigheterna och andra aktörer.

Med andra ord avlövas ingen befintligt ansvar och uppgifter, utan detta ska fortlöpa parallellt med centret, vilket kräver resurser. Myndigheterna som utgör centret kommer av sig själva inte kunna åstadkomma en ökad grundnivå med fler individer som faktiskt utför säkerhetshöjande arbete på bredden. Hela samhället oavsett organisationsform måste kavla upp ärmarna och börjar prioritera de uppgifter som redan är utställda i lag, förordning och föreskrift samt sådana allmänna rekommendationer som får anses vara mer eller mindre standard för it-system år 2021.

Några tips på vägen

Diskussionen hamnar lätt i ett läge där hela samhället förväntas dimensionera och möta de mest kvalificerade hoten, trots att man inte ens har förmåga att hålla sina system uppdaterade med de senaste säkerhetspatcharna. Innan det finns kompetens och processer att hantera de enklare hoten på Internet, och för den delen en effektiv drift, förvaltning – och behörighetsstyrning med tillhörande kontinuitetsplanering, så är det lite av en överkurs.

Man får, som det heter, äta elefanten i bitar och därmed är vi tillbaka till Patrik Sternudds tips. Vad vill han skicka med? Jag får direkt svaret att det inte finns några genvägar. Han jämför med utveckling av it-produkter där det finns det ramverk för mognadsnivåer och hur man stegvis ökar sin förmåga. Där är det mycket tydligt att man inte går från nivå noll till fem i ett steg. Patrik skickar med följande rekommendation:

Försök inte lösa det svåraste först utan börja med det som ger mest effekt på kortast tid. Om det inte finns särskilda regleringar för verksamheten kan det vara värt att titta på Stöldskyddsföreningens rekommendationer (”Cybersäkerhet BAS”). De erbjuder både utbildning och certifiering. Även CIS Controls kan vara en bra startpunkt. Är man en myndighet kan man gå direkt på LIS och ISO 27000-serien utifrån MSB:s föreskrifter. Identifiera vad som är den mest kritiska verksamheten och gör en plan för hur den ska skyddas, men utgå inte från att systemen går att skydda till 100 procent! Räkna med funktionsbortfall och ha en plan för hur kärnverksamheten ska upprätthållas när det händer.

……….

Lästips. Två rapporter från samverkande myndigheter inom området:

Rapporten Cybersäkerhet i Sverige 2020 – Hot metoder brister och beroenden

Rapporten Cybersäkerhet i Sverige 2020 – Rekommenderade säkerhetsåtgärder

I juni 2018 talade jag med överste Patrik Ahlgren, chef CIO Cyberförsvar vid ledningsstaben på Högkvarteret, om den förestående utbildningen av cybersoldater. 

Filmtips: Microsofts Framtidsarena från februari 2021 Överste Ahlgren och MSB:s Åke Holmgren medverkar i en diskussion som bland annat handlar om kontinuitetsplanering.