En cyberguide till politiker valåret 2018

Kära politiker,

Valen närmar sig och du som siktar på förtroendeuppdrag bör, inte minst mot bakgrund av TransportGate, räkna med att väljarna ställer frågor om skyddet av vårt digitala samhälle.

Eftersom du sällan har tid att läsa långa rapporter eller gå på konferenser vill jag börja med att bjuda på tre råd så att du inte börjar valkampanjen med ett klavertramp:
• När du pratar om samhällets säkerhet – kom ihåg att syftet med skyddet av samhället är förmågan att skydda medborgarna och deras personliga integritet.
• Innan du lovar att Sverige ska skaffa en offensiv försvarsförmåga – beakta de legala och tekniska utmaningarna begreppet åsyftar.
• Föreslå inte centraliserade statliga lösningar som svar på det digitala samhällets alla behov, hur briljanta idéerna än framstår i sociala media.

Informationssäkerhet handlar om att hålla våra medborgare säkra. Trygga människor är kreativa människor. Som förtroendevald ärver du ansvar för en digital infrastruktur som i många fall är föråldrad, komplex och svår att utveckla. Den tidiga digitaliseringen av Sverige öppnar för sårbarheter – inte enbart att hantera ny programvara utan även i det fysiska skyddet av infrastrukturen. Utan förtroende för samhällets hantering av information är samhället i fara. Om du söker ord som passar valdebatten så är investeringar i informationssäkerhet något som tryggar välfärden. Skolan. Jobben. Omsorgen. Men låt oss börja från början. Eller i alla fall börja ifjol.

Den 29 juni 2017 lanserade regeringen en nationell cybersäkerhetsstrategi. Vi förstår varför en strategi behövs. Medborgarna måste ha förtroende för digitaliseringen av samhället. Men det är svårt att försvara det digitala Sverige.

Säkerhet är svårt. Säkerhet är svårt. Säkerhet är svårt. Du gnäller inte om du upprepar detta en fjärde gång på ditt valplakat, för det är faktiskt sant. God säkerhet är svårt. Det är mycket enklare – och billigare – att attackera andras IT-system (även om avancerade attacker kräver stora resurser och mobilisering på ett sätt som endast statsunderstödda aktörer förmår). Varför är det så svårt (och dyrt) att försvara vårt digitala samhälle?

Information är samhällets mest strategiska tillgång. Idag är dessutom samhället mer än digitalt beroende; vi är i symbios med tekniken. Utmaningen med arvet är dock att digitaliseringen tilläts ske utifrån möjlighet, inte risker. Det var kanske lite naivt, men inte fel. Rätt hanterad innebär digitaliseringen enorma möjligheter.

Finns det då några magiska vallöften du som politiker kan ge väljarna för att lösa alla dessa problem?

Cybersäkerhet handlar mycket om hur vi skapar en god förebyggande säkerhetskultur. Nu, över ett halvår efter lanseringen av den nationella cybersäkerhetsstrategin, är det bra att regeringen har avsikten att förbättra både den offentliga sektorns robusthet och myndigheternas förmåga att effektivt reagera på cyberattacker. Det återstår att se om avsikterna kommer att ge rätt resultat, men de har satt oss i rätt riktning för att göra Sverige till ett säkert digitalt samhälle.

Säkerhet handlar dock inte bara om vad andra ska göra för dig, utan vad du kan göra för öka din säkerhet. Du som politiker vet förstås vad som är säkert. Du tänker på vilka trådlösa nätverk du kopplar upp dig mot på hotellen. Du kollar alltid upp appar som du laddar ned åt barnen på din iPad när du ger apparna tillgång till din data och följer övriga råd från Säkerhetspolisen.

Om du vill skapa ett tryggare digitalt samhälle har jag några idéer som kan sammanfattas i tre valfloskler: Förebygg. Stärk. Utveckla.
1. Satsa på utbildning. Uppmuntra god cyberetikett och säkerställ obligatorisk utbildning i informationssäkerhet av offentliga anställda – årligen.
2. Satsa på kompetens. Staten behöver öka IT-kompetensen för kravställning och styrning av IT-säkerhet.
3. Satsa på träning. Offentliga och privata aktörer oavsett storlek måste gemensamt – inte enbart enskilt – testa sin förmåga att motstå cyberattacker.
4. Utveckla informationsdelningen. Kunskap om IT-angreppen används för att utveckla teknik kring skydds- och motåtgärder. Nyttja innovationskraften och dela kunskapen om hotbilden.
5. Satsa på samarbete. Cyberförsvar kan inte endast involvera det offentliga. Vi måste skapa en kultur av, för att använda Försvarsberedningens vokabulär, motståndskraft över hela samhället. Även företag måste ta cybersäkerheten på allvar, inte bara utifrån en oro för industrispionage.
6. Stärk grunden. Regeringen har signalerat ett tydligt behov av en grundläggande cybersäkerhetsnivå. Så kallade hygienfaktorer måste bli samhällets ryggrad.
7. Utred och förtydliga. Hur ska den personliga integriteten värnas inom informationssäkerhetsarbetet? Ta inte individens skydd lätt, detta är grunden till varför vi skyddar samhället.
8. Stärk skyddet av offentliga tjänster. Inte minst genom användandet av ökad auktorisering, ID-kontroll och kryptering – utan att staten springer iväg och ropar på enkla lösningar.
9. Stärk innovationskraften. Ta fram en nationell strategi för hur vi bibehåller och ökar konkurrenskraften inom krypto. Satsa på cybersäkerhetstestbäddar.
10. Utveckla kompetensförsörjningen. Vi behöver fler it-säkerhetsutbildningar med olika inriktningar och mer anpassade till marknadens krav.
11. Förebygg. Utvärdera vilka system som är lämpliga att läggas ut och vilka som bör skötas internt, för rätt utförd utkontraktering kan vara det mest effektiva sättet att öka den offentliga it-säkerheten.

Slutligen måste det offentliga förtjäna väljarnas förtroende och bevisa att det inte bara finns en avsikt utan en seriös vilja att bygga en digital motståndskraft. Det skulle uppmuntra alla samhällets aktörer att dela information om hot och sårbarheter: rättsvårdande myndigheter, försvaret, underrättelseverksamheten och näringslivet. Vi behöver en gemensam digital lägesbild av cyberhotet mot Sverige.

En engagerad ledning är förutsättningen för bra säkerhetsarbete i alla organisationer – för det offentliga börjar det på Riksgatan och i kommunhusen.

Sverige kan genom att visa att vi är ett av de säkraste digitala samhällena i världen attrahera kompetens, affärsidéer och investeringar. Det hjälper vår ekonomi att växa – och ger dig som politiker utrymme att satsa på andra politikerområden.

Lycka till!

Robert Limmergård
Generalsekreterare, Säkerhets- och försvarsföretagen

PS. Försvarsberedningen talar om totalförsvarsviktiga företag. Det är bra att samtliga riksdagspartier ser vikten av att engagera näringslivet i skyddet av samhället. Naturligen ökar behovet av granskning av leverantörer av känsliga produkter, tjänster, samt utkontraktering till samhällsviktig verksamhet. Då både gällande offentliga inköp avsedda för offentlig sektorns nyttjande samt privata aktörers inköp av känsliga produkter, tjänster samt utkontraktering ämnade för samhällsviktig/-kritisk verksamhet. Detta är ett område där företagen måste involveras i utformningen av eventuella riktlinjer.

Läs mer om SOFF:s arbete inom cyberförsvar.

Länk till morgondagens Cyberförsvarsdag