15 februari

Digitalisering med behov av styrning

Digitaliseringen underlättar i hög grad både människors dagliga liv och hur samhället styrs. Men digitaliseringen öppnar för faror. Forskare från FOI berättar i rapporten Allas ansvar är ingens ansvar? om oklar styrning, förvirrande terminologi och bristande återrapportering.

En handskakning i datormiljö.

Genomgående tendenser som speglar svagheten i den svenska statsförvaltningens informations- och cybersäkerhetsarbete är otydlig ansvarsfördelning och styrning, oklarheter i diskursens definitioner och bristande återrapportering. Bild från Shutterstock.

Den svenska staten har sedan det kommersiella internets genombrott drivit på digitaliseringen i drygt 30 år. Det har gjort Sverige till ett högt digitaliserat land i omvärldens ögon.

– Digitalisering har varit synonymt med framtiden, det smarta och det effektiva. Det har också lett till en rad fördelar. Men det har en annan sida, vilket vid flera tillfällen uppmärksammats av Riksrevisionen som bland annat påpekat brister i informations- och cybersäkerhetsarbetet inom statsförvaltningen, säger Mathilde Jarlsbo, biträdande analytiker, som skrivit rapporten tillsammans med FOI-kollegorna Mattias Svahn, Miranda Michélsen Forsgren och David Lindahl.

Inget övergripande ansvar

Tre genomgående tendenser som speglar svagheten i den svenska statsförvaltningens informations- och cybersäkerhetsarbete presenteras i studien.

Tendens 1: Otydlig ansvarsfördelning och styrning.
Tendens 2: Oklarheter i diskursens definitioner.
Tendens 3: Bristande återrapportering.

– Den nuvarande ansvarsfördelningen är en konsekvens av svensk förvaltning. Där finns centrala aktörer, som justitie- och försvarsdepartementet, liksom myndigheter som MSB, Försvarsmakten, Säpo, PTS och FRA. Men ingen av dem har ett övergripande ansvar eller koordinerar arbetet. Istället är det regeringen som är ytterst ansvarig. Men det vi ser är att regeringar genom tiderna delegerat ansvaret till departement och myndigheter som i sin tur delegerar vidare och till slut är det ett arbete som bedrivs långt från regeringen, säger Mathilde Jarlsbo.

”Oklarheter i diskursens definitioner” handlar om en otydlig begreppsapparat.

– Parterna pratar om informationssäkerhet, it-säkerhet eller cybersäkerhet utan att tänka på det är tre olika saker. Det påverkar även det internationella samarbetet, översatt till engelska blir det helt olika saker. Eller ta prefixet ”cyber-” som kan betyda lite vad som helst. Ett kommande Nato-inträde kräver diskussioner om hur vi ska förhålla oss till det ordet, säger Mattias Svahn.

Det påverkar också återrapporteringen, den tredje tendensen.

– Det finns en skyldighet för myndigheter att återrapportera it- och cyberincidenter till MSB, men inte inom informationssäkerhet. Så när centrala makter inte vet vad som händer, kan det bero på att det är oklart vad som ska återrapporteras, säger Mattias Svahn.

Förutsättningarna för samarbete är inte heller de bästa, enligt rapporten. Det delade ansvaret mellan flera olika myndigheter av olika karaktärer i Nationellt cybersäkerhetscenter har lett till svårigheter med såväl styrning, uppföljning ansvarsutkrävande och målsättning.

Europeiskt samarbete

I rapporten finns också ljusglimtar.

– Som att det pågår ett intensivt arbete inom EU för att höja den gemensamma cybersäkerhetsnivån genom NIS 2-direktivet, som belyser vilka säkerhetsstrukturer som borde finnas i medlemsstaterna. Med direktivet medföljer också krav och sanktioner. Att det skapats ett svenskt nationellt cybersäkerhetscenter ger också skäl till optimism, säger Mathilde Jarlsbo.

Kunskapsinhämtandet kommer från litteratur som lagtexter och dokument hämtade från regeringens hemsida, tillsammans med svensk och internationell forskning samt intervjuer med specialister inom svensk förvaltning.

– Vår studie börjar i mitten av 90-talet, vid internets genombrott. Men i princip sedan de första datorerna startade, har det funnits dokumenterad diskussion om säkerhetsarbete. Det kan vi tacka digitaliseringen för, säger Mathilde Jarlsbo.

Rapporten avslutas med ett antal förslag på framtida forskning, många av dem hämtade från intervjuerna med specialisterna. Mattias Svahn nämner några av de som han anser viktigast.

– Ett är att Sverige genom NIS 2-direktivet kan lära hur andra länder har gjort. Ett annat är att titta på psykologin inom cybersäkerhet, som när ryssarna gör en liten cyberattack i Ukraina kombinerad med desinformation om att attacken är stor. Ett tredje förslag är att det borde utredas hur outsourcing och privatisering har fungerat i relation till en gedigen cybersäkerhet, säger han.

I studien har djupare intervjuer genomförts med fem experter

  • En representant för Myndigheten för Digital Förvaltning
  • En representant för Post- och telestyrelsen
  • Två representanter för Regeringskansliet
  • En representant för Myndigheten för Samhällsskydd och Beredskap.

– De skildrade en tydlig tendens. De från Regeringskansliet har ett helikopterperspektiv, medan myndigheternas representanter i första hand ser på sin egen verksamhet. Alla är jättebra på sitt, men det är svårt att få ett helhetsperspektiv och det saknas en övergripande styrning, säger forskaren Mattias Svahn.