Stärk informationssäkerheten

It- och energiminister Anna-Karin Hatt och regeringens utredare Erik Wennerström, GD för BRÅ.

It- och energiminister Anna-Karin Hatt och regeringens utredare Erik Wennerström, generaldirektör för Brottsförebyggande rådet på dagens pressträff på Rosenbad i Stockholm.

Allt mer i vårt samhälle blir nu snabbt allt mer digitalt, vilket leder till att allt fler av oss litar allt mer på de digitala system vi har. I dagsläget använder allt fler, till och med våra allra yngsta, digitala tjänster. Faktum är att hälften av alla våra tvååringar använder internet idag, och det digitala innanförskapet fortsätter öka.

Den digitala utveckling vi nu står mitt uppe i har gått rekordsnabbt. När vi i Alliansregeringen tillträdde 2006 fanns inte ens mobilt bredband. Sju år senare använder nästan 7 av 10 svenskar en smart mobil, som man inte bara kan ringa med utan också har snabb internetuppkoppling och större datorkapacitet än vad de stora stationära datorer som fanns i regeringskansliet hade, när vi flyttade in i Rosenbad 2006.

Det betyder att en klar majoritet av oss svenskar idag går omkring med en kraftfull dator i fickan, som innehåller all tänkbar känslig information, som bankkoder, affärshemligheter, privata uppgifter och så vidare. Men inte särskilt många har nog tänkt på att skaffa sig ett virusskydd eller en brandvägg på sin smarta telefon.

Det mål regeringen och riksdagen slagit fast är att Sverige ska vara bäst i världen på att dra nytta av digitaliseringens möjligheter. Det framgår av den digitala agendan för Sverige som regeringen antog för ungefär två år sedan.  Det är ett ambitiöst mål, och för att lyckas nå det måste både medborgare och företagare ha förtroende för och vilja använda våra it-system. Att kunna garantera en säker, motståndskraftig och tillförlitlig elektronisk kommunikationsmiljö är en framtidsfråga, för Sverige och alla andra länder.

De hot som idag finns mot våra elektroniska kommunikationsnät och it-system är olika. Det kan vara allt ifrån hot som kommer ur rent tekniska fel till hot som handlar om den mänskliga faktorn eller om att människor medvetet försökt sätta viktiga it-system ur spel. Till det kommer att exempelvis väderfenomen, naturkatastrofer och olyckor kan påverka vår it-infrastruktur, och på det området har vi effekterna från stormarna Gudrun, Per och nu senast Hilde i Västerbotten i färskt minne.

Idag genomförs medvetna it-attacker på en rad olika sätt, med många olika syften och väldigt olika omfattning. Varje dag, året om, förmodligen just nu, bedrivs det avancerade operationer mot svenska intressen. Och det rör sig om hela skalan: från it-intresserade ungdomar, som sysslar med rackartyg, till högt kvalificerade aktörer med betydande resurser.

Dräför behöver vi ha en bra, och allt bättre, helhetssyn på vad i vårt samhälle som behöver skyddas, vilka hoten är och hur vi ska förstärka vårt skydd. Och det är precis därför som vi i regeringen nu har fattat beslut om att tillsätta en utredning som ska ta fram förslag till en ny bred, nationell strategi för säkerhet i elektroniska kommunikationsnät och it-system.

Den nya nationella strategin ska lägga grunden för en samlad politik och omfatta informationssäkerhetsarbete på alla nivåer och områden i samhället och vara ett övergripande sammanhållet ramverk för hur arbetet med informationssäkerhet ska bedrivas i Sverige. Tanken är att vi, när strategin finns på plats, ska kunna utforma mer detaljerade riktlinjer och handlingsplaner för olika områden och sektorer.

Det uppdrag som utredaren har fått är att:

  1. Föreslå övergripande mål för samhällets informationssäkerhetsarbete, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur,
  2. Klargöra begrepp som används inom informationssäkerhetsområdet och vid behov föreslå förtydligande eller alternativa benämningar och definitioner, särskilt av sådana som används i förslaget till nationell strategi,
  3. Redovisa statliga myndigheters ansvar och roller utifrån de uppgifter och uppdrag på informationssäkerhetsområdet som de har i dag, och
  4. Föreslå en nationell strategi för hantering och överföring av information i elektroniska kommunikationsnät och it-system,

Samtidigt som vi fattade beslut om direktiven bad vi också Erik Wennerström, till vardags Generaldirektör för Brottsförebyggande Rådet, BRÅ, att genomföra utredningen. Erik har disputerat i juridik och har tidigare arbetat med frågor som rör rättsväsendet på Justitiedepartementet, Folke Bernadotte-akademin, och på Utrikesdepartementet. Senast den 1 december 2014 ska Erik presentera sina förslag.

Läs mer på Riksdag & Departement, Computer Sweden och på SvD. Om du i efterhand vill se presskonferensen i sin helhet kan du se den här

Sans, balans och öppenhet på nätet

Under den senaste veckan har flera svenska myndigheter och företag fått se sina hemsidor utsatta för överbelastningsattacker, vilket inneburit att de tidvis gått ner och inte varit möjliga att komma in på. Att hemsidor sätts ur spel är förstås ett problem i sig, inte minst i ett samhälle där vi allt mer söker den information vi behöver via internet. Men samtidigt är det viktigt att hålla huvudet kallt och se de rätta proportionerna av det som hänt. Särskilt när kvällstidningarna i braskande rubriker nu påstår att Sverige skulle vara ”under attack”.

När vi möts av den sortens krigsrubriker är det förstås lätt att bli orolig, och som enskild privatperson är det inte alltid lätt att veta vad som är rätt. Men faktum är att det som nu hänt inte på något sätt innebär att Sverige är ”under attack”. Däremot har vissa myndigheter och företag råkat ut för att deras hemsidor satts ur spel. Att hemsidor går ner leder förstås tillfälligt till problem, men det som hittills hänt har inte orsakat några allvarliga eller bestående problem för några av våra samhällsviktiga funktioner. Även om man kanske kan få det intrycket så innebär inte de här överbelastningsattackerna totalt sett något allvarligt hot mot internet i Sverige, eller mot vårt samhälles grundläggande funktioner. Det som hänt är inte bra, men det är samtidigt inte bra om vi överdramatiserar det inträffade.

Det hindrar inte att vi ska göra vad vi kan för att skydda oss mot överbelastningsattacker som dessa, och att vi ska förebygga så att effekterna när sådant här inträffar inte blir så stora. Och det görs och ska göras, inte minst via den så kallade ansvarsprincipen. Den principen innebär att den som är ansvarig för en verksamhet är det hela tiden, både i vardag och i kris. I det ligger att varje myndighet och varje företag löpande måste se till så att man har en god it-säkerhet, att man har bra brandväggar som kan filtrera bort skadlig trafik och att man t.ex. har en enkel, temporär hemsida med den viktigaste informationen förberedd som man kan lägga upp om den ordinarie hemsidan skulle gå ner. Jag är säker på att mer än en it-ansvarig under den här veckan har blivit extra påmind om hur oerhört viktigt detta förebyggande arbete är.

Att förebygga och tänka på it-säkerhet ligger inte bara på myndigheter och företag. Det ligger också på oss som enskilda. För på samma sätt som myndigheter och företag måste se till att hålla sina skydd aktuella så måste vi som enskilda göra detsamma. Var och en av oss måste vara försiktiga med vilka länkar vi klickar på, och vi måste se till att hålla virusskyddet på datorn där hemma uppdaterat, så att vi inte riskerar att få den kapad och utnyttjad i attacker som dessa.

Så de attacker vi råkat ut för den här veckan är inget som hotar vårt samhälles grundläggande och viktiga funktioner. Den sortens attacker finns också i den digitala världen, där människor med ondskefulla avsikter t.ex. tar sig in i olika system för att stjäla information eller sätta viktiga samhällsfunktioner ur spel, men de attackerna är något helt annat än det vi nu sett, och det är också hot som vi löpande gör stora insatser för att upptäcka, förebygga och förhindra .

Det allvarligaste med det som hänt den här veckan är inte det, utan det är de mer principiella frågorna.

De som tagit på sig ansvaret för veckans attacker förefaller vara ett löst sammanhållet nätverk som går under samlingsnamnet ”Anonymous”. Det nätverket säger sig kämpa för ett fritt internet och för ett fritt informationsflöde. Men sättet de gör det på är genom att attackera just det fria ordet och det fria informationsflödet. Det är oerhört inkonsekvent och något som måste fördömas.

För även om det kanske inte var avsikten så vet vi att det finns stater i världen som mer än gärna skulle vilja se att det öppna internet vi har idag, som vi i Sverige står upp för och försvarar, blev mer slutet och mer kontrollerat. Stater som Iran och Kina skulle gladeligen ta varje chans att skaffa sig mer statlig kontroll över nätet. Och faktum är att även om de som genomfört den här veckans överbelastningsattacker hävdar motsatsen, så riskerar den här typen av attacker att mer än något annat ge dem som skulle vilja se ett mer slutet och kontrollerat internet vatten på sin kvarn.

Men det ska inte få hända. Liksom många många andra i Sverige är jag en stark försvarare av ett fritt och öppet internet. Och jag kan lova var och en av er att jag inte kommer vika en enda millimeter från att försvara den öppenheten. Allra minst när grupper som den här attackerar det fria ordet och det fria informationsflödet i sig.

Om detta, och en del annat, medverkade jag i morgonsoffan i TV4 tidigare idag:

Annan media: SvD1, SvD2, GP1, GP2, AB1, AB2

Vi har inte råd med några svaga länkar

Anna-Karin Hatt pratar på på konferensen Informationssäkerhet för offentlig sektor

På konferensen Informationssäkerhet för offentlig sektor

På Folkets hus i Stockholm samlas i dagarna hundratals representanter från offentlig sektor för att diskutera ett väldigt angeläget ämne: informationssäkerhet. I mitt tal där idag framhöll jag att det är många olika aktörer som måste kunna – och bli bättre på – att samverka om vi ska kunna få säkra it-system:

Allt fler av våra system integreras nu, precis som i Tieto:s fall, med varandra och samlas i en enda central miljö. Och det är många gånger rationellt, sparar kostnader och minskar vårt energibehov. Men det leder samtidigt till att ett tekniskt fel snabbt kan leda till avbrott i flera system, lite som ringar som sprider sig på vattnet. Och i slutändan kan konsekvenserna för samhället bli väldigt allvarliga.

Samtidigt som våra medborgare förväntar sig att all nödvändig information alltid ska finnas en knapptryckning bort och vi samlar fler tjänster i molnet, blir konsekvenserna allt större när it-avbrotten inträffar. Och offentlig sektor råder inte längre själva över it-system då mycket av den kritiska infrastrukturen finns i privata företag. Som jag ser det så leder allt detta fram till ett behov av en ny nationell strategi för informationssäkerhet:

Eftersom informationssäkerhet är en horisontell fråga som skär genom alla sektorer behövs också ett brett samhällsperspektiv. Och därför tror jag att vi också – vid sidan av handlingsplanen – behöver en ny bred, nationell strategi för informationssäkerhet. Vi behöver en bättre helhetssyn i vårt samhälle på vad som ska skyddas, vilka hoten är och vilka medel vi ska ha för att förstärka vårt skydd.

Det handlar om allt från säkerhets- och försvarspolitiska aspekter, medborgerliga rättigheter, integritetsfrågor, brottsbekämpning till säkerhet i vardagen. Jag vill att en sådan ny nationell strategi för informationssäkerhet ska möjliggöra en samlad politik och omfatta arbete med informationssäkerhet på alla nivåer och områden i samhället. Jag ser framför mig att en sådan ny nationell strategi ska bli ett övergripande sammanhållet ramverk för hur arbetet med informationssäkerhet ska bedrivas i Sverige.

Läs gärna hela mitt tal här eller se videon nedan.

Och vill du läsa Forbes artikel, med prislistan över zero day-sårbarheter, hittar du den här.