Samtidigt som man inom Transportstyrelsen våren 2015 diskuterade att engagera utomstående för hantering av viss datadrift bedrev vi inom Kungl Krigsvetenskapsakademien ett delprojekt om cyberhotet mot samhället och behovet av informationssäkerhet bland annat inom den civila statsförvaltningen. Vi pekade i seminarier och artiklar bland annat på riskerna med sammankopplade system och system i system och hur känslig information kunde läcka.
Problemen är större än det som nu hänt på Transportstyrelsen. Hösten 2015 konstaterade amerikanska FBI att cyberhotet, i sina olika former, är större än terroristhotet. Regeringen måste ta ett fastare tag om taktpinnen på detta viktiga säkerhetsområde och se till att det blir verkstad och inte bara tomma ord.
IT-teknologin genomsyrar samhället och är till stor nytta. Samtidigt är den förenad med sårbarhet och en ny arena för antagonister av olika slag. Därför är IT-säkerhet av största betydelse. Information kan via nätet stjälas, förändras, blockeras och manipuleras, dessutom så att kritiska samhällssystem skadas med mera. Angreppen kan ske på nanosekunder och ibland upptäcks de inte alls.
Samtidigt som hackers och andra antagonister med olika syften hela tiden och systematiskt ”knackar på portarna” till våra datorer får vi inte underskatta risken med att även personer som är anställda i säkerhetsklassade miljöer, av lättja, obetänksamhet eller okunnighet, lämnar dörren öppen på vid gavel. Bekymret med hotet inifrån ökar med mobila arbetsplatser, arbete utanför tjänstestället, från hemmet eller publika miljöer och med parkoppling av datorer och mobiltelefoner.
IT-säkerhet hör till de centrala delarna av försvaret av vårt land och vårt lands funktionalitet, så står det i en rapport från Socialdemokraterna år 2011. Sen dess har bland annat Riksrevisionen granskat, granskat igen och regeringen 2015 skrivit till riksdagen om intensifierade åtgärder. Bidde det bara en tummetott?
Risker, sårbarhet och behov av skydd tycks ”ha gått flera värdshus förbi”. Transportstyrelsen beslutar att göra avsteg, Säpo får veta och granskar och rekommenderar stopp för outsourcing och regeringskansliet informeras. Ändå händer det!
Informationssäkerhet måste ses som ett strategiskt värde i dagens och morgondagens verksamhet. Den grundläggande kunskapen och beställarkompetensen på områden som rör IT-system måste utvecklas inom staten. Statliga organ får inte tillåtas tappa det vakna och vakande ögat genom att dräneras på egen IT-kompetens. Vad hjälper det med tjusiga risk- och sårbarhetsanalyser om man struntar i att reagera när larmet ljuder.
Vill man dyka djupare in i problematiken och ta del av förslag till skyddsåtgärder är Krigsvetenskapsakademiens (KV21) bok ”Sverige – värt att skydda” med alla referenser en bra inkörsport (kan köpas här).
Författaren är tidigare rikskriminalchef och generaldirektör, samt är ledamot av KKrVA.