MSB: Sveriges cybersäkerhet på efterkälken jämfört med Ukraina

Nyligen släppte MSB När kriget kom nära Årsrapport it-incidentrapportering 2022. Mycket av fokuset i rapporten ligger på Rysslands invasion av Ukraina, där MSB påpekar att Ukraina lyckats stå emot väl när det kommer till cyberkrigföring. Ett område där Sverige ligger på efterkälken.  

– Från Infosäkkollen vet vi att stora delar av svensk offentlig förvaltning har allvarliga brister i sitt systematiska informationssäkerhetsarbete. Då Sverige började växla upp arbetet senare än Ukraina, som arbetat intensivt med detta sedan annekteringen av Krim 2014, är det rimligt att anta att vi i dagsläget inte är exakt där vi vill vara utifrån det nya säkerhetsläget, säger Mathias Anthonsson, senior handläggare på MSB. 

– Om informations- och cybersäkerhetsarbetet prioriteras och resurssätts har vi alla möjligheter att på relativt kort tid stå ännu bättre rustade än idag. Den enorma mängden och variationen av cyberangrepp som använts mot Ukraina visar vikten av en hög kvalitet i det systematiska informations- och cybersäkerhetsarbetet.

 I rapporten föreslår ni även en utredning om Sveriges digitala suveränitet. Varför behövs det?

– MSB och andra aktörer behöver veta om det finns produkter eller tjänster som vi behöver ta fram för att stärka cyberförsvaret. För att skydda Sveriges digitala suveränitet behöver en rad frågor utredas, inte minst de legala frågorna om rådighet, exempelvis vilka produkter eller tjänster måste drivas i svensk regi? Hur ska Sveriges digitala suveränitet förhålla sig till EU, kan vissa produkter eller tjänster drivas av europeiska företag? Ska viss samhällsviktig verksamhet vara tvungen att använda en särskild typ av digital infrastruktur? 

Ukraina valde internationella molntjänster

Vid Rysslands invasion valde Ukraina att kopiera i princip hela datainnehållet från sina myndigheters it-system och många av sina myndighetsservrar till internationella molntjänster.

I rapporten skriver MSB att en väg för Sverige här kan vara att utveckla egna molnliknande lösningar där vi kan behålla kontrollen och ensamrätten till vår data. 

Varför det? Varför inte välja internationella molntjänster som Ukraina?

– Sverige har i nuläget ingen samordnad beredskap vad gäller hantering och evakuering av kritisk samhällsdata i händelse av allvarliga incidenter såsom naturkatastrofer, krig eller cyberhaverier av större omfattning. För att säkra att viktig information inte går förlorad och för att säkra att data hålls konfidentiella är det angeläget att systematiskt och strategiskt bygga upp en sådan beredskap.

– Hur detta ska utföras är dock nära kopplat till var gränsdragningen anses gå gällande Sveriges digitala suveränitet och utgör ytterligare en anledning till att en utredning om Sverige digitala suveränitet behövs.

Önskar en förändrad eller ny lagstiftning

I rapporten redovisar MSB slutligen ett antal rekommendationer för att stärka informations- och cybersäkerheten i Sverige. Bland annat behöver MSB kunna kräva in mer information från samhällsviktiga verksamheter och ges ett utökat mandat att agera på risker och sårbarheter.

Dessutom vill MSB att ett flertal utredningar ska genomföras (bland annat gällande digital suveränitet) för att tydliggöra centrala myndigheters uppdrag och befogenheter kopplat till cyberförsvaret. För att sedan kunna genomföra på rapportens rekommendationer vill MSB se en delvis förändrad eller ny lagstiftning.

– En ny eller förändrad lagstiftning bör säkerställa att all samhällsviktig verksamhet omfattas av samlade krav på informationssäkerhet genom att utvidga tillämpningsområdet i den kommande NIS2-regleringen.

– Lagstiftningen bör även motverka fragmentering genom att så långt som möjligt ställa samma grundkrav avseende informations- och cybersäkerhet i samhällsviktig verksamhet.

– Vi vill även att vi på MSB ska få i uppdrag att, tillsammans med sektorsansvariga myndigheter, kartlägga monoberoenden inom de nya beredskapsområdena, samt lämna förslag på hur identifierade monoberoenden ska hanteras.

– En ny lagstiftning bör även förtydliga och utvidga offentlighets- och sekretesslagens skydd för it-incidentrapporter, samt förbättra förutsättningarna för myndigheter att samarbeta genom samskapande, eventuellt genom sekretess för gemensamt arbetsmaterial.