Hoppa till innehållet

En utskrift från Dagens Nyheter, 2022-05-27 09:37

Artikelns ursprungsadress: https://www.dn.se/debatt/bank-id-och-e-legitimation-behover-fa-statlig-tillsyn/

DN DEBATT

DN Debatt. ”Bank-id och e-legitimation behöver få statlig tillsyn”

It-incidenter beror ofta på interna störningar i företagen, men statsstödda cyberangrepp går inte att utesluta, skriver Erik Thedéen på Finansinspektionen.
It-incidenter beror ofta på interna störningar i företagen, men statsstödda cyberangrepp går inte att utesluta, skriver Erik Thedéen på Finansinspektionen. Foto: Science Photo Library/TT

DN DEBATT 9/5.

Erik Thedéen, generaldirektör för Finansinspektionen: Banker och andra finansiella företag är i hög grad sårbara för it-angrepp, och måste skydda sig bättre. Samtidigt måste staten vara med och stärka den digitala motståndskraften. I en rapport till regeringen föreslår vi nu en rad konkreta åtgärder, till exempel att bank-id ska sättas under statlig tillsyn.

Detta är en opinionstext i Dagens Nyheter. Skribenten svarar för åsikter i artikeln.

På senare tid har frågor om samhällets digitala motståndskraft hamnat i fokus. Nästan varje vecka rapporteras om mer eller mindre allvarliga it-incidenter. Det stora flertalet beror på interna störningar, men det förekommer också cyber­relaterad brottslighet av olika slag. Med tanke på det skärpta säkerhets­politiska läget går det inte heller att utesluta statsstödda cyberangrepp mot Sverige i syfte att spionera eller sabotera.

Sverige ligger långt fram när det gäller digitalisering, men nivån på cybersäkerheten är inte lika hög. Vårt land har en cybersäkerhetsskuld.

Banker och andra företag i det finansiella systemet är i hög grad sårbara för it-incidenter just för att deras tjänster är så digitaliserade och samman­länkade. Om det vill sig illa kan en allvarlig it-incident i en bank sprida sig och drabba samhället i stort. Just därför är cybersäkerheten i de finansiella företagen en angelägenhet för hela samhället.

Det är viktigt att FRA med sin höga kompetens tillåts ge stöd för att höja cybersäkerheten i de finansiella företagen.

Mot bakgrund av de ökade cyber­riskerna har Finansinspektionen fått i uppdrag av regeringen att lämna förslag för att stärka den digitala motståndskraften i den finansiella sektorn. Vi föreslår i vår rapport följande:

1. Stärk tillsynen över finansiella företags hantering av cyberrisker. Säkra och robusta it-system är avgörande för att finansiella tjänster ska fungera. Finansinspektionen ska göra mer genomgripande och frekventa granskningar av cyberberedskapen och utveckla nya tillsynsmetoder.

Det behövs dessutom bättre kontroll över företag som lagt ut kritiska delar av sin it-verksamhet på under­leverantörer. För denna ambitions­höjning behöver Finansinspektionen mer resurser.

2. Skapa en struktur för hantering av operativa kriser i finansiella företag. Finansinspektionen föreslår att det snarast ska bildas ett organ med uppgift att samordna berörda myndigheters hantering av operativa cyberrelaterade kriser i systemviktiga finansiella företag. Organet bör även ha en aktiv roll i de krisövningar som behövs för att myndigheter och företag ska kunna förbereda sig för att hantera attacker och begränsa deras skade­verkningar.

Regeringen bör snabbutreda hur ett sådant krishanteringsorgan utformas på lämpligaste sätt samt vilken myndighet som bör ges huvudansvaret.

3. Utöka mandatet för FRA (Försvarets radioanstalt) att bistå företag med cyberskydd. Det är viktigt att FRA med sin höga kompetens tillåts ge stöd för att höja cybersäkerheten i de finansiella företagen.

Regeringen bör så snart som möjligt besluta, i enlighet med FRA:s förslag, att myndigheten ska kunna ge stöd inom informationssäkerhetsområdet även till privata företag som hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende.

4. Etablera Nationellt cybersäkerhetscenter (NCSC) snabbare. Centret är en fördjupad myndighetssamverkan med uppgift är att vara en nationell plattform för privat-offentlig samverkan på cybersäkerhetsområdet med fokus på delning av information och kunskap. Finansinspektionen föreslår att centret ska göras fullt fungerande så snabbt som möjligt, helst i slutet av 2023 i stället för 2025 som nu planeras.

Samtidigt måste centrets uppdrag förtydligas. I det ingår att komma till rätta med utmaningarna i en beslutsordning där mer operativa beslut tas gemensamt av de fyra myndig­heterna som samverkar i centret: FRA, Försvarsmakten, MSB (Myndigheten för samhällsskydd och beredskap) och Säkerhetspolisen. På sikt bör rege­ringen göra en översyn för att hitta den långsiktigt mest ändamålsenliga organisations­formen. Då bör övergången till myndighetsform prövas.

5. Inrätta ett cyberråd i Statsrådsberedningen med berörda myndigheter och departement. Cyber­säkerhetsområdet är stort och statens ansvar fördelat på många myndigheter. Myndighetssamverkan i NCSC är ett uttryck för detta. Samverkan krävs men det finns en risk för att myndigheternas insatser inte utformas från en gemensam hotbild och inte inriktas på ett samlat och effektivt sätt. Och att beslut som påverkar mer än en myndighet inte fattas tillräckligt snabbt, till exempel i en krissituation.

Detta är en övergripande angelägenhet för regeringen. Ett råd bör därför inrättas i Statsrådsberedningen för att utifrån en samlad bild av cyber­hoten mot det svenska samhället lägga grunden för en gemensam styrning av hanteringen av cybersäkerhetsfrågor, inbegripet hur insatserna ska prioriteras mellan olika sektorer.

6. Sätt bank-id och andra privata e-legitimationer under statlig tillsyn eller skapa en statlig e-legitimation. Sverige är ett av de få länder i EU som inte har en statlig e-legitimation. I stället finns bank-id, en tjänst i privat regi som används av över 90 procent av alla svenskar över tolv år. Bank-id är därmed en samhällsviktig tjänst. En cyberattack som slår ut bank-id kan få allvarliga konsekvenser för flera delar av det svenska samhället, inte bara betalningstjänster. Det motiverar att statens tillsyn av bank-id och andra liknande verksamheter kraftigt stärks.

Finansinspektionens rapport fokuserar på åtgärder som kan öka både den finan­siella stabiliteten på cyberområdet och Sveriges säkerhet. Vi alla förväntar oss – med rätta – att kunna göra digitala betalningar utan större störningar.

Företagen har huvudansvaret för den egna cyberberedskapen, men det är en gemensam angelägenhet att se till att kundernas förväntningar uppfylls och att cybersäkerheten är fullgod. Ökad samverkan mellan stat och näringsliv enligt god svensk modell kan här lämna viktiga bidrag.

Ämnen i artikeln

It-säkerhet

Kommentera artikeln

I samarbete med Ifrågasätt Media Sverige AB:s (”Ifrågasätt”) tjänst Ifrågasätt erbjuder DN möjligheten för läsare att kommentera vissa artiklar. Denna tjänst tillhandahålls således av Ifrågasätt som också är ansvarig för tjänsten.

De kommentarer som Ifrågasätt tillgängliggör på tjänsten visas i anslutning till dn.se. DN granskar inte kommentarerna i förväg. Kommentarerna omfattas inte av utgivaransvaret enligt yttrandefrihetsgrundlagen och de är inte heller en del av den grundlagsskyddade databasen dn.se.

Grundreglerna för kommentarer är:

  • håll dig till ämnet
  • håll en god ton
  • visa respekt för andra skribenter och berörda personer i artikeln.

I övrigt gäller de regler för kommentarer som framgår av Ifrågasätts användarvillkor och som du godkänner i samband med att du skapar ett konto för kommentering. Ifrågasätt förbehåller sig rätten att radera kommentarer i efterhand. DN kan genom eget beslut ta bort kommentarer.

Ⓒ Detta material är skyddat enligt lagen om upphovsrätt