Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se och e-DN.

Med ett gratiskonto kan du följa skribenter och ämnen samt spara artiklar.

Sverige

Ministern vill tydliggöra ansvaret för IT-säkerhet

”En skrämmande granskning”, säger inrikesminister Anders Ygeman om DN:s artikelserie ”Det sårbara digitala samhället”.
”En skrämmande granskning”, säger inrikesminister Anders Ygeman om DN:s artikelserie ”Det sårbara digitala samhället”. Foto: Magnus Hallgren

Efter DN:s avslöjanden vill ansvarig minister nu införa en rapporteringsskyldighet i Sverige för IT-säkerhetsincidenter. ”Vi måste också tydliggöra vilka myndigheter som har ansvaret”, säger inrikesminister Anders Ygeman. Artikelserien ”Det sårbara digitala samhället” har väckt starka reaktioner.

I åtta delar har Dagens Nyheter granskat hur myndigheter och företag sköter sin och privatpersoners IT-säkerhet.

Det har bland annat handlat om sårbarheter hos FRA, polishus och vattenkraftverk – men även om hundratals webbkameror och skrivare som är exponerade mot internet.

– Det är en bra och viktig granskning. Det är också en rätt skrämmande granskning. Den visar på luckor i IT-säkerheten på ett antal olika områden där samhället inte är tillräckligt starkt. Flera av de saker som DN har rapporterat om är sådant som man önskar att antingen enskilda företag eller samhälls­institutioner hade uppmärksammat, säger inrikesminister Anders Ygeman (S).

Han har ansvar för IT-säkerhetsfrågor i regeringen. Efter DN:s ­artiklar vill han nu införa en lag­ändring som gör att organisationer blir skyldiga att meddela staten om IT-säkerhetshändelser.

– Vi behöver en obligatorisk incidentrapportering. Det är något som jag vill införa, säger Anders Ygeman.

För vilka ska den vara obligatorisk?

– Det är en bra fråga. Vi får återkomma till det.

Hur ska den se ut?

– Det är lite för tidigt att säga. Exakt hur den ska se ut kommer jag inte att kunna svara på i dag. Comhem-exemplet visar till exempel att de har haft vetskap om bristerna utan att ha åtgärdat dem.

System med obligatorisk IT-incidentrapportering finns redan i flera andra länder – bland andra USA, Tyskland, Nederländerna och Norge. Enligt Anders Ygeman kräver införandet en lagändring.

Avslöjandet om att Comhem i 14 månader har känt till ett allvarligt säkerhetsproblem i sina modem visar sig i högsta grad beröra ministern själv.

– Jag är Comhem-kund och jag är nästan säker på att jag är en av dem som har det aktuella modemet. Det här är naturligtvis oacceptabelt. De säljer en osäker produkt och har inte levt upp till det som konsumenterna förväntar sig. De måste göra sin produkt säker. Tillsynen över företagen måste bli bättre.

DN:s artikelserie har väckt starka reaktioner. Över 900 mejl har kommit in till redaktionen och flera debattörer säger att situationen med IT-säkerheten är oroväckande.

– Det har rört upp en massa slam och rök, säger Robert Malmgren, IT-säkerhetsexpert med inriktning på samhällskritiska industrisystem.

Efter DN:s artiklar har Post- och telestyrelsen (PTS) inlett tillsyns­ärenden mot Bredbandsbolaget och Comhem. Myndigheten ska även göra en bred granskning av hela branschen.

Anders Ygeman pekar på att man måste tydliggöra vilka myndigheter som har ansvaret för IT-säkerhetsfrågor i Sverige. I dag är ansvaret fördelat på ett stort antal myndigheter – bland annat FRA, Försvarsmakten, PTS, Säpo och Myndig­heten för samhällsskydd och beredskap.

– Man skymtar i DN-rapporteringen att det inte är kristallklart var gränsdragningen ligger. Vi måste utreda det. I vilken form vi vill utreda det – om vi tillsätter en helt ny utredning eller gör den här på departementet – det måste vi få arbeta lite mer med. Men vi måste verkligen arbeta med att tydliggöra vilka myndigheter som har ansvaret, säger Anders Ygeman.

Om ett par veckor kommer Riksrevisionen med en granskning om IT-säkerhet inom svensk statsförvaltning.

Dessutom har Erik Wennerström, generaldirektör på Brottsförebyggande rådet, under knappt ett års tid haft ett uppdrag av regeringen att utreda samhällets informationssäkerhetsarbete.

Beatrice Ask (M), ordförande i justitieutskottet, hoppas att de skärpta straffen för dataintrång som infördes nyligen kan få långsiktig effekt.

– Det är en signal om hur man ser på det hela. Jag tror också det är viktigt att myndigheter har IT-säkerhetsansvariga som håller ihop. Jag tror inte på ett organ som löser allt. På olika institutioner måste man ha med sig det här tänkandet, säger Beatrice Ask.

Enkät
Fredrik Wallin, talesperson, FRA

– Det är jättebra att det här granskas. Vi håller själva på att prata om informationssäkerhet i olika sammanhang. Det är väldigt bra att man lyfter upp det och påtalar vilka brister som finns.

– När det gäller privatpersoner tror jag att det är svårt att få konkret och bra information om vad man själv kan göra. Man skulle behöva enkla och påtagliga råd. Inom den offentliga sektorn har Sverige ganska bra teknisk kompetens på området, men varje myndighet har sin bit. Det skulle nog behövas bättre samordning och tydligare ansvarsfördelning. Jag tror också det skulle behövas tydligare krav och målsättningar.

Anne-Marie Eklund Löwinder, säkerhetschef på Stiftelsen för internetinfrastruktur

– Ni har gjort bra research, informationen är saklig, men det är förstås skrämmande resultat. Samtidigt är det bra att strålkastarljuset hamnar på leverantörssidan. Alltför länge har vi lagt ansvar och skuld på enskilda användare som ska uppdatera programvara.

– Leverantörerna har ett ansvar. Det ska finnas krav, och för att detta ska ha någon som helst effekt måste det finnas uppföljning. Beställarna har också ett ansvar. Det går inte att säga att man ”inte trodde att folk skulle göra så”. Sedan ska man aldrig glömma att allt som är uppkopplat mot internet är nåbart från internet.

Robert Malmgren, IT-säkerhetsexpert med inriktning på samhällskritiska industrisystem

– Jag tycker det är bra att detta har blivit belyst. Det har varit konkret. Det har rört upp en massa slam och rök.

– Jag tycker att det vore bra om det fanns vissa krav på grundskydd. Det vore också bra med mer tillsyn och uppföljning. De myndigheter som har tillsyn inom vissa områden borde följa upp IT-säkerhetsfrågor bättre.

Beatrice Ask (M), ordförande i justitieutskottet

– Granskande journalistik är bra. Det här är ett område där utvecklingen går väldigt snabbt. Det finns uppenbara risker för brister i upphandling, hur man hanterar saker, hur rutinerna hamnar mellan stolarna, och så vidare. Det är nog en del som fått sig en tankeställare – både enskilda och myndigheter.

– En sak som har gjorts är att straffet för dataintrång har skärpts. Det är en signal om hur man ser på det hela. Jag tror också det är viktigt att myndigheter har IT-säkerhetsansvariga som håller ihop. Jag tror inte på ett organ som löser allt. På olika institutioner måste man ha med sig det här tänkandet.

Läsarkommentarer.

"DN:s undersökning visar att många inte tar infosäk på allvar. Driftorganisation måste hantera kända sårbarheter med rutiner och verktyg."

Kim Hakkarainen, arbetar med informationssäkerhet på försvarsmakten

"Med ”upplev mer med #bredbandsbolaget” som slogan är det klart att de lämnar bakvägen öppen."

Oskar Nygren

"Era artiklar om den bristande IT-säkerheten är det nyttigaste som publicerats på länge, länge, länge. Tack!"

Kerstin Stålbrand

"Vi slet ut kabeln till internet."

Johan Brun på Kalmarpolisen efter DN:s avslöjande att polishusets fastighetssystem var exponerat mot internet.

"Mycket bra artiklar om IT-säkerhet i samhället. Lite kul att Kabona kallar sin WDC för 'vår magiska låda som gör allt möjligt'."

Joachim Strömbergson, IT-säkerhetsexpert

"Visste det var illa, men inte så illa som att bara en promille av anmälda data­intrång leder till fällande dom."

Carl-Johan Bostorp, IT-säkerhetsexpert

"Bra jobbat #BBB! Ett admin-konto i alla Zyxelmodem som har fyra teckens lösenord var en bra säkerhetslösning :P"

Fredrik

"DN:s granskning av bristande IT-säkerhet, fantastiskt bra och viktig."

Göran Greider, författare och journalist

"På senare år har även gemene man okritiskt skaffat alltmer uppkopplade prylar och resultatet av olika intrång har väl knappast nått ut till allmänheten. Dina artiklar får förhoppningsvis igång en debatt som kommer att leda till ett uppvaknande. Fortsätt ditt kritiska granskande och presentera gärna fler praktiska prov på sårbarheterna."

Läsare

Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.