Bestående brister i svensk cybersäkerhet

Steg i rätt riktning – men mycket återstår och tempot är för lågt

När IVA startade projektet Cybersäkerhet för ökad konkurrenskraft sommaren 2021 var en av utgångspunkterna en oro för att Sveriges cybersäkerhet är otillräcklig. Det faktum att många aktörer inom olika samhällsområden inte tog cybersäkerheten på tillräckligt stort allvar bidrog till oron.

Sedan dess har IVA, tillsammans med andra aktörer, bidragit i den pågående förändringsprocess som fört frågan högre upp på agendan. I summeringen av projektet konstateras att det finns all anledning att vara orolig för Sveriges cybersäkerhet och att nödvändiga förändringar inte sker tillräckligt snabbt. Men också att det finns många positiva händelser och pågående initiativ, som ligger i linje med de frågor projektet uppmärksammat och de förslag som presenterats.

• Ökad uppmärksamhet för cybersäkerhet. Cybersäkerhetsfrågorna har fått större uppmärksamhet. De debatteras mer i media och vi ser nu regelbundet intervjuer med experter inom området med allt från ett säkerhetspolitiskt till ett företagsnära fokus. Bland andra Krigsvetenskapsakademien och Tech Sweden har, liksom IVA, kommit med rapporter som innehåller analyser och förslag.
• Arbetet i Regeringskansliet. En minister med ansvar för cybersäkerhet inom civilförsvarsområdet finns med i den nya regeringen. Denna har också tillsatt en nationell säkerhetsrådgivare vars uppdrag innefattar cybersäkerhetsfrågor.
• Cybersäkerhetsstrategin. Riksrevisionen har kritiskt granskat den svenska cybersäkerhetsstrategin och påpekat de stora brister som även IVA gjorde i projektets rapport. Detta har lett till åtgärder från regeringen som visar på ett större intresse för cybersäkerhet jämfört med tidigare regeringar, med olika partisammansättningar.
• Cybersäkerhetscentrets nuvarande konstruktion, som innebär att det inte är en egen juridisk enhet, försvårar verksamheten. Regeringen beslutade i april att centret ska bli en del av FRA. Det är nu upp till bevis för centret att det kan fylla samma viktiga funktion som sina motsvarigheter i exempelvis Storbritannien och Frankrike.
• Dialogen mellan stat och näringsliv kring cybersäkerhet. Regeringen offentliggjorde i en debattartikel i DN (2023-04-26) att det nationella cybersäkerhetscentrets organisatoriska hemvist blir FRA. Samtidigt underströk man att en viktig uppgift blir att förbättra dialogen med näringslivet. Förväntningarna är med rätta stora i denna fråga som är av så stor betydelse för Sveriges konkurrenskraft.
• Cybersäkerhet håller långsamt på att bli en strategisk fråga. Frågan börjar långsamt men bestämt gå från att ha varit en teknisk till att bli en strategisk fråga. Att konceptet security by design blir alltmer spritt är ett tecken på detta. Men medvetenheten och handlingsberedskapen i många delar av näringslivet och offentliga verksamheter är fortfarande för låg.
• Cybercampus. Från Vinnova har Cybercampus fått finansiering som täcker den inledande etableringsfasen. Under hösten 2023 förväntas vi oss att samarbetspartners kan börja anslutas, och att den allra första verksamheten kan komma till stånd. Ytterligare finansiering krävs för fortsättningen. I en debattartikel i Ny Teknik (2022-08-31) skrev nuvarande försvarsministern att Moderaterna vill säkra finansieringen för Cybercampus. Ännu återstår för regeringen att infria detta löfte.
• Incidentrapportering. Verksamheter med samhällskritisk verksamhet har skyldighet att rapportera cyberincidenter till MSB som kommer att öka sitt arbete med att återkoppla denna till uppgiftslämnarna.
• Mobilisering av resurser. FRO (Frivilliga Radioorganisationen) fick under hösten 2022 i uppdrag från Försvarsmakten att utveckla verksamheten inom cyberförsvar och cybersäkerhet.

I projektets slutredovisning ges en sammanfattande bild av projektets arbete, förslag, publika aktiviteter och de många personer som har bidragit till projektets analyser, slutsatser och förslag.