Jonas Dellenvall, civilingenjör och teknisk chef vid cybersäkerhetsföretaget Advenica, konstaterar att problemen kring Transportstyrelsen och Svenska Kraftnät belyser säkerhetsfrågorna hos våra myndigheter.

– Efter transportstyrelsen har vi fått ett tvingande samråd med Säpo och försvarsmakten innan upphandlingar.

NIS-lagen, som bygger på ett EU direktiv, trädde i kraft den första augusti 2018 och kräver bland annat att leverantörer av samhällsviktiga tjänster vidtar säkerhetsåtgärder för att hantera potentiella risker och incidenter i sin IT-infrastruktur. Berörda områden är energi, transport, bank- och finansverksamhet, hälso- och sjukvård, dricksvatten samt digital infrastruktur. Lagen kräver att IT-tjänsteleverantörer man anlitar driver ett systematiskt och riskbaserat informationssäkerhetsarbete. I april i 2019 börjar också en ny säkerhetsskyddslag att gälla.

– Lagarna höjer kraven på informationssäkerhet. I grunden handlar det om ordning och reda. Man måste ha en process för ständig förbättring, säger Jonas och förklarar att det är mycket vanligt att man digitaliserat utan att tänka på riskerna. Tidigare var IT- och cybersäkerhet en fråga för IT-avdelningar, numera brukar detta ingå i ansvaret hos ledningar för myndigheter och företag.

Han pekar på att det kan bli väldigt dyrt för, till exempel företag, om de blir utsatta för cyberhot och intrång. Rederiföretaget Maersk förlorade omkring 300 miljoner dollar när deras logistiksystem låstes av hackare.

Hur ser du på riskerna med teknisk utrustning från Kinesiska leverantörer?

– Alla leverantörer skulle kunna bygga in bakdörrar i IT-utrustning som det kan vara svårt eller omöjligt för användarna att stänga. Det har påverkat inköpsprocesser hos stater och företag.

– Ett annat stort problem är vår gemensamma infrastruktur som i dag blir alltmer digitaliserad och där man kan ställa till väldig oreda i elsystem, vatten, avlopp, trafikövervakning och betalsystem. Vid ett omfattande elavbrott, orsakat av naturen eller av en illasinnad aktör, slutar betalsystemen att fungera. Vår livsmedelsförsörjning är också mycket utsatt eftersom den är starkt beroende av fungerande transporter som styrs av elberoende IT-system. Vi behöver därför göra vår kritiska infrastruktur betydligt mer robust och redundant än i dag.

Jonas avslutar.

– Det gäller att hitta en väl avvägd balans mellan skydd och tillgänglighet och funktion. Frågan är om vi vill avstå viss digitalisering för att göra vår infrastruktur mer robust och om det går att kräva att molntjänster ska läggas i Sverige. Jag tror att det i dag finns en medvetenhet om vår sårbarhet bland beslutsfattare även om andra önskemål kan öka viljan att ta risker. Det återstår också fortfarande mycket att göra i myndigheter och företag.

Text: Fredrik Dhejne