I ett steg att förbättra Sveriges it-säkerhet föreslog inrikesminister Anders Ygeman, S, tidigare i år att varningssystem ska placeras ut hos verksamheter som är viktiga för att samhället ska fungera. Förslaget följde på det nu drygt ett år gamla beslutet om krav på rapportering av it-incidenter.

Enligt planen ska MSB tillhandahålla så kallade tekniska sensorsystem, som i realtid ska varna för pågående it-attacker.

– Det handlar om tekniska apparater som sitter hos till exempel samhällsviktig verksamhet, som kan vara allt från olika myndigheter till nationella aktörer som vattenkraftverk. Sensorsystemet kopplas till deras internetinfrastrukutur, utanför brandväggen och har förmåga att detektera angrepp utifrån en rad parametrar, som till exempel ip-adresser, sa Christer Sandström, enhetschef på MSB:s avdelning för cybersäkerhet och it-incidenthantering, till Computer Sweden i februari.

Läs också: Sensorer från MSB ska varna för it-attacker i realtid

Men när remissrundan nu är färdig står det klart att förslaget fått ta emot en hel del kritik. En av de instanser som svarat på regeringens promemoria är Datainspektionen. De anser att förslaget har alltför många och stora brister när det kommer till hanteringen av personuppgifter. Framför allt eftersom det inte innehåller några regleringar kring hur MSB ska behandla dem.

MSB ska enligt förslaget samla in och spara datatrafik i databaser för att kunna analysera trafiken. Framför allt trafikdata som ip-adresser och tidsangivelser, men vid larm kan även innehållet i e-post sparas.

– Det föreslagna sensorsystemet lämnar utrymme för en omfattande insamling och bearbetning av personuppgifter, som även kan komma att omfatta känsliga personuppgifter. Vi anser därför att systemet ska regleras i lag, säger Mattias Sandström, jurist på Datainspektionen i ett uttalande.

En omfattande insamling av trafikdata kan enligt Datainspektionen innebära integritetsrisker, även om det rör sig om så kallade indirekta personuppgifter. Vidare skriver myndigheten att förslaget inte tydligt visar hur behandlingen av personuppgifter kommer att vara förenlig med vare sig rådande eller kommande lagar på området. Från och med 25 maj nästa år gäller den nya dataskyddslagen GDPR som kommer ersätta nuvarande personuppgiftslagen.

I promemorian från regeringen beskrivs alltså hur sensorsystemet bland annat ska kunna övervaka den e-post som skickas till och från berörda myndigheter. Det kritiseras av fackförbundet Journalistförbundet som anser att det hotar såväl den personliga integriteten som källskyddet. Övervakningen av e-post skulle göra det svårare för journalister att skydda sina källor, om de finns på myndigheterna.

Förbundet säger således nej till förslaget, men skriver att om ett sådant system ska införas bör det regleras i lag, inte i en förordning. Detta för att förslaget skulle innebära påverkan på enskilda medborgare och företag, vilket kräver ett riksdagsbeslut.

Även fackförbundet ST hänvisar till den personliga integriteten och meddelarskyddet när de säger nej till förslaget. De efterfrågar en mer omfattande analys. Ett sådant stort ingrepp som sensorsystemet, i deras mening skulle innebära, kräver mer än bara en förändring av en myndighetsinstruktion.

Läs också: Enormt bot-nätverk upptäckt – 15 000 servrar utvinner kryptovaluta i hemlighet

De här tre instanserna säger nej till förslaget. Det gör även Föreningen för digitala fri- och rättigheter som tillsammans med organisationen dataskydd.net lämnat in en lång inlaga.

Utöver dessa finns remissinstanser som ställer sig positiva till ett system som varnar för it-angrepp, men som fortfarande har frågetecken rörande integriteten. Till dem hör Migrationsverket, Kungliga Tekniska högskolan och Advokatsamfundet.

Den sistnämnda lyfter också den personliga integriteten, men skriver att intrånget inte är så omfattande att det kan räknas som övervakning eller kartläggning av enskilda. Däremot lyfter de ett varningens finger för att det kan komma att ändras, om sensorsystemet ändras stegvis. Där får Datainspektionen se till att en sådan förändring inte äger rum. Samfundet tycker också att ansvarsfrågan bör förtydligas.

I andra vågskålen, det vill säga remissinstanser som är positiva till förslaget, hittas bland andra FRA, MSB själva, Polisen, Säpo, Försäkringskassan, PTS och Försvarsmakten.

Ärendet kommer nu beredas vidare på Justitiedepartementet. Om förslaget godtas kommer arbetet med att bygga upp systemet troligen påbörjas under 2018. Omkring två år beräknas det ta att få systemet på plats.