Frågan om huruvida myndigheter, kommuner och företag borde vara skyldiga att rapportera it-incidenter har stött och blötts i ett antal år. I torsdags fattade regeringen beslutet att ett sådant krav hädanefter ska ligga på landets statliga myndigheter. Hackarattacker och sårbarheter måste, från och med april 2016, rapporteras in till Myndigheten för samhällsskydd och beredskap, MSB.

– Det här kommer att ge en bättre överblick över hoten. Alla it-incidenter kommer att samlas och vi får en möjlighet att vidta rätt skyddsåtgärder, säger inrikesminister Anders Ygeman, S, i ett uttalande.

Läs också: Stort it-haveri i Hudiksvalls kommun – nästan ingenting fungerade

Men beslutet möts av blandade reaktioner. Anne-Marie Eklund Löwinder, säkerhetschef på IIS, har själv deltagit i remissarbetet kring många av de utredningar som gjorts genom åren. Hon hade gärna sett andra åtgärder förutom ett rapporteringskrav. 

Anne-Marie Eklund Löwinder
Anne-Marie Eklund Löwinder.

– Hotbilden förändras inte för att det blir krav på att rapportera incidenter. Det är klart att det är bra om man får en sådan rapportering på plats. Men det är bara en liten del i ett större sammanhang för att det ska generera något värde, säger hon.

Bland annat ser hon frågetecken kring hur rustat MSB är för att hantera rapportering av it-incidenter. Hon hade gärna sett tydligare formuleringar kring varför informationen ska samlas in, vad den ska användas till, om den bara ska ligga till grund för statistik eller om den ska användas för åtgärder, och i så fall hur de ska införas. IIS förespråkar också en it-haverikommission, lik den som i dag finns för flyg- och båttrafiken. Detta för att viktiga samhällsfunktioner ska kunna dra lärdomar av andras incidenter och undvika att samma sak inträffar någon annanstans.

Här har hon stöd från Patrik Fältström, chef för forskning och utveckling på Netnod. Liksom i åsikten att rapporteringsskyldiga myndigheter, eller i framtiden kanske företag, måste få incitament att rapportera in händelser.

Patrik Fältström
Patrik Fältström

– Jag är frustrerad över att hur mycket vi, som jobbar operativt med internet, än säger det så lyssnar de inte. De måste attackera detta från ett annat håll. Sker det en it-incident i dag beror det på att man som ansvarig har gjort något fel. Och det vill man inte avslöja för någon annan, kunder eller konkurrenter. Det måste skapa incitament, definiera vad det är för tjänst de ska erbjuda till samhället och vad de får tillbaka om de rapporterar händelser. Gör man inte det, kommer det inte bli bra, säger han.

Läs också: 8 tips för rivstart efter it-kraschen

Enligt inrikesminister Anders Ygeman har myndigheterna inte haft tillräckligt bra överblick – insamligen av incidenter ska ge en möjlighet att vidta rätt skyddsåtgärder. Men Anne-Marie Eklund Löwinder är skeptisk.

– Ja, hur då undrar jag. Det som rapporteras är det som redan har hänt och som dessutom upptäckts. Jag tror att man måste se till att alla myndigheter måste idetifiera vad de har för information som är skyddsvärd, identifiera risker och vidta skyddsåtgärder. Och om en incident inträffar ska det finnas rutiner på plats, man ska veta vilka åtgärder som ska vidtas. Därefter kan man rapportera, men det är en bit ner i näringskedjan utifrån mitt perspektiv, säger hon.

På MSB välkomnar man regeringens beslut och de instämmer med inrikesministern kring svårigheten att överblicka antalet händelser.

– En obligatorisk rapporteringsskyldighet är en central pusselbit för att se hur allvarliga it-relaterade störningar påverkar samhällets funktionalitet. Redan i dag rapporterar företag och organisationer frivilligt in händelser till MSB/CERT-SE. Men det finns ett stort mörkertal, säger Richard Oehme, chef för Verksamheten för samhällets informations- och cybersäkerhet

MSB samarbetar i dag med andra myndigheter och organisationer både internationellt och nationellt i syfte att kunna varna, avhjälpa och stödja olika verksamheter inom offentlig och privat sektor.

Läs också: Polisen ska få rätt att hacka datorer. Nu förklarar inrikesministern hur det ska gå till.

– Med rapporteringsskyldighet kan det jobbet göras bättre och vi kan ge dem ett tydligare stöd både under och efter en incident, säger han.

I ett första skede gäller beslutet landets statliga myndigheter. Något som Richard Oehme ser som positivt. På så sätt kan de bygga systemet successivt och dra lärdomar efter hand. Nästa steg är att lägga ut en remiss på föreskrifterna som kommer ligga ute för synpunkter till februari. Från april kommer alla myndigheter kunna rapportera in incidenter. Myndigheten får inga extra anslag för att hantera rapporterna.

– Vi har tagit höjd för det här och haft en dialog med regeringskansliet, så det kommer inte som en nyhet för oss, säger han.