Det är alldeles för mycket hyschhysch kring säkerhetsincidenter och sårbarheter i Sverige. Det anser Tom Andersson som tidigare arbetat som som analytiker hos MSB men jobbar i dag i en annan bransch och är engagerad i Föreningen för digitala fri- och rättigheter.

Han pekar på hur MSB i sin årliga rapport inte går in i detalj på vad som inträffat medan det ser helt annorlunda ut i USA. Den årliga rapporten om it-incidenter som lämnas till kongressen innehåller ett avsnitt för varje myndighet med antal attacker av olika typer och hur bra de klarar de uppställda målen för sitt it-säkerhetsarbete.

– Jag tycker det handlar om två olika strategier för säkerhetsarbetet – det ena handla om att man synliggör problemet för att på så sätt öka trycket och skynda på det medan det andra ser det som att synliggörandet ökar säkerhetsriskerna, säger Tom Andersson.

– Jag tycker det här är en otroligt viktig fråga som det talas väldigt lite om. Självklart går det inte att vara transparent i alla detaljer då faller ju hela säkerhetssystemet men här i Sverige klarar vi inte ens av att vara transparenta kring säkerhetsarbetet och riskerna i generella drag.

Läs också: Gisslanprogram och dåliga rutiner bakom myndigheternas it-haverier

Tom Andersson anser att det svenska förhållningssättet är rent kontraproduktivt.

– Det amerikanska sättet att hantera det är mer professionellt. Genom att dölja bristerna finns heller inga reella incitament för effektiv styrning av it-säkerhetsarbetet.

Erik Lakomaa, forskare på Handelshögskolan, håller med om att det hemlighetsmakeriet kring it-incidenter i Sverige är för stort.

– Det gäller både företag och offentliga institutioner. Man låter kanske många gånger bli att berätta om en upptäckt sårbarhet eller inträffad incident eftersom man är rädd för negativa reaktioner från dem som drabbats.

Fast då resonerar man fel anser han.

– Med transparens ökar datasäkerheten i samhället. Om andra får reda på sårbarheter snabbt så kan de patcha snabbare. Och medborgare och konsumenter har möjlighet att byta lösenord exempelvis.

Framför allt lyfter han fram det han kallar Kalifornienmodellen som innebär att även företag är skyldiga att rapportera incidenter som drabbar fler än 500 användare och lämna över det till delstatens högste åklagare, attorney general. Incidenterna finns sedan sökbara på nätet.

– Det här drevs fram av konsumentaktivister på 90-talet och inte av företagen själva. Men min uppfattning är att det gynnar alla parter.

Richard Oehme som är chef för Verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet på MSB håller inte riktigt med om beskrivningen att Sverige skulle vara så hemlighetsfullt. Exempelvis pekar han på att MSB/Cert.se i dagarna kom med en detaljerad rapport kring de infekterade usb-minnen som hittades i Göteborg för en tid sedan.

– Nej, jag tror att det mer handlar om att den amerikanska kulturen inriktar sig mycket mot att man ska kryssa i olika rutor för sitt säkerhetsarbete. Medan vi i Sverige ser det mer som att varje verksamhet har ansvar för sin säkerhet.

Samtidigt är han tydlig med att man från MSB:s sida inte kan tänka sig att gå ut med information om vilka attacker som drabbat vissa myndigheter.

– Om vi berättade om att den myndigheten drabbats av ransomware och den av ett intrång så betyder det inte bara att vi eventuellt pekar ut sårbarheter utan att vi också visar vilka attacker vi inte upptäckt. Det guldkortet vill vi inte ge angriparna.

I stället handlar det om att ha transparens mellan de olika it-säkerhetsansvariga på de olika myndigheterna och även bredare ut på företag så att informationen kan spridas mellan dem.

Läs också: Kommunerna usla på it-säkerhet – viktiga samhällstjänster utsätts för onödig risk

– Det arbetar vi med att bygga upp. Men det är viktigt att det finns mottagare med kompetens att ta emot den information vi skickar ut – annars blir det bara död information.

Erik Lakomaa påpekar att det i den kommande dataskyddslagen också ingår krav på att incidenter ska rapporteras till konsumenter och medborgare.

– Kraven i förordningen talar om att man ska meddelas om det finns hög risk att det påverkar ens grundläggande rättigheter. Men vad det innebär vet vi inte ännu eftersom tolkningen inte gjorts ännu. Jag anser att det rimliga är att ribban lägs lågt eftersom vi som medborgare inte kan agera om vi inte vet att något skett.

Och Richard Oehme konstaterar att det fortfarande är oklart hur den nya dataskyddslagen påverkar informationssäkerhetsarbetet i praktiken.

– Det är ingen analys som jag gjort, vi vet ju inte var det kommer att landa. Parallellt har vi också NIS-direktivet att förhålla oss till, det handlar om vilken nivå informationssäkerheten ska ligga på i olika samhällsviktiga tjänster och där är en utredning klar i maj. Bägge dessa regelverk ska vara implenterade i maj nästa år och ännu vet vi inte exakt hur det kommer att påverka, säger han.