Häromveckan la inrikesminister Anders Ygeman fram Sveriges strategi för it-säkerhet. En plan som fokuserar på sex prioriteringsområden, däribland ökad säkerhet i nätverk och produkter, ökad kunskap och bättre förutsättningar för att förebygga cyberattacker.

Samtidigt har en lång rad företag och myndigheter världen över drabbats om omfattande cyberangrepp som lamslagit deras verksamheter. Nu senast en version av viruset Petya, där angriparna mer tycks ha varit ute efter att göra skada än att tjäna pengar.

Läs också: Efter kritiken: Så ska regeringen stärka Sveriges it-säkerhet

Klart är att Sverige som land, företag och myndigheter står inför stora utmaningar på it-säkerhetsområdet. Men frågan är om åtgärderna räcker? Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige, IIS, tycker visserligen att den nationella strategin är bra och ett steg i rätt riktning men saknar vissa moment.

– Jag tycker att det är mer av en vision än en strategi. Det behöver tas ner på en konkret nivå med åtgärder, säger hon.

Anne-Marie Eklund Löwinder
Foto: Daniel RoosAnne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige.

Hon anser att regeringen har ett ansvar och ska utforma strategier. Myndigheten för samhällsskydd och beredskap, MSB, får i den nationella strategin i uppdrag att på olika sätt analysera och bedöma informationssäkerheten i samarbete med andra myndigheter. De ska också kartlägga informationssäkerheten inom hälso- och sjukvården.

– MSB är bra på att planera, men de är inte och ska inte vara operativa. Det rimliga är att det är tillsynsmyndigheterna som ser till att rätt riskbedömningar görs hos deras tillsynsobjekt. Incidentrapportering i alla ära, men målet är att vara beredd när man blir utsatt, säger Anne-Marie Eklund Löwinder.

Med incidentrapporteringen menar hon det krav myndigheter sedan förra året har på sig att anmäla it-incidenter. En åtgärd som vidtogs bland annat för att stärka it-säkerheten men också utifrån nya krav från EU och det så kallade NIS-direktivet. Anne-Marie Eklund Löwinder tycker att det är viktigt att bära med sig några saker, gällande just de här kraven.

– Rapporterna i sig är inte det vitala, utan vad vi lär oss av det inträffade. Det behövs en rotorsaksanalys; vad hände, varför hände det och hur ser vi till att det inte händer igen, säger hon.

Sverige behöver här ta ett beslut kring vad en grundläggande säkerhetsnivå faktiskt ska vara, och den måste uppfyllas av alla inblandade. Ta som exempel det man gjort i Nederländerna där man pekat ut standarder som är viktiga för webb och mejl, som är obligatoriska i offentlig förvaltning.

Även Simin Nadjm Tehrani, professor i datavetenskap vid Linköpings universitet håller med om att strategin överlag är bra. Den fångar den inneboende komplexitet som finns på it-säkerhetsområdet säger hon. Men ett par saker har fått henne att höja på ögonbrynen.

I strategin står att mer enhetliga bedömningar av säkerhetsåtgärder ska göras och att de väntas föra med sig positiva effekter för dem som upphandlar säkerhetslösningar. "Att ta fram ett stort antal unika men snarlikna lösningar är inte rationellt vare sig för kund eller för leverantör", står det.

– Detta kan tolkas på olika sätt, men en likriktning där alla beställda system bygger på en Microsoft plattform vore ödesdigert. Hoppas att den ekonomiska verkligheten inte leder oss in i en sådan rationaliseringsprocess.

Läs också: Kommunerna usla på it-säkerhet – viktiga samhällstjänster utsätts för onödig risk

Hon ser även frågetecken kring kravet på incidentrapportering. Även hon visar på Nederländerna som ett bra exempe här.

– Jag är lite rädd att med en ökade utvecklingstakt som digitaliseringen medför är det lite stelt att fatta lägesbilder en gång per år. Människor är långsamma, organisationer desto mer. Vissa påstår att ha en lägesbild baserad på det som skett tidigare är ändå lönlöst. När jag varit på konferense i Europa har jag sett försök att samla lägesbilder mer kontinuerligt, tror de gör så i Nederländerna, säger hon.

Det finns en lång rad faktorer som väger in när en nationell it-strategi ska tas fram. Exakt vilka varierar. Simin Najdm Tehrani säger att det kan handla om allmänhetens krav på lag och ordning och att någon agerar. Lägg där till den juridiska kravställningsprocessen och en ökat medvetenhet.

– Sist men inte minst påverkar också den ökade hotbilden i närmiljön och internationella instabiliteten, säger hon.

Personer som har full insyn i Sveriges skydd mot cyberangrepp får allt som oftast inte berätta om detaljerna. Det ligger i sakens natur. För utomstående, även säkerhetsexperter, blir det därför lite av en gissningslek. Men Simin Nadjm Tehranis uppfattning är ändå att svenska myndigheters skydd är relativt hög jämfört med en del andra länder, i Europa och övriga världen. Till exempel drabbades vi relativt milt av Wannacry.

– Men digitaliseringen gör att det är mindre meningsfullt att tänka enbart nationellt i alla sammanhang, än jämfört med tio år sedan, säger hon.

Att säga vilka åtgärder som är viktigast för att ta fram en stabil it-infrastruktur och robusta rutiner är även det en komplicerad fråga utan enkla svar. Av de som lyfts fram i den nationella strategin är det särskilt några punkter hon finner intressanta, särskilt ur ett långsiktigt perspektiv.

– Kunskapsutveckling och utbildning på alla nivåer. Strategin täcker detta på flera sätt. En viktig aspekt är kompetensbrist inom området och det går endast att fixa på längre sikt, men samverkan för att effektivt använda den befintliga kompetensen nämns flera gånger, säger hon.

Utöver utbildning tror hon att det är viktigt att satsa ekonomiskt på informationssäkerhet, det är något som man inte riktigt gjort tidigare. Samt att måste knäcka det hon kallar den internationella nöten.

Läs också: Ministerns okända bakgrund som hacker – Ygeman: "Det var en annan tid"

– EU-parlamentet och EU:s regeringar ställer ibland motstridiga krav. Att hantera alla verksamheter med nationella leverantörer är inte lösningen. Man kan inte driva samhällsviktig verksamhet endast med produktivitets- och vinstdrivna indikatorer. De flesta hot som omsätts i handlingar med stora negativa effekter är, tekniskt, kända långt innan det kommer fram i media. Alla har pratat om säkerhet under en längre tid, men sällan varit beredda att betala för det. Sedan finns det tekniska och organisatoriska utmaningar, tveklös, säger hon.

2017 har det pratats säkerhet som aldrig förr. Flera uppmärksammade attacker i media har gjort allmänheten och politikerna medvetna om det hot som säkerhetsexperter prata om länge. Marcus Murray, it-säkerhetschef på Truesec säger att de får vetskap om många fler angrepp mot svenska intressen än vad som kommer fram i media. Mot den bakgrunden, och att det är insikter som når inrikesminister Anders Ygeman, tycker han att den nationella strategin är ett naturligt steg efter vad som händer i omvärlden.

Marcus Murray
Marcus Murray, it-säkerhetschef på Truesec.

Hans uppfattning är att det finns konkreta delar i strategin, särskilt om man också räknar in tidigare åtgärder som MSB:s uppdrag att tillhandahålla sensorer till myndigheter och samhällsviktiga funktioner. Men det finns utmaningar rent kapacitetsmässigt att bedriva it-skydd säger han.

– Andra länder har en större integration med den privata sektorn, vi har en uppfattning att det är myndigheterna som ska göra det. Vi måste bygga mer samarbeten för att klara det operativa arbetet. Det är som när vaktbolag kompletterar polisen, säger han.

Även Marcus Murray lyfter kompetens som en nyckelfråga för bättre säkerhetsrutiner. Och att Sverige måste bli bättre på att detektera angrepp och samordna åtgärderna.

– Vi ligger efter, dessvärre. Tyvärr är vi människor ganska reaktiva, vi fungerar så. Och de organisationer som drabbats är ofta mer benägna att investera i säkerhet. Men man måste förstå komplexiteten i de här systemen som är byggda utifrån funktion. Man ska ha respekt för det och de ofta strukturella utmaningar som finns, inte minst hos våra myndigheter. Där ska regeringen sätta baslinjen, säger Marcus Murray.