Sveriges cybersäkerhet har hamnat på försvarsdepartementet och under en nyinrättad ministerpost. Carl-Oskar Bohlin är först ut som minister för civilt försvar.
– I det civila försvarets kärnuppdrag ingår att få samhället att fungera även under mycket störda förhållanden – ytterst under ett väpnat angrepp från en antagonist. Så frågor som rör cybersäkerhet blir helt centrala eftersom de går in i varenda liten beståndsdel av samhällets funktion i dag, säger han.
Det finns en hel del på hans att-göra-lista även om han inte vill rangordna de frågor som ligger överst på hans agenda sinsemellan. Men en knäckfråga är att se till att det finns kompetens på området.
– Vi måste fundera långsiktigt kring hur vi säkrar den kompetens som krävs för att ha ett så väl fungerande cybersäkerhetsarbete som möjligt.
Och kompetensförsörjningen inkluderar flera olika delar. Förutom att se till att det finns kompetens ute hos de offentliga aktörerna så ska det också finnas en förmåga att utbilda och kompetensförstärka näringslivet och en nära koppling till akademin.
– Här tror jag att det finns en hel del ytterligare att göra och utan att låta alltför mycket som en politiker och inte gå in i de exakta detaljerna så är det här är just nu ett arbete som pågår bland annat inom försvarsdepartementet, säger han.
– Men det är en fråga som spänner över flera olika departement i regeringen.
Samordnande roll
Carl-Oskar Bohlin beskriver sin egen ministerroll som till stor del samordnande eftersom nästan alla ministrar har ansvar för de frågor som berör civilt försvar inom sitt eget område.
Exempelvis har närings- och energiministern ansvar om frågor som gäller elsystemet och finansmarknadsministern har frågorna som rör det finansiella systemet i kris.
Han framhåller också att det inom ramen för det generella arbetet i regeringskansliet finns en etablerad form av gemensam beredning kring frågor som spänner över flera stuprör.
– Det är av yttersta vikt att de här frågorna samordnas och det är a och o att det finns ett bra samarbete inom regeringskansliet men jag ska inte utesluta att vi kommer att se över den frågan för att försäkra oss om att det sker på ett ändamålsenligt sätt.
Ny strategi under året
Rent konkret ska en ny cybersäkerhetsstrategi komma på plats i år – den gamla från 2017 går ut vid årsskiftet och där ska arbetet påbörjas enligt ministern.
En av punkterna i den nya strategin kommer att vara just hur kompetensförsörjningen ska se ut.
Under våren ska också en översyn göras av hur det Natonella cybersäkerhetscentret fungerar strategiskt och operativt.
– Jag vill inte på något sätt antyda att det inte skulle fungera men eftersom det här är ett tidskritiskt fält och vi behöver få ut så mycket förmåga och effekt som möjligt ur varje enskild del av det civila försvaret vore det märkligt om en ny regering inte ville se över de här frågorna för att försäkra sig om hur det fungerar i praktiken och se om det finns något vi behöver skruva på för att få det att fungera på det sätt som den här regeringen förväntar sig att det ska göra, säger Carl-Oskar Bohlin.
Och i det säkerhetspolitiska läge vi har är behovet av den fördjupade samverkan som ska ske i det Nationella cybersäkerhetscentret större än någonsin poängterar han.
Skarpare EU-reglering
En annan viktig punkt på agendan är att EU:s uppdaterade direktiv kring säkerhet i nätverks- och informationssystem, NIS2, ska införlivas i svensk lag i år.
– Det kommer att bli det övergripande regelverk som alla kommer att ha att rätta sig efter och det kommer att omfatta fler – som medelstora företag i fler sektorer och fler samhällsaktörer. Förhoppningsvis får vi då en högre lägstanivå.
Carl-Oskar Bohlin beskriver det som att arbetet med det civila försvaret handlar om att den svagaste länken definierar kedjan och att det därför är nödvändigt att ta ett helhetsgrepp kring cybersäkerheten.
– Jag uppfattar att NIS2 är ett långtgående regelverk som verkligen syftar till att adressera en lång rad av de problemen, säger han.
Just kraven från EU är också det som verkligen sätter nivån på vad Sverige måste uppfylla – i högre grad än vad Nato gör om vi kommer med där framöver.
– EU-regelverken är mer långtgående och reglerande i detalj. Men oavsett om vi är med i Nato eller inte så är Sverige ett mål för antagonistiska cyberaktörer. Den hemläxan behöver vi göra.
Måste tänka cybersäkerhet
Under hösten drabbades ett antal myndigheter av cyberattacker och när det närmade sig jul angreps flera kommuner. Carl-Oskar Bohlin vill inte uttala sig om attackerna i detalj men är tydlig med att alla aktörer i systemet måste ha med cybersäkerhetsperspektivet.
– Med samma självklarhet som att man har försäkringar för sina lokaler behöver man ha en försäkring mot angrepp i cybermiljön för för kostnaden blir enormt stor både för de som drabbas och inte sällan också resten av samhället.
Med det sagt menar han inte att alla ska just teckna en cyberförsäkring – som minister vill han inte gå in på vilka åtgärder man ska vidta för att uppfylla gällande regelverk.
Däremot så måste alla aktörer börja arbeta systematiskt med hela kedjan ända från hur man arbetar med systemen, hur personalen förhåller sig till dem men också hur robusta systemen är.
– Det finns ingen ursäkt för att inte arbeta mycket aktivt och enträget med att skydda sig mot den här typen av angrepp. För varje aktör som har drabbats – Coop eller Kalix eller vilket exempel man än väljer – så har det varit en väckarklocka i det lokala enskilda fallet. Men den väckarklockan måste ringa ut i hela samhället nu för vi har inte råd med en situation där varje enskild aktör måste drabbas innan de inser allvaret, säger ministern.
– Alla aktörer måste börja göra sitt jobb nu.
Inget är helt säkert
Samtidigt varnar han för en övertro om att man kan stänga ute alla hot i varje enskilt läge. Inget system är helt säkert och den insikten måste alla ha.
I stället måste varje aktör fundera kring vilka verksamheter som behöver en plan b så att inte samhället i något kritiskt läge slutar fungera om vårt it-system blir förstört eller komprometterat på något sätt. Så det är naturligtvis också en del av försäkringen – att identifiera var det behövs kontinuitetsplanering och redundans.
Carl-Oskar Bohlin anser också att det allmänna på ett bättre sätt måste kunna hjälpa till, både förebyggande och aktivt, när problemet är framme – ”jag vill inte säga att olyckan är framme för det är ju sällan en olycka”.
Där ser ministern framför sig att man bör titta på hur sådana händelser utvärderas i dag – finns det en tydlig koppling till cybersäkerhetsstrategin exempelvis?
– Det skulle kunna vara en sån fråga där vi behöver bli bättre så att man lär sig saker och blir bättre över tid för det här är ju hela tiden en kapplöpning mot antagonismen.
Personlig beredskap
En del som numera räknas in bland cyberhoten är desinformation – finns det något på det området som kan göras?
I första hand måste vi lita till varje enskild medborgares personliga beredskap anser Carl-Oskar Bohlin. Det är den grundläggande byggstenen för om vi inte kan hantera en kris utanför normalläget som privatperson utan att direkt behöva hjälp av samhället så kommer samhället att ha väldigt svårt att hantera den stora krisen eller ett större angrepp,
Och en tårtbit av den personliga beredskapen bör vara att ha en förmåga att stå emot och kunna hantera desinformation.
Uppdraget att kunna förhålla sig på ett kritiskt sätt till den stora informationsmängd som sköljer över oss varje dag börjar redan i skolbänken. Där behöver vi lära oss att vikta vem som är avsändaren, intentionen och budskapet anser han.
– Det är i grunden en förutsättning för ett livaktigt demokratiskt samhälle med ett fritt åsiktsutbyte som ju är helt centralt. Men man måste komma ihåg att det är tillåtet att ha fel och det är också fullt tillåtet att som person ljuga på internet även om det är olämpligt.
Identifiera påverkan
Men med det sagt så är det också viktigt att kunna identifiera påverkanskampanjer och där kommer den relativt nyinrättade Myndigheten för psykologiskt försvar in.
– Den myndighetens roll ska inte uppfattas som att den står i konflikt med ett fritt meningsutbyte. Den har en väldigt viktig roll i att Identifiera påverkanskampanjer som kommer utifrån från en stat eller statsliknande aktör som vill påverka svenska folket i endera riktning, säger Carl-Oskar Bohlin.
– Ibland finns en liten missuppfattning om vad den myndigheten gör och har för uppdrag och den har alltså Inte som uppdrag att lägga sig i och komma med faktakorrigeringar på folks facebooksidor där man Inte har koll på sakfrågor eller sprider uppgifter som är osanna.
I en rapport från IVA nyligen fanns ett antal förslag till regeringen för att stärka cybersäkerheten – hur ser du på dem? Något i den du tänker dig att genomföra?
– Jag har läst rapporten och tycker den är väldigt Intressant men som minister så är det svårt att lova saker på stående fot utan att de beretts i regeringskansliet. Fast jag kommer att ta med mig ett antal av de här punkterna och titta närmare på dem för man adresserar grunddragen i mycket av det som jag uppfattar som grundproblemet. Framförallt i det att man ser symbiosen mellan cybersäkerhet och konkurrenskraft.
Cybersäkerhetsmiljön skulle kunna bli avgörande för att attrahera investeringar inte minst i ett informations- och tekniktungt land som Sverige som har många innovativa företag i den absoluta framkanten framhåller Carl-Oskar Bohlin.
– Sådana företag vill naturligtvis finnas i länder där det här arbetet bedrivs på ett framåtlutat och ändamålsenligt sätt och det är helt centralt för den här regeringen att Sverige ska vara ett sånt land.
Läs också: Här är it-frågorna Sverige ska driva under ordförandeskapet i EU
Nye ministern vill vara snabbfotad – men de konkreta beskeden dröjer
