I budgetpropositionen skrev regeringen att den vill samla ansvaret för informationssäkerhet på färre myndigheter. Det är en farlig väg att gå. Informationssäkerhet rör alla samhällsområden. Fler myndigheter borde intressera sig för säkerheten – inte färre.
Regeringens väg leder bort från ansvarsprincipen. Den som har ansvaret för verksamheten har det också i en krissituation. Att lämna principen vore olyckligt i ett samhälle där fler måste tänka över sitt säkerhetsansvar.
Företag och myndigheter har inte behov av statliga säkerhetsmyndigheter. De har redan ansvar för sina system och driver verksamheter med höga krav på drift- och informationssäkerhet. Även företag och konsulter kan ge stöd. Det är en marknad som staten inte ska störa med regler och krav som kan hämma ett effektivt säkerhetsarbete eller att nya säkerhetstjänster och säkerhetsprodukter tas fram.
under 2008 och 2009 har det skrivits om riskerna med teknisk utrustning på sjukhus och om incidenter inom svensk sjukvård. Sjukhusen har det största ansvaret, men Socialstyrelsen måste öka sin kompetens och tillsyn av informationssäkerheten på landets vårdinrättningar.
En liknande bild kan tecknas inom många områden: ansvaret måste tas på fler myndigheter.
En annan risk med att samla informationssäkerheten till några myndigheter är att verklighetsuppfattningen försvagas. Ger man ansvaret till myndigheter som intresserar sig för avancerade hot som cyberterrorism beskrivs också hoten på det sättet. Precis som vi inte bara litar på en aktörs konjunkturprognos måste vi ha flera uppfattningar om hur säkerhetsproblemen ser ut.
Vardagssäkerheten är den viktiga. När Sverige den 12 oktober försvann från internet var det inte en främmande makt, den organiserade brottsligheten eller enstaka hackare som var orsaken.
En uppdatering i domännamnssystemet gick fel och gjorde webbadresserna oanvändbara. Det var problem med en uppdatering när miljoner mobilanvändare fick problem i början av november.
Vi ska inte bortse från avancerade hot, men måste bygga säkerheten underifrån.
E-förvaltningsdelegationens rapport nyligen saknade nästan helt en syn på informationssäkerhet. Det var illa nog. Att i den situationen lämna mer ansvar till kris- och säkerhetsmyndigheter är att blunda för utmaningen – att höja säkerheten där it används i vardagen.
Utan vardagssäkerheten har man ingen grund för att bygga skyddet mot avancerade hot.
Regeringen bör låta göra en motsvarighet till den brittiska Information Security Breaches Survey, som visar på säkerhetsbrister i samhället. Det kan ligga till grund för en informationssäkerhetspolitik som tar sikte på det ökande beroendet av it i samhället och inte på säkerhetsmyndigheternas egna intressen.
Fredrik Sand it-expert, Stockholms Handelskammare
Regeringens väg leder bort från ansvarsprincipen. Den som har ansvaret för verksamheten har det också i en krissituation. Att lämna principen vore olyckligt i ett samhälle där fler måste tänka över sitt säkerhetsansvar.
Företag och myndigheter har inte behov av statliga säkerhetsmyndigheter. De har redan ansvar för sina system och driver verksamheter med höga krav på drift- och informationssäkerhet. Även företag och konsulter kan ge stöd. Det är en marknad som staten inte ska störa med regler och krav som kan hämma ett effektivt säkerhetsarbete eller att nya säkerhetstjänster och säkerhetsprodukter tas fram.
under 2008 och 2009 har det skrivits om riskerna med teknisk utrustning på sjukhus och om incidenter inom svensk sjukvård. Sjukhusen har det största ansvaret, men Socialstyrelsen måste öka sin kompetens och tillsyn av informationssäkerheten på landets vårdinrättningar.
En liknande bild kan tecknas inom många områden: ansvaret måste tas på fler myndigheter.
En annan risk med att samla informationssäkerheten till några myndigheter är att verklighetsuppfattningen försvagas. Ger man ansvaret till myndigheter som intresserar sig för avancerade hot som cyberterrorism beskrivs också hoten på det sättet. Precis som vi inte bara litar på en aktörs konjunkturprognos måste vi ha flera uppfattningar om hur säkerhetsproblemen ser ut.
Vardagssäkerheten är den viktiga. När Sverige den 12 oktober försvann från internet var det inte en främmande makt, den organiserade brottsligheten eller enstaka hackare som var orsaken.
En uppdatering i domännamnssystemet gick fel och gjorde webbadresserna oanvändbara. Det var problem med en uppdatering när miljoner mobilanvändare fick problem i början av november.
Vi ska inte bortse från avancerade hot, men måste bygga säkerheten underifrån.
E-förvaltningsdelegationens rapport nyligen saknade nästan helt en syn på informationssäkerhet. Det var illa nog. Att i den situationen lämna mer ansvar till kris- och säkerhetsmyndigheter är att blunda för utmaningen – att höja säkerheten där it används i vardagen.
Utan vardagssäkerheten har man ingen grund för att bygga skyddet mot avancerade hot.
Regeringen bör låta göra en motsvarighet till den brittiska Information Security Breaches Survey, som visar på säkerhetsbrister i samhället. Det kan ligga till grund för en informationssäkerhetspolitik som tar sikte på det ökande beroendet av it i samhället och inte på säkerhetsmyndigheternas egna intressen.
Fredrik Sand it-expert, Stockholms Handelskammare
Den här artikeln har 0 kommentarer:
Molnigt på idg.se?
