Tänk om – nya lagen döljer dataintrången
Debattören: Med öppnare regler hade haveriet på Transportstyrelsen troligen inte inträffat
Detta är en debattartikel. Det är skribenten som står för åsikterna som förs fram i texten, inte Aftonbladet.
Publicerad 2017-08-01
DEBATT. Den politiska stormen kring Transportstyrelsens it-säkerhetshaveri fortgår, samtidigt som remisstiden snart går ut för regeringens förslag till ny lag för informationssäkerhet för samhällsviktiga och digitala tjänster.
Båda händelserna visar på bristande offentlig granskning av säkerhetsfrågor.
Under sommaren framkom det att Transportstyrelsen har medvetet brutit mot säkerhetskrav och lagar i sin it-upphandling. Det har lett till politiska konflikter på högsta nivå.
Samtidigt återstår bara ett par veckor av remisstiden för regeringens förslag till ny lag för informationssäkerhet, det vill säga genomförandet av ”NIS-direktivet”. En lag som av allt att döma förvärrar samhällets styrning och uppföljning av säkerhetsarbetet.
Regeringens förslag innebär i korthet att leverantörer av samhällsviktiga tjänster, till exempel inom energi, transporter och sjukvård, ska vidta säkerhetsåtgärder och rapportera it-incidenter till Myndigheten för samhällsskydd och beredskap (MSB).
Sex andra myndigheter ska utfärda föreskrifter och utöva tillsyn, däribland Transportstyrelsen. Myndigheternas lednings- och samordningsproblem, kompetens- och resursbrister, diskuteras inte alls.
Förslaget innebär krav på marknadens aktörer att lämna information till myndigheter, men inga krav ställs på staten att återkoppla och delge information till marknaden, konsumenter och medborgare. Det är en fråga som myndigheterna får avgöra från fall till fall, utan krav på oberoende tillsyn och offentlig insyn i myndigheternas arbete.
Istället för att främja ett brett erfarenhets- och kunskapsutbyte om säkerhetsrisker, incidenter och åtgärder, leder förslaget till en byråkrati av sluten rapportering och tillsyn. Det är högst oklart om någon kommer att lära sig något överhuvudtaget. Det är svårt att förstå.
Regeringen offrar och begraver offentlighetsprincipen trots internationella erfarenheter och säkerhetsekonomisk forskning som visar på värdet av transparens även i säkerhetsfrågor. Storbritannien var i år först med att publicera officiell statistik om dataintrång.
Ett antal stater i USA publicerar rapporter om dataintrång offentligt, mer eller mindre i realtid. Amerikanska staten publicerar också en årsrapport om myndigheternas informations- och cybersäkerhetsarbete där risker, incidenter och åtgärder beskrivs.
I jämförelse med andra länder liknar den svenska sekretessen i it-säkerhetsfrågor en ryggradsreflex, inte en rationell bedömning. Den är sällan motiverad i sak, bara i allmänna termer av att ett offentliggörande alltid är en säkerhetsrisk.
MSB sekretessmarkerar allt i incidentrapporter som skickas till myndigheten, även det som rapportören själv inte anser vara känsligt. Myndighetens enstaka cyberlarm är undantag som bekräftar regeln, att det saknas riktlinjer och rutiner för information om it-risker och incidenter.
Även Datainspektionen har i en skrivelse till regeringen under sommaren ensidigt betonat säkerhetsrisker med rapportering av dataintrång. Inget nämns om att offentlig redovisning är säkerhetsfrämjande genom att skapa incitament till åtgärder och bidra till erfarenhets- och kunskapsutbytet i samhället. Inget nämns om vår rätt till information om risker och incidenter som berör oss som medborgare och konsumenter.
Med oberoende och offentlig genomlysning av säkerhetsarbetet hade haveriet på Transportstyrelsen sannolikt inte inträffat. En överdriven sekretesskultur och brist på kritisk granskning resulterar i godtycklig styrning och uppföljning. Det leder inte bara till bristfällig information och kommunikation, utan tjänar ytterst till att dölja oförmåga och inkompetens snarare än att skydda det som är skyddsvärt.
Mot den här bakgrunden har Dataskydd.net i samverkan med DFRI lämnat sitt remissvar på regeringens aktuella förslag till ny lag för informationssäkerhet.
Vi menar att det saknas krav på oberoende tillsyn och offentlig insyn, att förslaget leder till ineffektiv byråkrati och samordning. Bristen på transparens kan mycket väl resultera i kontraproduktiva effekter, varför det är hög tid att tänka om.
Offentlighetsprincipen tjänar samhället, även dess säkerhet.
Tom Andersson, Dataskydd.net och DFRI, Föreningen för digitala fri- och rättigheter
Häng med i debatten och kommentera artikeln – följ Aftonbladet Debatt på Facebook.