Denna text är skriven av Arad Aslrousta, en av deltagarna i 2022 års upplaga av Försvars- och Säkerhetsakademin (FOSA). FOSA är en unik och exklusiv spetsutbildning för unga engagerade från Folk och Försvars medlemsorganisationer och deltagarna utgör en viktig del inom Sveriges nutida och framtida säkerhetspolitiska fält. Deltagarnas texter är skrivna utifrån deras egna åsikter och perspektiv kring försvars- och säkerhetspolitik samt samhällets krisberedskap. Arad Aslrousta som är f.d. ordförande för den internationella arbetsgruppen för dataskydd, Europeiska Ungdomsparlamentet, skriver i denna artikel om det ökade cyberhotet till följd av sårbarheten med digitaliseringen och behovet att se över rapporteringsstrukturen när det kommer till cyberattacker.
I takt med globaliseringen och den tekniska utvecklingen har Sverige och omvärlden anammat digitaliseringen och i förlängningen blivit allt mer sammankopplade. Gemensamma internationella leverantörskedjor utan diversifiering präglas av ett utbrett beroendeförhållande som ökar konsekvenserna av ett cyberangrepp. Denna sårbarhet med hänsyn till omvärldsförändringar och störningar påverkar såväl offentliga som privata verksamheter med eller utan samhällskritiska funktioner.1 Ett angrepp mot ett land har således följdverkningar på andra. Angreppet mot Coop sommaren 2021 var inte riktat direkt mot dem utan mot det amerikanska företaget Kaseya vars mjukvara i sin tur används av Coops leverantör av betalningstjänster.2
Vikten av att värna om och utveckla Sveriges samlade förmåga till informationssäkerhet och att motverka cyberangrepp tar avstamp i flera myndigheters hotbildsanalyser. Cyberhot är ett av åtta övergripande hot mot svensk säkerhet enligt den nationella säkerhetsstrategin.3 Den påskyndade digitaliseringen av samhället identifieras av Säkerhetspolisen (SÄPO) i deras senaste årsbok som en av sju övergripande hot och sårbarheter.4 Även den Militära underrättelse- och säkerhetstjänsten (MUST) understryker att cyberattacker utgör en trend i en allt mer föränderlig konfliktyta.5 Med anledning av den förhöjda säkerhetspolitiska hotbilden har Integritetsskyddsmyndigheten (IMY) uppmanat till översikt av verksamheters it- och informationssäkerhetsarbete.6
Förutom att identifiera, bedöma, hantera och dokumentera cyberangrepp ska verksamheter typiskt sett rapportera incidenter till en eller flera myndigheter. Rapporteringsskyldigheten varierar beroende på faktorer hänförliga till verksamhetens art och incidentens natur. Nästintill alla myndigheter under regeringen7 har en rapporteringsskyldighet gentemot Myndigheten för samhällsskydd och beredskap (MSB).8 Detsamma gäller leverantörer av samhällsviktiga tjänster inom energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och digital infrastruktur samt digitala tjänster.9 De som inte omfattas har möjlighet att rapportera frivilligt.10 Vad gäller säkerhetskänslig verksamhet så kan rapporteringsskyldighet gentemot Säkerhetspolisen eller Försvarsmakten förekomma.11 I det fall cyberangrepp berör personuppgifter kan det utgöra en personuppgiftsincident som också måste anmälas till IMY.12 Dessa skyldigheter hindrar inte aktörer från att anmäla dataintrång till Polismyndigheten.
Problemet är att det finns ett mörkertal i form av cyberangrepp som inte rapporteras. Eftersom cyberangrepp inte nödvändigtvis har någon anmärkningsvärd yttre och synlig effekt, i vart fall inte under det första skedet, så identifieras, motverkas och utvärderas många angrepp i det dolda utan allmänhetens kännedom. Både MSB och IMY bedömer att det råder ett “stort mörkertal” avseende cyberrelaterade brott respektive personuppgiftsincidenter.13 Konsekvensen är inte minst att framtagandet av tillförlitlig statistik och riskanalys försvåras, vilket påverkar slutsatserna av myndigheters trendspaning och uppföljningen av Sveriges samlade förmåga negativt. Utan ett pålitligt och säkert sätt att mäta angrepp kan undermåligt beslutsunderlag resultera i att nödvändiga politiska- och ledningsbeslut riskerar att förkastas, undergrävas eller försenas.
Orsaken till mörkertalet kan vara flera. Till att börja med är det inte självklart att alla sofistikerade angrepp upptäcks och identifieras. Det är heller inte otänkbart att det kan röra sig om gränsdragningsfall om huruvida det exempelvis rör sig om en personuppgiftsincident. Men inom exempelvis den finansiella sektorn tros det enligt Riksbankens kommentar bero på att incitamenten att rapportera allvarliga cyberincidenter till “myndigheter, ägare och andra intressenter” bedöms vara svaga och att transparensen i sig är förenade med risker.14 Genom att anmäla incidenter riskerar verksamheten att motvilligt bli föremål för tillsynsmyndighetens undersökningsbefogenheter, såsom tillträde och informationsskyldighet, men också ingripanden, förelägganden och sanktioner.15 Att bli drabbad av ett cyberangrepp betraktas också som en PR- och prestigeförlust som riskerar att plötsligt skada verksamhetens goda renommé och goodwill, som man spenderat år på att bygga och har ett intresse av att värna om. När Kalix kommun i december 2021 drabbades av en ransomware-attack16 kan transparensen kring den anses vara föredömlig, mönsterbrytande och förtroendeingivande. Samtidigt kan det finnas anledning att särskilja offentliga och privata aktörer.
Som leverantörer av varor eller tjänster kan privata aktörer ha en påtaglig rädsla av att avskräcka potentiella eller befintliga kunder. Att långsiktiga affärsrelationer vilar på ledord som pålitlighet och tillit är inte överraskande. I detta hänseende kan ett transparent förhållningssätt paradoxalt nog riskera att bli förtroendeskadligt och ekonomiskt kännbart till men för såväl verksamheter som har investerat i informationssäkerhet och de som inte gjort det. Situationen kan vara särskilt ödesdiger i en konkurrensutsatt marknad med en rad valmöjligheter. Följaktligen kan det hota bolagets marknadsvärde, och bristerna kan föranleda rättsliga konsekvenser. Till skillnad från det offentliga som huvudsakligen kan drabbas av politiska konsekvenser så kan cyberangrepp mot privata aktörer ytterst avgöra deras existensberättigande. Beroende på angreppets allvar och karaktär så kan även andra bolag i brist på övervägande fördelar låta bli att rapportera på frivilligt bevåg.
Vid bedömningen av vilka möjliga åtgärder som kan vidtas kan uppmärksamheten först riktas mot sanktionsavgifterna. Underlåtelse av exempelvis leverantörer av samhällsviktiga respektive digitala tjänster att rapportera en incident kan som högst föranleda 10 000 kr i sanktionsavgift.17 Å ena sidan är det inte förvånande att verksamheter vid tillämpning av en kostnadsnyttoanalys landar i att inte rapportera med hänsyn till de omedelbara ekonomiska riskerna. Därmed kan det anses vara befogat att höja sanktionsavgifterna för att åstadkomma en avskräckande effekt. Det kan också vara möjligt att kriminalisera underlåtelsen som ett led i att kunna förverka den abstrakta vinning som företaget och aktieägarna i ledningen tillvinner sig av att inte rapportera.18 Å andra sidan finns det skäl att iaktta försiktighet. Trots det formellt sett mycket höga taket för sanktionsavgifter enligt dataskyddsförordningen19 så finns det som tidigare nämnts också ett stort mörkertal avseende inrapporterade personuppgiftsincidenter. Dessutom är det inte självklart var bedömningen skulle landa i rörande storleken av den förverkande vinningen, som hänför sig till affärsförbindelser som sannolikt hade gått förlorade hade det inte varit för undanhållandet.
Att bredda rapporteringsskyldigheten till att omfatta fler sektorer som hittills tillåtits rapportera frivilligt skulle sannolikt öka frekvensen inrapporteringar. Men om inte fler aktörer ur den nuvarande kretsen av rapporteringsskyldiga fullgör sina skyldigheter så talar lite för att andra och mindre resursstarka aktörer kan minimera mörkertalet. Även om alla verksamheter riskerar att drabbas av cyberangrepp och i förlängningen bli rapporteringsskyldiga så är de verksamheter som saknar beredskap och rutiner mest sårbara. Därför skulle en skyldighet att regelbundet tillhandahålla MSB verksamhetens rutiner för hanteringen av cybersäkerhetsrisker, såsom USA:s motsvarighet till den svenska Finansinspektionen föreslagit,20 i viss utsträckning kunna motivera verksamheter att också rapportera.
Vad gäller farhågorna om att cyberangreppen ska komma till allmänhetens kännedom så är synpunkterna från MSB m.fl. om absolut sekretess relevanta.21 Idag är sekretessbestämmelsen som incidentrapporter omfattas av försedda med ett rakt skaderekvisit. Det betyder att utgångspunkten är att uppgifterna är offentliga och att sekretess bara gäller om det “kan antas att en viss skada uppkommer om uppgiften röjs”.22 Regeringens skäl till varför befintliga bestämmelser ansågs vara tillräckliga var att uppgiften om vem som har lämnat en incidentrapport “i många fall är en upplysning om att ingivarens nätverk och informationssystem är sårbara för attacker”, vilket skulle omfattas av sekretessen.23 Risken är däremot att sekretessprövningen i det enskilda fallet faller tillbaka på huvudregeln om offentlighet dels i det tidiga skedet när det är svårt bedöma om uppgifter i incidentrapporten är säkerhetskänsliga och dels efter det att ingivaren har vidtagit de säkerhetsåtgärder som krävs för att läka bristerna. Här finns en målkonflikt mellan insynsintresset och granskningsintresset.
Digitaliseringen är här för att stanna och fortsätter att öka. Därför har vi att räkna med att även cyberangreppen gör det och i förlängningen också mörkertalet. Samhällsutmaningar är förenade med målkonflikter som kräver nyanserade intresseavvägningar, och behovet att höja rapporteringsbenägenheten bland inte minst företag är inget undantag. Beroende på den politiska viljan så kan det finnas skäl att se över exempelvis nivån på sanktionsavgifterna, sekretessbestämmelsernas utformning och andra incitament till att stimulera inrapportering.
Referenser
1 MUST, årsöversikt 2021, s. 44 (länk).
2 MSB, Årsrapport it-incidentrapportering 2021, s. 11 (länk).
3 Regeringskansliet, Statsrådsberedningen, Nationell säkerhetsstrategi, s. 18 (länk)
4 SÄPO, årsbok 2021, s. 8 (länk).
5 MUST, årsöversikt 2021, s. 35.
6 Dagens Juridik, “IMY uppmanar till översikt av it- och informationssäkerhetsarbete”, publ.2022-03-31 (länk).
7 Utom Regeringskansliet, kommittéväsendet, Säkerhetspolisen, Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt och Totalförsvarets forskningsinstitut enligt 3 § 2 st Förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.
8 Ibid., 20 §.
9 Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, 1 § jämte 18-19 §§; MSBFS
2018:9, 2 kap. 2 §; MSBFS 2018:10, 6 §.
10 NIS-direktivet, art. 20; MSBFS 2018:11.
11 Säkerhetsskyddslag (2018:585), 2 kap. 1 § 3 st och Säkerhetsskyddsförordning (2021:955), 2 kap. 4 §.
12 Dataskyddsförordningen, art. 4.12 och 33.
13 IMY, rapport 2022:1, Anmälda personuppgiftsincidenter 2021, s. 27 (länk); MSB, Cybersäkerhet i Sverige 2021 – i skuggan av en pandemi, s. 6 (länk).
14 Sveriges Riksbank, Ekonomisk kommentar, “En cyberattack kan påverka den finansiella stabiliteten”, NR 8 2021, 19 maj, s. 6 (länk).
15 Se exempelvis Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, 24-25 §§ samt 28-29 §§.
16 SVT (2021), “It-attacken mot Kalix kommun – detta har hänt“, hämtad 2022-04-05.
17 Ibid. 29 § 3 p. och 30 §, oaktat parallellt tillämpliga bestämmelser som t.ex. dataskyddsförordningen.
18 Brottsbalken, 36 kap. 1 §. I viss bemärkelse redan kriminaliserat genom förbudet mot insiderbrott i lagen (2005:377) om straff för marknadsmissbruk vid handel med finansiella instrument, 2 §.
19 10 miljoner euro eller 2 % av den globala årsomsättningen enligt dataskyddsförordningen, art. 83(4)(a).
20 United States Securities and Exchange Commission, [Release Nos. 33-11038; 34-94382; IC-34529; File No. S7-09-22] (länk)..
21 MSB, Betänkandet SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster, diarienr. 2017-4770 (länk).
22 Prop. 2017/18:205 s. 83 f. och offentlighets- och sekretesslagen (2009:400) 18 kap. 8 § 3 p.
23 Ibid.