I den budget som precis presenterats av regeringen återfinns en historisk satsning på cybersäkerhet enligt dem själva. I den ordning som nu gäller portioneras budgeten ut under en period av flera veckor som kantas av pressreleaser och pressträffar innan den slutligen når riksdagens bord. Det är en strategi som gör att budgeten får större utrymme i media och som gör att även detaljfrågor får större uppmärksamhet. Det har aldrig talats så mycket om cybersäkerhet i någon tidigare budget vågar jag påstå.
Det är svårt att se vad regeringens storsatsning leder till på sikt. Det som enkelt går att konstatera är att det görs omtag kring tidigare storsatsningar som exempelvis Nationellt cybersäkerhetscenter (NCSC) som inte givit tillräcklig resultat, eller kanske inte något reellt resultat alls. På så väl nationell nivå som i den egna organisationen är det svårt med satsningar som effektivt bidrar till ett systematiskt och riskbaserat säkerhetsarbete som är hållbart över tid. Många av satsningarna är vägledning, samordning, informationskampanjer osv. Satsningar som inte minst är viktiga inom regeringskansliet för att skapa en samsyn i frågorna.
En av de största utmaningarna med cybersäkerhet är att det är otydligt vad som avses då begreppet cybersäkerhet används slarvigt.
MSB:s termbank uttrycker att cybersäkerhet används på många olika sätt, i olika kontexter såsom produktrelaterat, organisatoriskt och samhälleligt vilket inte minst märks i budgeten. Enligt termbanken förekommer även definitioner som lyfter fram antagonistiska hot och en försvarskontext vilka ibland färgas av politiska och kulturella aspekter vilket också återfinns i budgeten. Termbanken konstaterar slutligen att cybersäkerhet ibland likställs med både it-säkerhet och informationssäkerhet, men att man ska göra skillnad mellan dessa begrepp där informationssäkerhet kan ses som en förutsättning för cybersäkerhet enligt termbanken. Det rimmar för övrigt bra med NIS2-direktivet. Termbanken gav dock inget svar på vad cybersäkerhet är.
Sanningen finns att hämta i artikel 2.1 i EU:s cybersäkerhetsakt. Där uttrycks att cybersäkerhet är all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot, dvs en potentiell omständighet, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka dessa.
En av de större amerikanska leverantörerna till offentlig sektor uttrycker att cybersäkerhet är metoder för att skydda digital information, enheterna och tillgångarna, enligt dem även kallat digital säkerhet. Givet EU:s vida definition går det att intrymma det mesta, även detta.
Den som har implementerat ett ledningssystem för informationssäkerhet (LIS) ställer sig kanske frågan om det istället är ett ledningssystem för cybersäkerhet (”LCS”) som organisationen borde ha implementerat för att bättre möta cyberhoten? Svenska institutet för standarder (SIS) har börjat att beskriva SS-ISO/IEC 27001 som ett ledningssystem för cyber- och informationssäkerhet. Standarden är inte förändrad utan förändringen av standardens beskrivning görs mot bakgrund av att begreppet cybersäkerhet används på alla tänkbara sätt och att förena informations- och cybersäkerhet är den enkla vägen fram.
Kanske var det just begreppet cybersäkerhet som behövdes för att få fart på informations- och it-säkerhetsarbetet, vilket regeringens satsningarna förhoppningsvis bidrar till. Även om det är svårt att veta vad som egentligen avses givet hur termer och begrepp används. Den som har studerat regeringens budget mer i detalj kan för övrigt notera att satsningarna på informations- och cybersäkerhet är större än vad regeringen själva annonserat. Det finns ökade anslag hos flera myndigheter som inte fått samma uppmärksamhet. Att samordningen brister mellan de olika departementen vad gäller informations- och cybersäkerhet är ingen nyhet, det skrev vi om redan i början av året i samband med att regleringsbreven presenterats.
Regeringen har under allt för lång tid talat om behovet av en nationell strategi för samhällets informations- och cybersäkerhet och den borde givetvis inkludera regeringen och regeringskansliet som oftast undantas vilket författningsförslagen ofta vittnar om. Det kan knappast utgöra ett hot mot demokratin. Tvärt om!
