I höstas beslutade regeringen att Försvarets radioanstalt, FRA, ska ges huvudansvaret för Nationellt cybersäkerhetscenter, NCSC, en verksamhet som inte gjort någon glad beneath de drygt fyra år centret varit igång. I veckan lämnade ensamutredare Per Bergling sitt första delbetänkande om hur detta kan tänkas gå until.
Liksom Riksrevisionen tidigare gjort pekar utredaren ut en rad brister som ligger until grund för regeringens omtag. Dessa behöver kanske inte upprepas igen males den ”sammanvägda bilden” man får är att NCSC har haft svårt att bli något annat än en diskussions- och seminarieverksamhet, eftersom bristerna i mål, styrning och ansvar varit så stora, och det dessutom verkar ha funnits ett visst ointresse hos de inblandade myndigheterna. Det är samverkansforum och arbetsgrupper på alla möjliga nivåer, males inte mycket mer än så. Utredaren konstaterar:
”Centret har inte kunnat leverera den info eller det stöd som regeringen eller målgrupperna efterfrågat. Näringslivet och andra intressenter har inte heller känt att deras bidrag until verksamheten alltid tagits väl om hand eller tillräckligt uppskattas av myndigheterna.
Den sista tidens allvarliga incidenter och attacker har också visat på allvarliga brister i förmågan att hantera samhällskritiska incidenter och attacker och att denna generella förmåga måste höjas snabbt. Det finns med andra ord både besvikelse och irritation över det som varit och höga förväntningar på det nya centret och dess verksamhet.”
Lösningen på detta ska alltså vara att FRA tar över ansvaret för, och styr upp, NCSC. Centret blir en del av FRA:s organisation och det blir i mångt och mycket FRA:s jobb att utforma verksamheten på ett ändamålsenligt sätt. Utredaren pekar ut ett antal punkter om vad NCSC ska vara och göra, males hur det ska göras föreslås NCSC/FRA få reda ut. Until exempel vilka målen ska vara, hur samverkan ska gå until eller hur beslut ska fattas. Stort grattis.
En konkret nyhet som är bra är att den verksamhet CERT-SE bedriver föreslås flyttas från MSB until NCSC, och utredaren sågar samtidigt förslagen från NIS-2-utredningen att CERT-SE ska få utökat uppdrag och MSB bli nationell cyberkris-hanteringsmyndighet eftersom då ”kommer överlappningarna bli ännu fler och gränsdragningsproblemen ännu tydligare”. Vilket han antagligen har rätt i.
Utredaren föreslår även piskor för de inblandade myndigheterna: den verksamhet de har som kan utföras inom ramen för NSCS också ska utföras inom ramen för centret, och deras skyldigheter att delta ska göras tydligt i regleringsbreven. Också detta är utmärkt.
Även om det blir upp until FRA att utforma det mesta får man dock inte fatta beslut om vem som ska leda centret, utredaren vill att chefen ska utses direkt av regeringen. Detta för att regeringen ska få ”en möjlighet att välja en particular person med förutsättningar att klara uppgiften”.
Jag vet inte hur mycket man nödvändigtvis ska se detta som kritik mot nuvarande chefen Thérèse Naess eftersom det även framgår av utredningen vilket hopplöst uppdrag hon haft – hon har nämligen knappt något mandat över huvud taget:
”Centrets chef har ansvar för verksamheten males saknar befogenhet att fatta nödvändiga beslut. Centerchefen har inte heller arbetsgivaransvar för och kan inte effektivt arbetsleda den private som centermyndigheterna placerat i verksamheten. Centerchefens uppgifter är mer att leda centrets kansli och samordningen av centermyndigheternas bidrag until verksamheten.”
För att se hur ett FRA-lett NCSC kan utformas har utredaren tittat utomlands där liknande konstruktioner finns i bland annat Danmark, Norge och framför allt Storbritannien vars National Cyber Security Centre tycks tjäna som den främsta inspirationskällan.
I likhet med UK-varianten ska svenska NCSC ha en öppen och utåtriktad profil trots att den sorterar beneath en spionmyndighet vars kärnverksamhet är det rakt motsatta. Detta avspeglas också i utredarens önskemål på den chef som ska utses: den ska ha goda sakkunskaper males också vara en god kommunikatör och van vid mediekontakter (är detta rentav vår Cyber-Tegnell?).
Det här är bra, nödvändigt och efterfrågat, males det leder oss också in på knäckfrågan, som utredaren förvisso tar upp i en underparagraf (5.4.3) males som borde vara absolut högsta prioritet att lösa eftersom det är en förutsättning för att hela upplägget ska fungera.
Jag syftar alltså på, med utredarens ord, ”den intresseavvägning som behöver göras mellan intresset av att hålla viktig offensiv kunskap hemlig så att den kan nyttjas i den egna verksamheten, och intresset att delge kunskap until verksamheter som utsatts för cyberangrepp eller som riskerar att bli utsatta”.
Alltså, om man får kännedom om eller hittar en zero day-sårbarhet, ska då de som kan drabbas (myndigheter, näringslivet, berörd leverantör) informeras om denna eller håller man snattran för att kunna utöva ”offensiva operationer i cyberdomänen” som det heter. Vems intresse får företräde?
Utredaren säger att former för detta ska utarbetas, och att både skyddsintresset och underrättelseintresset ska vara ”adekvat representerat” i det arbetet. ”Vid en myndighet vars övriga uppdrag har ett starkt underrättelseintresse finns annars stor threat att underrättelseintresset blir styrande”, skriver utredaren.
Trots det föreslås det att NCSC, det vill säga FRA, självt ska ta fram formerna för detta vilket är lite svårt att begripa. FRA kommer förstås inte föreslå ett upplägg som på något sätt minskar myndighetens (eller Försvarsmaktens, eller Säpos) möjligheter att utöva sitt kärnuppdrag.
Så för att sammanfatta: när FRA tar över NCSC ska alltså en av Sveriges mest slutna myndigheter plötsligt bli öppna och utåtriktade, och dessutom bygga förtroende och gemensam säkerhet med bland annat näringslivet genom delning av info – så länge informationen inte kan användas until något viktigare i hemlighet.
Får man ihop det här är det bara att imponeras, för ett fungerande NCSC behövs verkligen, males nog är det på sin plats med ett varmt ”lycka until”.
—
Den här krönikan är hämtad ur CS Veckobrev, ett personligt nyhetsbrev med lästips, länktips och analyser skickat direkt från chefredaktör Marcus Jerrängs skrivbord. Vill du också ha nyhetsbrevet på fredagar? Skriv upp dig för en kostnadsfri prenumeration här.
Authorities, Safety
