Patrik Fältström är för närvarande chef för forsknings- och utvecklingsavdelningen på Netnod. Han har bland annat varit rådgivare i IT-frågor åt tre olika ministrar under 2000-talet, arbetat med de svenska valnattsresultaten och sedan början på 90-talet hjälpt till med frågor om robusthet och motståndskraft inom IT-sektorn. Tidningen Tryggare Samhälle har intervjuat honom (läs hela tidningen online här: https://www.tryggaresamhalle.se/Uniflip/2-2016/index.html).

När det gäller cybersäkerhet vilka är de största riskerna för samhället?
– Generellt handlar det om bristande robusthet i samhällets processer, inte bara om IT-verktyg eller IT-processer. Områden som till exempel el, pengar, färskvatten och fungerande sjukvård är inte alltid tillräckligt analyserade och kan sakna relevanta riskkalkyler.

– På senare år har vi sett tågtrafik som inte fungerar när det snöar, radarsystem som vid uppgradering av systemen fallerar när det gäller flygtrafiken och mediehus som inte skyddat sig tillräckligt mot IT-attacker. Robustheten är på flera håll relativt dålig. Det gäller både privata och offentliga aktörer. De privata aktörerna drivs av marknadsekonomiska kalkyler och det tänkandet har även fått fäste hos myndigheter och andra offentliga aktörer. Det är inte alltid av godo.

Vilken beredskap har vi?
– Det saknas god beredskap på många områden. Därför inträffar diverse incidenter oftare numera än för 15 år sedan. Första frågan bör ställas om hur det förebyggande arbetet ser ut? Sedan hur vi tar hand om incidenter? Och sedan hur vi förbereder oss för okända scenarier?
Det är svårt, men med robusta system i grunden har vi större chans att klara av även ovanliga händelser. Till exempel Estoniaolyckan, tsunamin i Thailand, stormen Gudrun eller branden i Västmanland. Vid de här tillfällena var det svårt för samhället att eskalera insatserna tillräckligt snabbt. Med en ännu bättre analys, bättre processer och större robusthet i systemen kan vi få en bättre beredskap.

Ska vi ha en myndighet för cybersäkerhet, eller var ska ansvaret ligga?
– Jag anser att den ansvarsprincip som finns i Sverige är utmärkt. Det gör det tydligt att respektive aktör har ansvar för sitt område oavsett om det är kris eller ej. Sedan finns det ett behov av samordning, där Myndigheten för samhällsskydd och beredskap, MSB, har en viktig roll. Men det operativa bör ligga kvar hos de ansvariga aktörerna. överlappning där är inte bra. Det är ett problem med att aktörerna idag ska rapportera till och samverka med både med Post- och telestyrelsen, PTS, och MSB. Det är förvirrande för aktörerna.

– Vi skulle behöva ha den funktion jag kallar IT-haverikommission, som kan utvärdera och rapportera med hög kvalitet, utan att skuldbelägga. Sveriges haverikommission fungerar utmärkt på flera andra områden och borde kunna få explicit mandat att även utreda IT-relaterade händelser även om inte människoliv varit i fara.

Vilken typ av problem stöter du på idag?
– Huvudsakligen tre saker: investeringarna är inte tillräckliga, ansvarsprincipen följs inte alltid fullt ut och att ansvaret i vissa fall inte är tillräckligt uppdelat och klarlagt.

Vilka problem ökar mest?
– Det finns massvis av problem som ökar. Ett par exempel är elavbrott och fiberkabel, där det ofta saknas dubblerade system och därmed saknas robustheten. Det finns också en snabbt ökande gränsöverskridande kriminalitet som bygger på att utnyttja nya digitala plattformar inom till exempel handel och andra transaktioner.

Hur bra är polisen på att utreda cyberbrott?
– Det finns en hög kompetens inom polisen där Nationella Operativa Avdelningen, NOA, är duktiga på det som kallas IT forensic. Den avdelningen är bra på att utreda IT-brott.
Men ett problem hos polisen är att den lokala kunskapen om IT-brottslighet är för låg hos den vanliga polismannen eller -kvinnan som tar emot en anmälan. Deras IT-kunskaper skulle generellt behöva höjas rejält. Och lagstiftningen måste bli modernare.

Text: Anders Ellqvist