Ekots lördagsintervju med inrikesminister Anders Ygeman (Poddradio RSS) från 24/1 innehåller en del intressant ur bland annat IT- och informationssäkerhetsperspektiv och är värd att lyssna på.
Några noteringar:
6.55: Om PNR-registret – Ekot frågar ”Har ni någon som helst analys av hur effektivt det här skulle kunna vara?”. Svaret är ”Inte det nya systemet så klart, för det finns ju inte på plats. Vi har bara konstaterat att det är viktigt […]”. En extra följdfråga från Ekot visar att detta med analys inte är något som anses behövas för införa EU PNR.
23.23: Om cyberattacker och incidentrapportering – Inrikesministern säger sig nyss ha träffat chefen för Säkerhetspolisen, Generaldirektören för MSB och chefen för polisens nationella operativa avdelning för att diskutera hur man ska tydliggöra det statliga myndighetsansvaret för informationssäkerhet och mot . De jobbar även vidare på att införa obligatorisk incidentrapportering.
Lite tyckande om detta:
Det känns inte speciellt bra att man vill införa ett centralt EU PNR med hänvisning till någon slags ”sunt förnuft”. Risken nu är att det inte finns underlag att gå tillbaka till om några år för att utvärdera om systemet uppfyller sina syften. Om rättsväsendets nytta faktiskt skulle visa sig blir mindre än förväntat så skulle kanske de inskränkningar i privatlivet som man tidigare bedömt vara befogade inte längre vara giltiga. Men nu riskerar systemet (om det väl införs) antagligen att bli kvar för evigt!
Förutom mer fokus på avvägningen mellan nytta och personlig integritet så önskar jag att lite vetenskaplighet lyser igenom samt att avvägningar och beslut baseras på underlag och analys. Känns ganska grundläggande kan man tycka.
På plussidan: Att ministern följer upp de uttalanden han gjorde i början av november om nationell incidentrapportering är däremot välkommet. Det låter som om detta verkligen är på gång, pådrivet av NIS-direktivet. Kanske kommer MSB:s rapport Nationellt system för it-incidentrapportering att dammas av? Om jag vore en cyniker så skulle jag dock tro att man i stället börjar om med en ny utredning…
Jag tror det är bra med en samordnad koll på incidenter och hot mot samhällsfunktioner, för i dag brister detta grovt med försämrad säkerhet som resultat. Utmaningarna för att få organisationen på plats är dock stora och det finns en del frågor. Kommer det att gälla endast offentlig verksamhet eller, som Ygeman antytt tidigare, även för privata företag? Kommer det att kunna skapas en tillit till den nya organisationen (var den nu hamnar) så att känsligt material verkligen kan samlas där? Och kommer de att ha förmågan att sammanställa materialet till något praktiskt användbart? Jag är hoppfull, men skeptisk.
Håller helt med om att det vore intressant att kunna få en samlad bild och det skulle vara ett bra beslutsunderlag i många verksamheter. Samtidigt finns ett antal risker beroende på vad som ska rapporteras.
Först ser jag en risk att för mycket måste rapporteras vilket leder till stor administration för både den som får uppdraget att samla men även för myndigheter och eventuellt företag som ska leverera informationen.
En annan risk är mängden känslig information som kommer finnas i denna databas…