Cybersäkerheten i finanssektorn måste öka

Den finansiella sektorn måste snabbt bli bättre på att förebygga och hantera cyberhot. Kunder och samhället i stort måste kunna lita på att de finansiella företagens samhällsviktiga tjänster fungerar, även i tider av större osäkerhet och hot. På uppdrag av regeringen har Finansinspektionen (FI) därför föreslagit ett antal åtgärder för att öka motståndskraften mot cyberattacker i den finansiella sektorn.

Det svenska finansiella systemet har stort utbud av digitala tjänster som i stor utsträckning är sammanlänkade med varandra. Att ligga långt fram i digitaliseringen gör samtidigt finansiella företag sårbara för cyberhot och en allvarlig it-incident i ett företag kan snabbt sprida sig och drabba samhället i stort. Med tanke på det skärpta säkerhetspolitiska läget går det inte heller att utesluta statsstödda cyberangrepp mot svenska finansiella företag och infrastruktur. Därför måste motståndskraften mot cyberhot öka i hela den finansiella sektorn.

− Företagen har ett stort eget ansvar för att deras it-system har tillräcklig motståndskraft, säger FI:s generaldirektör Erik Thedéen. Men ytterst handlar det här om Sveriges säkerhet och då måste staten hjälpa till.

De finansiella företagen har huvudansvaret för att motverka och förebygga cyberattacker men en ökad samverkan mellan stat och näringsliv kan stärka motståndskraften mot cyberhot och attacker. Det är en gemensam angelägenhet att kundernas förväntningar uppfylls och att cybersäkerheten är tillräckligt bra.

FI föreslår därför bland annat:

Att FI:s tillsyn på cyberområdet ökar markant. Det gäller både mer omfattande och frekvent granskning av finansiella företags cyberberedskap men också mer kontroll av företagens kritiska delar av it-verksamhet som lagts på underleverantörer.

Att Försvarets Radioanstalt (FRA) ska få bistå företag med cyberskydd. Det är viktigt att FRA med sin höga kompetens får ge stöd för att höja cybersäkerheten i de finansiella företagen. Något som inte är tillåtet i dag.

Att det inrättas ett särskilt cybersäkerhetsråd i Statsrådsberedningen med berörda myndigheter och departement. Det är viktigt att Regeringskansliet skapar en samlad bild av cyberhoten mot det svenska samhället och lägger grunden för en gemensam styrning av hanteringen av cybersäkerhetsfrågor hos berörda myndigheter på området.

Att det nationella cybersäkerhetscentret (NCSC) kommer på plats snabbare. Centret är en fördjupad myndighetssamverkan mellan Försvarsmakten, FRA, Myndigheten för samhällsskydd och beredskap (MSB) och Säkerhetspolisen. Centret är planerat att vara på plats 2025 men den tidplanen bör snabbas på så att centret är i gång redan nästa år.

Att bank-id och andra privata e-legitimationer ska stå under tillsyn eller ersättas av en statlig e-legitimation. Bank-id är en samhällsviktig tjänst. En cyberattack som slår ut bank-id kan få allvarliga konsekvenser för flera delar av det svenska samhället, inte bara betalningstjänster. Statens tillsyn av på bank-id och liknande verksamheter bör kraftigt stärkas eller ersättas av en statlig motsvarighet.