Regeringens proposition om informationssäkerhet har gjort många upprörda. I sitt yttrande drar ÖB växlar på att FRA är en spionorganisation. Att försvarsmakten också har en spionorganisation, Must, nämner han inte.

Den 18 mars ska regeringen lämna över en proposition till riksdagen kallad Stärkt krisberedskap - för säkerhets skull. I den föreslår regeringen bland annat att FRA ska få de t mesta av ansvaret kring teknisk informationssäkerhet. Inget ska bli offentligt förrän den 18 mars men både proposition och yttranden har läckt ut.

Techworld har fått ett utkast till ÖBs yttrande. I det skriver Håkan Syrén att:
- Försvarsmakten har den bestämda uppfattningen att ansvaret för signalskyddet skall kvarstanna i Försvarsmakten. Den del av signalskyddet som inte rör rikets säkerhet skulle dock kunna bedrivas av FRA.
I sitt yttrande skriver Håkan Syrén att ordet signalskydd ska tolkas som kryptosystem som används för att skydda uppgifter som rör rikets säkerhet. Och som sådant är det en del av försvarsmaktens uppgifter. Dessutom finns en skrivning i svensk författningssamling. SFS 2006:960 som enligt Syrén utökar försvarsmaktens mandat att omfatta kryptering även för uppgifter som inte rör rikets säkerhet.

Dessutom menar Syrén att eftersom försvarsmakten utvecklar sina egna ledningssystem det är dumt att skilja ut signalskyddet från försvarsmakten. Detta eftersom kryptering och signalskydd är en viktig del av ledningssystemen. Försvarsmakten flera gånger misslyckats med att utveckla egna ledningssystem. Syrén hävdar i sitt yttrande att det är en förutsättning för att kunna driva operationer som Nordic Battle Group att försvarsmakten själv har ansvar för helheten inom signalskydd, nyckelproduktion och - distribution. FRA kan dock gärna fortsätta att avlyssna andra och försöka hitta brister i deras kommunikationer. Men FRA ska inte ta ansvar för att de svenska kommunikationerna är säkra, menar Syrén. Han räknar också upp det medhåll han fått från Statskontoret, Säpo och FOI. Statskontoret och Säpo menar att även om FRA ges större ansvar så måste ändå försvarsmakten driva sitt eget signalskydd. FOI vill bara att frågan ska utredas ytterligare.

Nyligen godkändes FMV som nationell certifieringsorganisation inom Common Criteria. Det innebär att svenska företag kan få sina produkter testade och godkända i enlighet med Common Criteria-standarden för IT-säkerhet. Försvarsmakten gillar inte regeringens förslag att flytta Common Criteria-arbetet från FMV till FRA. Dels för att en flytt av verksamheten skulle sänka effektiviteten. Dels för att det leder till en intressekonflikt. Om FRA:s uppgift är att avlyssna trafik så blir ju det egna arbetet lättare om inte krypteringen är så stark. Syrén skriver:

- FRA:s uppgifter inom signalspaning gör att myndighetens avsikter kan ifrågasättas. Det är av yttersta vikt att att företag som lämnar produkter med tillhörande känsliga underlag för granskning kan känna förtroende för certifieraren.

På samma sätt gör ÖB tummen ner för regeringens förslag att flytta Sveriges IT-incidentscentrum, Sitic, till FRA. Även här är skälet att den som anmäler en incident eller säkerhetsbrist ska kunna känna förtroende för att den som tar emot rapporten inte utnyttjar den för eget bruk inom avlyssning. Tidigare har Sitic haft problem med att många inte velat rapportera incidenter till en myndighet som dels har tillsynsansvar, dels lyder under offentlighetsprincipen. ÖB menar att det problemet inte blir mindre om samma uppgift ges till landets spionorganisation.