Varför ligger lösenorden under skrivbordsunderläggen?

Det finns vissa återkommande anekdotiska exempel inom informationssäkerhetsområdet som ska beskriva en situation eller ett problem. Vissa har jag säkert använt själv vid olika tillfällen. Men när man hört något litet för många gånger börjar i alla fall jag begrunda vad som är den egentliga innebörden i exemplet – vad vill man ha sagt? Och därefter funderar jag på vad effekten hos åhörarna, blir den verkligen den som eftersträvas?

Ett sådant återkommande exempel i presentationer, föreläsningar och utbildningar handlar om lösenord. Antingen genom att beskriva det hela som en personlig upplevelse eller en mer generell företeelse så säger vi (även jag har gjort det någon gång för länge sedan…) att användare haft lösenord på post it-lappar fästa vid skärmen eller under skrivbordsunderlägget. Samma exempel återkommer i tips för bättre säkerhet som här och här. Det är uppenbarligen en bild som säkerhetsmänniskor finner effektfull trots att skrivbordsunderläggen i ärlighetens namn numera är sällsynta.

Ofta berättas detta med ett överseende, eller ännu värre; ett smått föraktfullt, leende som låter påskina att medarbetarna inte förstår sig på alternativt inte bryr sig om säkerhet. Min erfarenhet är att detta är en helt felaktig uppfattning. I princip alla verksamheter som jag jobbat i, och inte minst inom vården, är de allra flesta medarbetare mycket engagerade i att göra ett bra jobb. Detta inkluderar även att följa de säkerhetsregler som finns. Att sedan lösenordshanteringen ändå kan vara litet si och så tror jag beror på flera faktorer.

En väsentlig elefant i rummet är att det är jobbigt att hantera lösenord på det sätt som sker nu. Sedan mitten av 90-talet har det utlovats single sign-on-lösningar men få har hittills skådat fungerande lösningar i verkligheten. Istället fortsätter det som förut med allt längre lösenord, olika lösenord i de allt fler applikationer som används på arbetsplatserna och med krav på byten var tredje månad. I en stressig arbetssituation kan jag inte annat än ha förståelse för att medarbetare söker genvägar. I vårt privatliv kan vi använda olika lösningar som automatgenererar hyfsat säkra lösenord men i arbetsmiljön är många kvar på ruta ett.

En annan faktor är kommunikationen om lösenord. När jag läser och hör hur reglerna för lösenordshantering kommuniceras med medarbetare är det sällan med någon motivation eller beskrivning av vari risken ligger om lösenordet är för kort eller används längre än ett kvartal. Detta tror jag är en mer generell problematik inom säkerhetsområdet.  Alltför ofta använder vi olika former av envägskommunikation och dessutom utan att ge tillräckligt bra förklaringar hur bristande tillämpningar av säkerhetsåtgärder påverkar kvaliteten och effektiviteten i verksamheten. Jag ser det hela framför mig som en våg där goda förklaringar gör säkerhetsåtgärden uppfattas som motiverad och krångligheten acceptabel.

krångel

Slutligen är ett problem att det tycks finnas mycket litet evidens om lösenord, hur långa de bör vara och hur ofta de bör bytas. Vi går på det som litet slängigt brukar kallas ”best practice” vilket kan tolkas som ”vi tror att det här det bästa sättet att göra det men har inga belägg för det”. Att beläggen är svaga gör vår egen argumentation svag vilket gör det svårare att övertyga andra vilket sannolikt är en förklaring till att vi hellre kör ut en oemotsagd regel än har en mer djuplodande diskussion om risker med verksamheten.

Jag tror inte medarbetare känner sig särskilt motiverade av den här typen av exempel hur ”dumma” andra medarbetare i samma situation är. Förmodligen kommer istället antingen en viss skamsenhet över att man inte själv heller alltid lyckas leva upp till de krångliga reglerna eller så fnyser man invärtes och tänker: ”det är ju lätt att säga när man inte vet hur det fungerar här och hur stressigt det är”. I båda fallen tappar den informationssäkerhetsansvarige kontakten med sin publik.

Sammantaget drar jag tre slutsatser av ovanstående. Att det inte är så konstigt att medarbetare gömmer lösenord under de imaginära skrivbordsunderläggen. Att vi måste hitta bättre fungerande säkerhetslösningar både i bemärkelsen att de fungerar effektivt mot beskrivna risker och i bemärkelsen att de går att använda på ett inte alltför tyngande sätt för medarbetare. Att vi måste bli bättre på att belägga de säkerhetslösningar vi föreslår med evidens istället för att hänvisa till ”best practice”. Med tanke på att behovet av informationssäkerhet kommer att öka alltmer måste vi kunna både för oss själva och för de organisationer vi verkar i visa att vågen är i balans; att de tyngande rutiner och åtgärder vi förordar är motiverade.

Integritet och informationssäkerhet (1)

Förhoppningsvis har det inte förbigått någon att den nya dataskyddsförordningen 2018 kommer att ersätta  den svenska personuppgiftslagen. Dataskyddsförordningen innebär att den enskildes rättigheter gällande skydd av personuppgifter stärks medan kraven blir strängare för myndigheter, företag och andra organisationer som hanterar personuppgifter.

Ett förbättrat integritetsskydd är verkligen välkommet med tanke på hur det ser ut på integritetsfronten idag. Den kartläggning av som genomförts av Integritetskommittén genomfört (för transparensen skull är det väl bäst att meddela att jag suttit som expert i kommittén) visar på allvarliga brister i skyddet för den enskildes integritet i olika verksamheter. Särskilt bekymmersam beskrivs situationen i hälso- och sjukvården vilket inte på något sätt förvånar den som har någon inblick i hur sjukvårdens informationshantering är utformad idag. Jag kommer att återkomma till den fråga i ett senare inlägg men för den intresserade går det bra att ladda ner utredningen i sin helhet här.

Ett kapitel där jag varit närmare involverad handlar om integritet och informationssäkerhet. Dessa två storheter är nära länkade i ett antal avseenden. Skyddet för den personliga integriteten ingår med självklarhet i aspekten ”konfidentialitet” och att skapa förutsättningar för att upprätthålla integritet är därmed ett mål för informationssäkerhetsarbetet i en organisation. Informationssäkerhetsarbetets arsenal av åtgärder är de samma som måste användas i skyddet för integriteten. Detta kan tyckas vara självklarheter och sammankopplingen har gjorts på det nationella planet exempelvis i den så kallade Infosäk-utredningen som lade fram sitt slutbetänkande SOU 2005:42 Säker information. I utredningen föreslogs som en av tio mål i en svensk informationssäkerhetsstrategi vara att skapa förtroende, trygghet, säkerhet, och öka integritetsskyddet. Tråkigt nog kan detta ses som en startpunkt för en nu decennielång tradition i det nationella informationssäkerhetsarbetet (liksom i e-förvaltnings- och e-hälsosatsningar på nationella planet); att säga att integritet är ett viktigt mål men inte komma med några konkreta förslag på åtgärder för att uppnå målet. Se även Regeringens skrivelse 2009/10:124  Samhällets krisberedskap – stärkt samverkan för ökad säkerhet, Strategi för samhällets informationssäkerhet 2010-2015 och SOU 2015:23 Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten (NISU).
I NISU var utredarens uppdrag bland annat att:

föreslå övergripande mål för samhällets informationssäkerhetsarbete, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur.

Uppdraget kan tolkas som något otydligt då ordet integritet visserligen ingår men sannolikt i samma betydelse som det engelska integrity.  Detta är ett återkommande problem som , att begreppet integritet används i två helt olika betydelser inom informationssäkerhetsområdet. Den första betydelsen är den definition av den personliga integriteten som återfinns exempelvis i personuppgiftslagen. Den andra har sitt ursprung i EU:s definition av informationssäkerhet där användningen av begreppet är synonymt med det engelska integrity. Begreppet avser i detta sammanhang att en databas, ett nätverk, ett system alternativt en informationsmängd är skyddad från oavsiktlig förändring eller förlust av information.

NISU väljer att över huvud taget inte behandla den personliga integriteten:

I de delar utredningens förslag skulle kunna påverka den enskildes personliga integritet föreslår utredningen ytterligare utredningsåtgärder för att väga in sådana aspekter.

Av vilken orsak utredaren gör denna avgränsning motiveras inte närmare.  Därmed avviker NISU från det förhållningssätt som exempelvis ENISA och OECD rekommenderar.

The European Union Agency for Network and Information Security (ENISA) har uppdraget att samordna EU:s arbete med nät- och informationssäkerhet. Integritetsfrågorna är en inte oväsentlig del av ENISA:s arbete där värnet av den personliga integriteten ses som en förutsättning för den it-utveckling som ska ge en viktig grund för den ekonomiska utveckling som eftersträvas för Europa. Som en följd av detta har ENISA genomfört olika insatser som bland annat resulterat i ett antal publikationer som behandlar integritet från policynivå ner till teknisk tillämpning.

ENISA gjorde 2014 en ambitiös guide som beskriver hur skyddet av integritet kan utformas i praktiken i it-relaterade tjänster och system. De har här utvidgat begreppet för konceptet till att gälla Privacy and Data Protection by Design. I inledningen till vägledningen summeras integriteten i ett EU-perspektiv från ett överordnat värde till tekniska åtgärder som byggs in i it-lösningar:

Privacy and data protection constitute core values of individuals and of democratic societies. This has been acknowledged by the European Convention on Human Rights and the Universal Declaration of Human Rights2 that enshrine privacy as a fundamental right. With the progress in the field of information and communication technologies, and especially due to the decrease in calculation and storage costs, new challenges to privacy and data protection have emerged. There have been decades of debate on how those values—and legal obligations—can be embedded into systems, preferably from the very beginning of the design process.

Även för  OECD (Organisation for Economic Co-operation and Development)har informationssäkerhet och integritet ett nära samband vilket bland annat demonstreras av en arbetsgrupp för informationssäkerhet och integritet (Working Party on Information Security and Privacy in the Digital Economy – WPSPDE). Från Sveriges sida har Post- och telestyrelsen (PTS) deltagit i arbetet. 2015 presenterades den senaste vägledningen i informationssäkerhetsfrågor, Digital Security Risk Management, där ett viktigt paradigmskifte genomförts då man säger att informationssäkerhet inte är en teknisk fråga utan en ekonomisk. Informationssäkerheten ska därmed kopplas till den positiva ekonomiska utveckling som är OECD:s syfte.

OECD har lyft fram integritetsfrågorna som en viktig framgångsfaktor för den ekonomiska utvecklingen. Skydd av personuppgifter vid dataöverföring och datalagring måste vara utformat så att det underlättar för fria dataflöden över landsgränser. 2013 kom en ny version av The OECD Privacy Framework där organisationen framhåller att man under decennier spelat en viktig roll i främjandet av integritet som ett fundamentalt värde och som ett villkor för ett fritt flöde av personuppgifter över landsgränser. I ramverket ingår ett antal principer bland annat rörande insamling av personuppgifter, datakvalitet, syftet, användningen, säkerhet, öppenhet, individens rättigheter samt ansvar för datahanteringen. Vad som tillkommit i revisionen 2013 är att man förordar ett riskbaserat förhållningssätt på samma sätt som i övrigt informationssäkerhetsarbete samt krav på incidentrapportering. Här är OECD:s linje att det bör finnas en nationell strategi för hantering av personuppgifter.

Eftersom i princip alla organisationer hanterar personuppgifter i större eller mindre omfattning så har också i princip alla organisationer legala krav på hur hanteringen ska ske. De flesta organisationer har också behov av att kunna uppvisa en ansvarsfull hantering av personuppgifter för att kunna upprätthålla sin legitimitet och för att kunna skapa tillit hos olika omgivande aktörer. Legitimiteten som kommer av förmågan att kunna upprätthålla den personliga integriteten har, som både ENISA och OECD understryker, en stark påverkan på ekonomisk utveckling på både samhälls- och aktörsnivå.

Kort sagt kan informationssäkerhet ha en mycket viktig funktion även för den ekonomiska utvecklingen nationellt och internationellt. Att man i Sverige då valt en linje med svaga kopplingar mellan områdena är märkligt. Förhoppningsvis kan svenska myndigheter samordna sig i konkreta frågor som att MSB:s obligatoriska it-incidentrapportering integreras med den rapportering av incidenter som ska utifrån kraven i dataskyddsförordningen så dubbelrapportering undviks. Men för att stödja olika verksamheter så att de kan bedriva ett informationssäkerhetsarbete som stödjer de allt starkare kraven på skydd av personliga integriteten kommer enligt min bedömning att kräva betydligt mer. Detta kommer jag att återkomma till i ett senare inlägg.

 

 

Nätverkande, digitaliseringen och säkerheten

Almedalsveckan är slut,  politiker, leverantörer, offentliga tjänstemän och lobbyister har åkt hem efter en hektisk vecka av nätverkande. Som vanligt har deltagarna och seminarierna blivit fler än året förut. Bara myndigheterna har lagt ner drygt 23 miljoner på sitt deltagande enligt en undersökning som SVT gjort. Det vore enkelt att här infoga någon liten sarkastisk kommentar men jag väljer att avstå. Hellre än ett slentriangnäll vill jag reflektera litet om det nätverkande som Almedalen är en så tydlig symbol för.

Få ord kan idag sägas med samma entydigt positiva konnotationer som ”nätverkande”. Vad ordet egentligen betyder är däremot oklart, det är litet kontakter, workshops, mingel, sociala medier och samverkan. En slutsats man kan dra om man googlar på nätverkande är att det inte är ett planlöst umgänge utan nätverkandet framställs alltid som ett socialt umgänge med ett syfte, från att det är bra att ha ett socialt nätverk vid ett sorgearbete till yrkesmässiga nätverk som ska leda till jobb eller gemensamma prestationer.

Det organiserade nätverkande, som i Almedalen, kan se som en motsats till den formella byråkratin av weberianskt snitt där förenklat en organisation har en uppgift som ska utföras och detta sker genom tydliga roller, ansvar och regler. Procedurerna är fördefinierade och reglerade. Byråkraternas kompetens, oavsett om de är jurister eller ingenjörer, är definierad och legitimerad. Meritokrati råder.
Nätverkandet sker istället över organisationsgränser, i de flesta fall utan närmare uppdrag och regler. Deltagarnas kompetens är i det närmaste per definition skiftande och i en så löslig form som ett nätverk är ansvarsutkrävande inte en fråga. Tillträdet till nätverket är inte meritokratiskt utan sker ofta delvis genom relationer.

I ett samhälle med hög utvecklingstakt har den traditionella byråkratin, när ständigt nya frågor ska hanteras är det inte möjligt att ständigt tillämpa fördefinierade procedurer. I den svenska förvaltningshistorien skedde ett skifte från 1950-talet då de stora välfärdssatsningarna byggdes upp och detaljstyrningen alltmer övergick mot ramlagstiftning och mer omfattande delegationer. Mina byråkratiska erfarenheter under senare år tyder på att den svenska förvaltningen nu i delar pendlat från Weber till att alltmer bedrivas i form av samverkan och nätverk.

Denna utveckling svarar i vissa delar på verkliga behov; det krävs kreativitet, olika perspektiv och samhällets bästa resurser oavsett organisatorisk tillhörighet för att hantera de stora framtidsfrågorna långsiktigt. Men det finns också fallgropar när myndighetsuppdrag och andra samhälleliga åtaganden exekveras i samverkansprojekt utan formalisering. Elementära krav som ställs på myndigheters arbete i övrigt som öppenhet, insyn och representativitet är svårt att upprätthålla. Kanske viktigast, i ljuset av den senaste tidens händelser i myndighetsvärlden, är svårigheten för statliga och kommunala tjänstemän att agera på ett sakligt och opartiskt sätt. I en miljö där offentliga tjänstemän förväntas utveckla personliga relationer med leverantörer och representanter för intressegrupper kan det bli mycket svårt att fatta beslut på ett opartiskt sätt. Det finns en stor risk för vänskapskorruption men också det som Mikael Holmqvist, professor i företagsekonomi, beskriver i sin bok om Djursholm och den maktelit som bor där: konsekrati. Konsekrati innebär maktstrukturer som fostrar och premierar särskilda beteenden, attityder, yttre företräden och manér där de som anammar dessa också får inflytande i strukturen.

Under årets Almedalsvecka var digitalisering ett hett tema. Med all rätt ser allt fler digitalisering som ett samhällsprojekt för att skapa en gemensam infrastruktur där staten har ett stort ansvar. Mer luddigt är däremot hur denna infrastruktur bör skapas och vari den bör bestå. Trots att stora offentliga satsningar faktiskt gjorts under ett par decennier både inom förvaltning och inom hälso- och sjukvård står vi fortfarande idag i en tämligen ofärdig digitalisering. En orsak till detta kan vara att staten i alltför hög grad överlåtit planering och styrning av digitalisering till olika nätverksstrukturer istället för att tänka som om det handlat om att anlägga järnvägar. Och om programvaruleverantörer får ett starkt inflytande kommer tyngdpunkten sannolikt inte att ligga på långsiktig utveckling av basfunktioner utan på de programvaror som finns tillgängliga.

Några reflektioner efter att ha deltagit i olika samverkansformer inom digitaliseringsområdet som varit av mer levererande karaktär och inte bara för erfarenhetsutbyte. För det första har det varit svårt att få en överblick. Överblick över mål, beroenden och ansvar för att ta några exempel. Eftersom denna typ av samverkansform ligger vid sidan om den ordinarie myndighetsstrukturen samtidigt som deltagarna är anställda av myndigheter är det svårt att säga vilket ansvar som myndigheterna faktiskt har och hur de ska styra arbetet i samverkansgruppen. Det gör också att det är mycket svårt att skapa en fungerande insyn i beslutsprocessen, alltså en slags demokratiskt underskott.

Samverkan i nätverk eller tidsbegränsade konstellationer skapar en stress, inte sällan uppkommen av politiska agendor. Nätverket vill visa snabba resultat och goda exempel eftersom man har kort tid på sig. Utrymmet för att lösa verkliga eller uppfattade målkonflikter som till exempel frågor kopplade till säkerhet eller integritet är mycket begränsat. Tendensen förstärks då it-leverantörer och konsulter tas in i arbetet eftersom myndigheters gemensamma digitaliseringsprojekt naturligtvis både är en god inkomstkälla och ett alldeles utmärkt skyltfönster för de egna tjänsterna. Och här kan en ohelig allians skapas: samverkansgruppen har ett behov av konkreta lösningar men har ingen långsiktig strategi, leverantören har en tjänst som vill flyga högre på marknaden och managementkonsulten kan knyta ihop alltihop till ett koncept som ser behovsstyrt ut. Voila – ett digitaliseringsprojekt! Och om det inte fungerar, inte är effektivt eller har säkerhetsbrister så har samverkansgruppen upplösts, leverantören har bara gjort vad som ”beställts” och konsulten har gått vidare när det uppdagas och inget ansvar kan utkrävas.

Ovanstående kan låta cyniskt men man kan välja att se alla inblandade som organisationsformens offer. Samverkansgrupper har inget starkt mandat, framför allt inte långsiktigt och detta har, anser jag, varit ett stort hinder för en effektiv digitalisering.

Att digitaliseringen skett utan egentlig strategi, mandat och traditionell myndighetsstruktur och i tillfälliga gruppkonstellationer har också lett till ett starkt personberoende. Vilken kompetens som är nödvändig för att arbeta med digitaliseringen är inte tydlig och jag tror att detta skapat en stark gruppkänsla hos de som varit involverade i de större projekten – man är där som person och inte så mycket på formella meriter. Digitaliseringen har därför fungerat mer som en konsekrati än en meritokrati. Min upplevelse är att denna gruppgemenskap som saknat formell grund skapat en kultur där det varit svårt att hantera komplicerade frågor och att härbärgera olika åsikter.

Sammantaget har inte det svenska sättet att bedriva digitaliseringen varit så framgångsrikt som det skulle finnas förutsättningar för. Fragmentiseringen har inte lett till goda resultat, inte skapat tillit och, vilket är min huvudfråga,  haft mycket svårt att hantera informationssäkerhetsfrågor. Trots den stora enigheten om värdet att den digitala informationshanteringen så har säkerhetsfrågorna negligerats och det saknas idag samarbetsformer för att kunna styra säkerheten i det alltmer gemensamma informationsflödena. Detta bör naturligtvis även ses som ett tillkortakommande för oss som arbetar med informationssäkerhet där vi har vår egen konsekrati som inte prioriterat stöd för bättre säkerhet i digitaliseringen, mer om detta i ett senare inlägg.

Om alla är överens om att det är dags att satsa fullt ut på den digitala revolutionen så är det också dags att ta digitaliseringen på allvar. Ta litet av nätverksresurserna, lägg till litet mer och satsa i långsiktiga organisationsformer med ett starkt mandat och ansvar i digitaliseringsfrågor. Samverkan med olika aktörer är lika nödvändig som tidigare men måste ske på ett sätt så att inte olika särintressen får vara vare sig de som formulerar problemet eller kommer med snabba lösningar. Om det skapas en litet grå och tråkig e-myndighet som inte enbart behöver ägna sig åt politik och publikfriande lösningar utan får möjlighet att uthålligt få bygga en infrastruktur med osexiga delar som gemensam informationsmodell så finns det hopp för framtiden. Låt informationssäkerhet för normalläget ingå som ett uppdrag för myndigheten och se säkerheten som en kvalitetsfråga. Då kan även informationssäkerhet bli en paradfråga för digitaliseringen på samma sätt som trafiksäkerhetsfrågor varit det för svensk transportinfrastruktur.