Vilse på digitaliseringens hav (1)

Jag började skriva om konstruktiva vägar framåt men kände att det behövdes litet food for thought för att konkretisera när informationssäkerhetsarbetet inte fungerar. För att göra problembilden angelägen tänker jag i det här inlägget skriva om den pågående digitalisering som det fästs mycket stora förhoppningar vid både inom e-förvaltning och e-hälsa. Regeringens inriktning är att effektiviteten ska sporras, pengar ska sparas och tillgängligheten öka för både medarbetare och allmänhet genom digitalisering samt att Sverige ska bli bäst i världen på digitalisering. Den nationella vinnarskallen går även igen på e-hälsoområdet där regeringen och SKL tillsammans i skriver i sin Vision e-hälsa 2025:

År 2025 ska Sverige vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för ökad självständighet och delaktighet i samhällslivet.

Premissen för det följande resonemanget är att om regeringens målsättning ska kunna uppnås måste digitaliseringen ske med hänsyn till den personliga integriteten och med stöd av ett systematiskt informationssäkerhetsarbete. Detta är inte min personliga uppfattning utan den analys som både OECD och ENISA gjort angående digitalisering; informationssäkerhet och skydd av integriteten är förutsättningen för att det goda vi (och regeringen) vill ha ut av digitaliseringen ska bli verklighet.
Det är alltså tre ”klossar” som ska byggas ihop för en fungerande digitalisering. Klossarna har olika status där digitaliseringen är det rationella syftet, integriteten en rättighet och informationssäkerheten en stödfunktion. För den offentliga verksamhetens digitaliseringen sitter regeringen med kontroll över alla tre klossarna. Man har utsett kommittéer, kommissioner och skapat myndigheter som E-delegationen, Digitaliseringskommissionen, E-legitimationsnämnden och eHälsomyndigheten för att stimulera och styra digitaliseringssträvandena. Även för värnet att den personliga integriteten finns en myndighet som Datainspektionen och kommittéer som exempelvis Integritetskommittén . Slutligen finns samma typ av statliga institutioner när det gäller informationssäkerhet som bland annat MSB och ett antal statliga utredningar om informationssäkerhet det senaste decenniet.
Men trots denna kontroll över medlen, hur lyckas hopfogandet av klossar? För pröva detta utgår jag från två aktuella exempel på myndighetsutövande; eHälsomyndigheten och Digitaliseringskommissionen. I detta inlägg hinner jag med endast eHälsomyndigheten men jag återkommer med Digitaliseringskommissionen i nästa inlägg.
Ehälsomyndigheten ska enligt regeringens förordning: ansvara för register och it-funktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering. Myndigheten ska vidare samordna regeringens satsningar på e-hälsa samt övergripande följa utvecklingen på e-hälsoområdet. (SFS 2013:1031). Det är alltså ett mycket tungt uppdrag som innebär att både samordna andra aktörer men att också tillhandahålla egna digitala tjänster. Hälso- och sjukvård är en av de mest vitala uppgifterna i samhället samtidigt som sjukvårdens informationshantering innehåller mycket integritetskänsliga uppgifter om alla som bor i Sverige. Ehälsomyndigheten borde därför rimligen ha den nationellt mest utvecklade nivån av informationssäkerhet inklusive åtgärder som skyddar den personliga integriteten. Mitt intryck är dock att så inte är fallet. För transparensen skull bör jag kanske påpeka att jag offentligt framförde synpunkter på myndighetens tjänst Hälsa för mig som skulle lanseras under 2015, t.ex. här och här. Jag var definitivt inte ensam om att vara frågande inför säkerheten Hälsa för mig, så var även Datainspektionen med flera. För eHälsomyndigheten borde detta vara en oro att ta på allvar så jag går in och tittar på deras hemsida för att se hur de kommunicerar om informationssäkerhet och integritet. Min walk-about på webbplatsen inger dock ingen trygghet. När man beskriver sina satsningar finns säkerhet med som en sådan  men med en text som endast tar upp effektiv inloggning: Digitaliseringen ger stora möjligheter för förbättringar, men om ett stort antal tjänster används samtidigt blir det krångligt för användare med många inloggningar och tidskrävande administration av användarkonton. Inom sjukvårds- och omsorgssektorn finns behov av lösningar som garanterar en patientsäker, kostnadseffektiv och praktisk åtkomst av e-tjänster inom och mellan olika organisationer. När man skriver om utmaningarna inom e-hälsa lyfter man fram: En svårighet är att ingen vårdgivare har en heltäckande bild av dig som patient. Däremot inte ett ord om utmaningen i att upprätthålla god integritet. Tjänsten Hälsa för mig har följande underpresentation:

Ett säkert utrymme
Hälsa för mig är en frivillig, kostnadsfri och säker lagringsplats för information. Du bestämmer själv vilken information du vill lagra på ditt hälsokonto. Som användare identifierar du dig med svensk e-legitimation, till exempel bank-id eller mobilt bank-id. Tjänsten och den tekniska lösningen är utformad i enlighet med relevant lagstiftning, bland annat personuppgiftslagen (PUL) och de krav på säkerhet den innehåller.
Du kan dela din information med andra privatpersoner som har registrerat ett eget konto i Hälsa för mig. Det är du som bestämmer om du vill dela din information med närstående, och vilken information du i så fall vill dela.
eHälsomyndigheten kommer endast att lagra och tekniskt bearbeta din information för din räkning. Vi har inte tillgång till din information.

Texten väcker fler frågor än vad den ger svar och jag letar vidare på webbplatsen efter mer exakt information om var patientinformationen lagras, på vilket sätt den är ”säker” och vem som har ansvar för den o.s.v.. Möjligen letar jag för dåligt men om jag som är en ganska van samt frisk internetanvändare inte kan hitta den informationen så är jag osäker på hur det går för andra.
Kanske är inte detta så märkligt. I den ovan nämnda Vision 2015 ägnas både informationssäkerhet och integritet ett mycket förstrött intresse. Här förekommer den alltför vanliga synen att integritet ska ”balanseras” mot andra intressen. Den som har den uppfattningen kommer att få ett hårt uppvaknande om inte annat då dataskyddsdirektivet träder i kraft…
Texten ger inte heller intrycket att ha tagits fram med medverkan av någon som arbetar med informationssäkerhet, detta då exempelvis begreppet säkerhetsskydd används på ett sätt som nog ingen professionell skulle göra. Visionen undviker samvetsgrant att beskriva vad som avses med informationssäkerhet, den enda gång ordet används sägs det att är en ”princip”. Detta är kanske orsaken till eHälsomyndigheten sedan helt undviker ordet i rapporten om sitt samordningsuppdrag .
För att sammanfatta: det finns en myndighet med ansvar för ett väsentligt område för digitaliseringen – e-hälsa. Integritetskommittén som regeringen tillsatt pekar i sitt delbetänkande på de stora risker för den personliga integriteten som finns i dagens hälso- och sjukvård samt att informationssäkerhet är ett väsentligt redskap för att skapa och upprätthålla integritet i vården. I NISU, regeringens utredning om samhällets informationssäkerhet, backar man från att ta upp frågan om integritet och går inte heller in på samhällsviktiga verksamheters (som sjukvårdens) behov av systematisk informationssäkerhet. I den vision som regeringen och SKL lade fram i år liksom eHälsomyndighetens rapport om sitt samordningsuppdrag spelar både integritet och informationssäkerhet minst sagt underordnade roller. Detta trots dataskyddsförordningens ikraftträdande allt närmare med omfattande och nya krav på integritet vilket i sin tur ställer ännu större krav på informationssäkerhet. Och i den mer konkreta tillämpningen ger eHälsomyndighetens webbplats inga ledtrådar om vilka åtgärder som vidtagits i för informationssäkerheten i Hälsa för mig sedan förra årets kritik.
I fallet e-hälsa är det, trots den oro som framförts, svårt att tycka att regeringen samordnat de tre klossarna digitalisering, integritet och informationssäkerhet på ett särskilt bra sätt.
vilsei-digitaliseringen

Varför funkar det inte? Del 9

Efter att ha spekulerat om varför informationssäkerhetsarbetet inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre. Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens rapport om informationssäkerheten vid nio myndigheter. Riksrevisionen bedömer att ”de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”. Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att ”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.”. Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.

Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare. Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.

En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar. Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar. Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter. En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.

I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå. Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas. Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är. För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp:

  • Försvarsmaktens insatser
  • Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism
  • Det civila försvaret
  • Samhällets krisberedskap
  • Stöd till myndigheter, kommuner, företag m.m. för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.

Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet. Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna. Jag tror att det är här vi måste stanna till och inse att det inte är samma informationssäkerhet som det ställs krav på i de olika sammanhangen. En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap. Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet. Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens möjligheter.

Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på. Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade. Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.

Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt. Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.

 

 

caspar_david_friedrich_-_wanderer_above_the_sea_of_fog

 

Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen. En gemensam styrmodell innebär inte att samma styrmedel används överallt. Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar. Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar. Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer. Även detta förhållande måste avspeglas i den strategiska inriktningen.

Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd. När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att det informationssäkerhetsarbete som bedrivs i normalläget integreras med statens digitaliseringssatsning. Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.

För mig är det en viktig princip att informationssäkerhetsarbetet måste styras av behov, inte av utbud. Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet. När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar. Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.

 

 

Varför funkar det inte? Del 8

Jag har tidigare skrivit om att jag ser kommunikation som det centrala verktyget i informationssäkerhetsarbetet och kanske det tydligast inte funkar. Det här inlägger kommer att ytligt behandla om några aspekter av det vittomfattande ämnet, nämligen förutsättningar och förförståelse, innehåll och form.

Att kommunikationen internt inom informationssäkerhetsområdet har jag redan försökt beskriva i ett tidigare inlägg. Det saknas arenor och samtalsformer för att utveckla kunskap och samsyn. Det språkbruk och de metaforer som uppstår i denna dysfunktionella kultur gör även att vår kommunikation inte fungerar i samspelet med de vi vill engagera. Ofta framstår både vi själva och det vi säger uppfattas som ovidkommande, auktoritärt, svårbegripligt och alarmistiskt (källa: de många verksamhetsföreträdare jag samverkat med under ett par decennier).

Själv uppfattar jag kommunikationen i informationssäkerhetsfrågor ibland som direkt vilseledande för civila organisationer. Ett exempel är den nednötta metaforen om att skydda sina guldägg. Den underförstådda tanken är att alla organisationer har avgränsade informationsmängder eller hård/mjukvara som ska skyddas mot främst obehörig åtkomst (?) framför alla andra. Detta menar jag är en feltolkning av hur dagens informations- och it-infrastrukturer fungerar där det snarare handlar om komplexa samband där olika men i många fall lika viktiga krav ställs på olika delar för att helheten ska fungera. För att ta ett exempel från verkligheten så är det i en kommunal verksamhet meningslöst att försöka peka ut vad som skulle vara ”guldägg”. I den kommunala äldreomsorgen bör det ställas mycket höga krav på tillgänglighet i trygghetslarmen, lika höga krav på riktighet och spårbarhet i journaldokumentationen och mycket höga krav på konfidentialitet i alla delar. För den ekonomiska redovisningen kommer peakar i tillgänglighetskraven vid vissa perioder under bokföringsåret. Jag kan fortsätta uppräkningen med att peka på PuL, algoritmer, webbplatser m.m., m.m. men det enda jag vill komma fram till är att jakten på ”guldägg” leder tanken och därmed kommunikationen helt fel. Andra vanliga påståenden på konferenser och i marknadsföring är att medarbetarna skulle vara det största problemet. I beg to differ. Detta påstående saknar belägg och den organisation som skulle se medarbetarna som den största risken tror jag får anledning att snabbt göra en förnyad riskanalys.

guldagg2

Den som tycker att ovanstående kan ses som bagateller behöver sannolikt mer övergripande argumentation om den problematiska kommunikationen. Låt oss se ett grundscenario som både gäller i den enskilda organisationen och på ett nationellt plan. Å ena sidan finns informationssäkerhetsexperterna som ser generella risker och som har organisatoriska och tekniska metoder för att reducera dessa risker (i alla fall hypotetiskt). Å andra sidan finns det organisationer för vilka informationen är en resurs för verksamhetens olika processer. Det är de senare som har den faktiska möjligheten och resurserna att genomföra informationssäkerhetsåtgärder. För att uppnå fungerande informationssäkerhet krävs insatser från båda parter. Enda sättet att skapa en sådan gynnsam situation är god kommunikation, den goda kommunikation som jag menar ofta saknas. Resultatet blir alltför ofta att verksamhet och informationssäkerhet samexisterar som olja och vatten. Trots att det är verksamheten som har behov av informationssäkerhet för att kunna leverera talar informationssäkerhetsspecialisten för döva öron. Ett aktuellt exempel på hur det kan gå är när eHälsomyndigheten, som objektivt sett är en av de svenska organisationer som har mest behov av god informationssäkerhet, levererar två regeringsuppdrag om framtiden och överhuvudtaget inte analyserar behovet av just informationssäkerhet . Jag kommer återkomma till detta i ett senare inlägg.

Sammantaget är min erfarenhet som statlig tjänsteman som försökt förbättra informationssäkerheten inom e-förvaltning och e-hälsa att försöket mötts med en ganska avsevärd brist på förståelse från båda lägren. De som arbetar med informationssäkerhet nationellt har haft begränsat intresse av och insikt om behovet av informationssäkerhet i verksamheter som är utpräglat civila. De som arbetar med digitalisering i förvaltning och sjukvård har med två undantag sagt typ: ”jaja, det är säkert viktigt med säkerhet men det tar vi sedan när vi realiserat våra lösningar – säkerhet innebär ju bara en massa krångel som kan leda till att vi inte kan genomföra det vi vill.” Förutsättningen för kommunikationen är alltså en ömsesidig misstro som måste överbryggas.

Behovet av informationssäkerhet finns främst hos organisationerna själva även om det på aggregerad nivå naturligtvis i hög grad är ett samhällsintresse. Ansvaret för kommunikationen ligger dock på informationssäkerhetsspecialisterna eftersom organisationerna inte är medvetna om sitt behov. Här uppstår dock ett avgörande problem eftersom kommunikationen om informationssäkerheten som skapas i denna situation i de flesta fall är utbudsstyrd istället för behovsstyrd. Det är informationssäkerhetsspecialisterna som försöker sälja in sitt utbud av standardiserade synsätt och metoder till en verksamhet som har ett behov, ett behov som tyvärr formuleras på verksamhetens egna premisser. Detta gäller även det nationella planet där det är myndigheterna med ett utbud som fått styra strategier och handlingsplaner, inte de civila verksamheterna med behov. Och som alltid vid utbudsstyrning är det svårt att sätta nivån och inriktningen eftersom behovet inte är definierat – utmärkt situation för ett kommersiellt företag men knappast då man försöker styra med begränsade resurser.

Kommunikationen är en produkt av områdets kultur. Den blir därför alltför ofta inriktad på envägskommunikation, förutsätter att de man riktar sig till är okunniga (”hur ska vi få dem att förstå”) samt på lösningar som är helt omöjliga i praktiken (som att använda signalskyddslösningar i sjukvården). Den känslomässiga argumentationen kring attacker och antagonistiska hot lämnar mottagaren i ett rationellt limbo, kvar blir rädda människor underkastade olika auktoriteter. Den auktoritära kommunikationsformen är naturligtvis också ett resultat av vår bristande kunskap inom informationssäkerhetsområdet (se tidigare inlägg), om man är osäker ger man sig ogärna in i dialog och diskussion.  Inte så få av de ”kommunikationsplaner” jag sett har enbart innehållit aktiviteter där avsändaren förmedlat budskap men inga aktiviteter av inlyssnande.

Hur ska vi då förbättra vår kommunikation så att organisationerna drivs av en inre motivation och på så sätt får ett ständigt förbättrat informationssäkerhetsarbete? Jag tror det viktigaste förhållningssättet är att bestämma sig för en rollfördelning där informationssäkerhetsspecialisten (både i en enskild organisation och i form av myndigheter på nationell nivå) är en stödfunktion. Ytterst få organisationer har informationssäkerhet som sin kärnverksamhet. Informationssäkerheten tjänar istället syftet att organisationen ska kunna upprätthålla sitt uppdrag och sin leverans med tillräcklig kvalitet och utan störningar (i detta ligger naturligtvis även att kunna uppfylla externa krav). För att kunna ge stöd måste informationssäkerhetsspecialisten förstå verksamheten, den unika informationshanteringen och de unika behoven.  Helt enkelt förstå att en pågående dialog, ett ömsesidigt utbyte är nödvändigt i lika hög grad för den som ska stödja som den blir stödd.

Varför funkar det inte? Del 7

Under senare år har frågan om säkerhetskultur blivit alltmer aktuell. Att få medarbetare i en organisation att vara medvetna och motiverade i säkerhetsfrågor ses av allt fler som något som inte bara är ett komplement till den traditionella regelstyrningen.

Tidigare har jag skrivit om betydelsen av en profession inom informationssäkerhetsområdet. Även för en profession är det centralt att ha någon form av kultur som både skapar gemenskap inom gruppen men också bär upp de handlingar, synsätt och värderingar som gruppen förmedlar till utomstående. Kort sagt kan ett kollektivs kultur ge gruppen en enighet om mål och medel som inte bara beskrivs i standarder, strategier och andra dokument utan som ett socialt kitt och ett ethos. Kultur handlar i första rummet inte om beteenden utan om det som ligger bakom beteenden, som innebörder, förståelser, idéer, värden, trosföreställningar, prioriteringar och förgivettaganden. Kulturens betydelse finns belagd i en ganska ymnig forskning inom olika fält som jag inte här kommer att gå närmare in på utan bara som icke-expert nicka och säga: ja, detta verkar relevant även för oss som arbetar med informationssäkerhet.

Det kan verka flummigt men jag tror detta är en mer central fråga än vad det först kan tyckas eftersom den kulturella grunden kan peka ut vägen för gruppen långsiktigt. De kulturella värderingarna ger också underlaget för prioriteringar i det vardagliga arbetet.  Sist men inte minst är en grupps kultur kärnan i den kommunikation som sker med de utanför för gruppen, de kulturella budskapen som gruppen förmedlar överröstar i princip alltid själv sakinnehållet i kommunikationen. Eftersom jag ser kommunikation som det viktigaste verktyget i arbetet med informationssäkerhet blir därför kulturfrågan central.

kultur3

Vad är då våra gemensamma värderingar och vad leder de till för beteenden? Ingen har, såvitt jag vet, gjort en kulturanalys av aktiva inom säkerhetsområdet utan jag ska försöka uttolka de gemensamma tendenser jag tyckt mig se genom åren. Redan nu ber jag om ursäkt för de kategoriska och säkert missvisande beskrivningar som följer men jag har för närvarande enbart tillgång till mina egna erfarenheter (vilket i sig är en del av kulturen eftersom denna typ av diskussion aldrig förs).

En första reflektion är att den militär-polisiära bakgrunden fortfarande vilar tung över oss. Det tar sig många uttryck som i den metaforvärld som används där ”attacker”, ”hot” och ”antagonism” bara är några exempel. Detta skapar naturligtvis en speciell atmosfär men eftersom det inte bara är så att tankar som styr ord utan i lika hög grad det omvända: att våra metaforer styr våra tankar kommer detta att påverka vårt agerande. Jag dristar mig till att säga att traditionella informationssäkerhetsmänniskor finner det betydligt enklare att fokusera på ”attacker” än att inrikta sig på de störningar i informationshanteringen som uppstår av andra orsaker som uppdateringsfel, buggar, bristande rutiner, ineffektivitet som gör att medarbetarna är mer eller mindre tvungna att bryta mot reglerna m.m. Vårt mindset är helt enkelt mer inriktat på attacker och det är också det vi kommunicerar exempelvis med ledningarna i de organisationer där vi verkar. Men denna kulturella värdering kan leda oss fel även i praktisk handling för om ENISA har rätt i sin rapport så är det inte antagonistiska hot som skapar flertalet störningar:

 

 

enisa

Även om alla säkert kan vara överens om att incidentrapportering är problematiskt som underlag för att bedöma vad som egentligen händer och i ännu högre grad om vilka hot som finns är ENISA:s redovisning intressant, särskilt som det väl för Sveriges del inte finns någon som är mer relevant. Om vi nu antar att ENISA:s uppgifter stämmer så är det stora problemet störningar i kommunikationen som leder till störningar i system. Malicious actions är däremot en mycket liten kategori. Flera rimliga frågor inställer sig som vad som orsakat störningarna i kommunikationen. En annan vanlig kommentar när den här typen av siffror redovisas är att det finns ett stort mörkertal när det gäller attacker m.m. Där är jag helt beredd att hålla med, vi ju är långt ifrån att ha en heltäckande redovisning av inträffade incidenter, men rimligen är mörkertalet lika stort eller större när det gäller icke-antagonistiska incidenter. Min poäng är i all enkelhet att den kulturella styrningen mot antagonistiska hot kan leda till felprioriteringar i informationssäkerhetsarbetet.

Att vara inriktad på antagonistiska hot är också belönande i så måtto att det enklare att få uppmärksamhet både från ledningar och media om man pratar om spännande hotbilder med antagonister än om frågeställningarna tangerar den vardagliga verksamhetsutvecklingen. I den nu rådande kulturen finns en påtaglig fara för att informationssäkerhetschefen medverkar till att ledningen beslutar om säkerhetsåtgärder som inte motsvarar den faktiska riskbilden. Och här gömmer sig kanske också ett kulturellt problem eftersom det finns två mål för säkerhetsarbetet; att avvärja hot respektive att stödja att informationshanteringen uppfyller verksamhetens krav på konfidentialitet, riktighet, spårbarhet och tillgänglighet. Det förstnämnda liknar mer än militär uppgift medan det andra är mer att jämföra med ett kvalitetsarbete och inbegriper en nära dialog med verksamheten. Om vi ska arbeta mer aktivt med kulturfrågan måste vi förtydliga vilken som är vår gemensamma målbild och också vår roll.

För att skissa vidare på den kultur jag uppfattar finns i vårt sammanhang så ser jag också ett auktoritärt drag. Detta drag har förmodligen samma militär-polisiära bakgrund som det tidigare men kanske det svaga kunskapsunderlag vi ofta har för det vi föreslår också spelar in. Exempel på vad jag menar med det auktoritära draget är att jag tycker att det finns en övertro på regler och compliance jämfört med andra typer av styrning som mer bygger på diskussion och tvåvägskommunikation. Jag uppfattar också att kultur och former för diskussioner som alltför litet öppna och ”akademiska”, kanske för att det inte forum som inbjuder till det. De forum som finns är i de flesta fall konferenser där ”heliga” sanningar presenteras utan återkoppling. Denna attityd förstärks genom att informationssäkerhetsspecialistens legitimitet oftare hämtas i externa krav som lagstiftning eller standarden än verksamhetens egna behov.

Det finns också dragning mot hemlighetsfullhet. Detta kan härledas till när säkerhetsarbetet i första hand var inriktat på att skydda rikets säkerhet men kanske också till att vi har svårt att rationellt argumentera för olika åtgärder. Det kan då vara enklare att antyda att det finns hot som tyvärr inte kan yppas än att tydligt redogöra för olika risker och låta ledningen eller verksamheten avgöra vad som är nödvändiga åtgärder. Detta är en bräcklig position som jag också tror skapar osäkerhet hos många i branschen. Jag uppfattar inställningen som felriktad därför att betoningen på det hemliga, förutom att göra de flesta samtal till återvändsgränder, också gör att andra lika viktiga frågor kommer helt i bakgrunden. I myndigheter finns till exempel kravet på öppenhet i offentlighetsprincipen som ställer stora krav på riktighet och spårbarhet i de offentliga informationsflödena. Informationssäkerhetsspecialisten har, i min mening, ett lika tungt uppdrag i att medverka till detta som att skydda mot obehörig åtkomst.

Detta är ett exempel på statusbalansen i kulturen, sekretess har högre status än öppenhet, men det finns även andra statusförhållanden som kan diskuteras. Ett sådant är förhållandet mellan teknik och organisation som ofta omnämns som ”hårda” respektive ”mjuka” frågor. Man behöver inte ha läst genusvetenskap för att tolka att den egentliga innebörden är att de hårda, manliga frågorna är aningen viktigare än de mjuka, kvinnliga. Så är det i det övriga samhället och det finns inga skäl att tro att det set annorlunda ut inom informationssäkerhetsområdet. I praktiken leder denna inställning ofta till en överbetoning av tekniska lösningar framför organisatoriska och också till ett ofta väl teknokratiskt förhållningssätt även i organisatoriska åtgärderna. Det blir litet märkligt i kombination med standardens tydliga organisatoriska inriktning men det är en dissonans som har accepterats.

Slutligen är en annan viktig aspekt av kulturen den tydliga mansdominansen. Jag ser det som ett svaghetstecken för en yrkeskår när det måste skapas särskilda forum för kvinnor vilket nu skett på flera håll. Kanske känns det nödvändigt för att kunna leva vidare i den auktoritära och teknokratiska kultur som jag frammanat ovan. Jag skulle dock hellre se att vi gick vidare och försökte utveckla en mer ändamålsenlig kultur för de uppgifter vi har att lösa och där alla kan delta i ett gemensamt samtal på lika villkor.