Hela eller halva lagen?

En grundsten i allt systematiskt informationssäkerhetsarbete är att kartlägga de interna behoven och de externa kraven som ska inrikta hur informationssäkerheten ska utformas i organisationen. Som externa krav brukar lagstiftning och villkor i avtal räknas upp. Inget konstigt i det om det inte vore för den något selektiva tolkningen av vilken lagstiftning som är relevant för informationssäkerheten.

De legala krav som informationssäkerheten traditionellt har intresserat sig för, utifrån den militär-polisiära bakgrunden, är kraven på skydd mot obehörig åtkomst som fanns i sekretesslagen och säkerhetsskyddslagen. Annan lagstiftning som syftar till att begränsa åtkomst förekommer i de juridiska analyser som jag sett genomföras på myndigheter och i företag även om, som jag tidigare hävdat, kopplingen mellan integritet och informationssäkerhet ofta är otillräcklig.

Däremot är det sällan som informationssäkerhetsarbetet tar hänsyn till den andra centrala aspekten som myndigheter har att tillgodose i sin informationshantering – öppenheten. I Sverige är det till och med så att öppenhet är defaultläget; alla allmänna handlingar är offentliga såvida inte det finns krav i sekretesslagstiftning på motsatsen. Detta förhållande är unikt för Sverige och Finland, i andra länder gäller det omvända. När vi i år firar 250 årsjubileet av den svenska tryckfrihetsförordningen där offentlighetsprincipen är en viktig del förtjänar detta att uppmärksammas även inom informationssäkerhetsområdet. Kanske bör vi se ändringen från den tidigare sekretesslagen till den nuvarande offentlighets- och sekretesslagen 2009 som en uppmaning att också utveckla informationssäkerhetsområdet.

En viktig utgångspunkt är en gemensam förståelse av att sekretessbelägga information innebär en begränsning av grundlagsfästa medborgerliga rättigheter eller som det uttrycks i OSL:s portalparagraf:

Bestämmelserna innebär begränsningar i yttrandefriheten enligt regeringsformen, begränsningar i den rätt att ta del av allmänna handlingar som följer av tryckfrihetsförordningen samt, i vissa särskilt angivna fall, även begränsningar i den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Den enda rimliga tolkningen som yrkesutövare är att vi måste vara mycket varsamma och välgrundade då vi begränsar åtkomsten till information så att vi inte inskränker medborgerliga rättigheter. Informationssäkerhetens uppdrag i offentlig verksamhet är inte att ängsligt sekretessbelägga så mycket information som möjligt utan att erbjuda stöd för att göra så väl avvägda bedömningar som möjligt.

Den andra slutsatsen som jag menar att vi bör dra är att vi har en minst lika viktig uppgift i att säkerställa att allmän och offentlig information hålls tillgänglig som att skydda det som faller under sekretess mot obehörig åtkomst. Informationssäkerhetsarbetet har fyra mål: konfidentialitet, riktighet, spårbarhet och tillgänglighet. De åtgärder som vidtas för att upprätthålla riktighet, spårbarhet och tillgänglighet är de som behövs för att kunna tillhandahålla myndigheters information så att offentlighetsprincipens andemening förverkligas.

Jag kan ana invändningar mot det här resonemanget. Till exempel tror jag några skulle hävda att konsekvenserna av att inte kunna skydda mot obehörig åtkomst är allvarligare än att inte kunna upprätthålla en god offentlighetsstruktur. Själv menar jag att vi måste kunna göra båda sakerna med samma engagemang. Vi måste både sträva efter att ge ett så bra skydd som möjligt för det som kan skada den enskilde eller riket och att ge stöd för en så omfattande öppenhet som möjligt. I dagens situation med flykt från fakta och där lögner avsiktligt eller oavsiktligt sprids med förödande följder är tillgången till korrekt och spårbar information hos offentliga institutionerna oumbärlig för det demokratiska samhället. Offentlighetsprincipen är ett mäktigt motgift mot desinformation och informationssäkerhet är ett avgörande stöd för att kunna upprätthålla den!

Vilse på digitaliseringens hav (2)

 

Via nätet tassar jag virtuellt omkring och försöker förstå vad som händer i digitaliseringsfrågan bakom departementens dörrar. Jag ber redan nu om ursäkt om jag misstolkat något – det är inte alldeles enkelt att få en överblick.

Jag börjar med att regeringen tillsatt en utredning för att:

kartlägga och analysera i vilken utsträckning det förekommer lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga förvaltningen.

vilket innebär ställer man sig återigen inför uppgiften att försöka få ihop delarna på ett konstruktivt sätt. Jag måste dock medge att att formuleringen ”lagstiftning som i onödan försvårar” får mig att hoppa om inte högt så åtminstone medelhögt. Synsättet på lagstiftningens roll känns inte genuint respektfullt om man säger så. Mer glädjande är att utredaren ska ta hänsyn till bland annat regeringens kommande strategi om informations- och cybersäkerhet innan man redovisar sitt uppdrag i mars 2018.

Utredningen kan ses som en pendang till den utredning som tillsattes i maj med uppdrag att:

analysera och ge förslag till effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster.

Utredaren ska enligt samma uppdrag, med utgångspunkt i de nationella digitala tjänsterna Mina meddelanden och Svensk e-legitimation, analysera tjänsterna och lämna förslag till utformning av:

– organisering och ansvarsfördelning för de nationella digitala tjänsterna,

– åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och

– samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna.

Den senare utredningen har redan fått ett tilläggsuppdrag för att analysera om det vore bra att skapa en ny myndighet för att stärka digitaliseringen. Uppdraget inklusive eventuellt förslag om nya myndighetskonstruktioner ska redovisas i mars 2017(!).

Och det är här jag börjar fundera över hur regeringen ska få ihop digitalisering och informationssäkerhet. Nu finns ju ett utmärkt tillfälle att lyckas och det vore, tror jag, fatalt om detta tillfälle inte tas.

Låt mig understryka att jag tycker det är väldigt bra att regeringen visar handlingskraft i digitaliseringen och att en ny myndighet mycket väl kan vara vägen framåt. Men jag ställer mig tveksam till tidsschemat och till samordningen av de olika utredningarna. Min personliga riskanalys tyder på att risken att informationssäkerhet och integritet inte kommer att få den tyngd som är nödvändig för ett långsiktigt bra resultat är överhängande.

Vi har alltså en utredning som ska bedöma de rättsliga förutsättningarna för digital samverkan som ska redovisa i mars 2018 medan en annan utredning ett år före de rättsliga förutsättningarna är klarlagda ska komma med färdiga organisatoriska förslag. Till ytter mera visso ska utredningen om de rättsliga förutsättningarna ta hänsyn till en strategi alternativt flera strategier som ännu inte finns i sinnevärlden men som ska hantera följande:

Det förändrade omvärldsläget gör att samhällets behov av informations- och cybersäkerhet har ökat påtagligt. Digitaliseringen i samhället har bl.a. inneburit nya former av kommunikation, datahantering och datalagring, vilket medfört nya risker och sårbarheter. För att den digitala utvecklingen ska kunna fortsätta på ett säkert sätt behöver alla aktörer, såväl privata som offentliga, mer aktivt arbeta med informations och cybersäkerhet. Regeringen avser därför att utarbeta en nationell strategi som omhändertar olika perspektiv för att kunna identifiera och möta utmaningar mot samhällets informations- och cybersäkerhet. Det är också av central betydelse att genomföra EU-direktivet om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem (NIS-direktivet). Direktivet innebär bl.a. högre krav på enskilda aktörer som bedriver samhällsviktig verksamhet och som är beroende av informationssystem. Direktivet innehåller också skyldigheter för varje medlemsstat att anta en nationell strategi för ökad säkerhet i nätverk och informationssystem.

Exakt hur strategin/strategierna ska tas fram och vad de ska innehålla är för mig litet oklart eftersom den enda mer officiella beskrivningen jag hittat finns i budgetpropositionen. Men strategin/strategierna ska alltså, så vitt jag förstår, ta ut riktningen i allt från höjd beredskap till den effektivitetsinriktade vardagliga digitaliseringen, från kommunikationsinfrastuktur till ”informationssystem”. Som sagt en omfattande uppgift som påtagligt rör åtminstone fyra departement. Däremot omnämns inte den kanske mest påtagliga kravställaren på informationssäkerhetsåtgärder i närtid; dataskyddsförordningen. Med risk för att upprepa mig så sker detta samtidigt som Integritetskommittén lagt fram ett delbetänkande som borde föranleda en stark oro även hos regeringen angående de brister som uppdagats i olika sektorer då det gäller hanteringen av personuppgifter.

I det här sammanhanget är det mest anmärkningsvärda med strategin/strategierna som tycks vara i det allra första fasen av sin tillblivelse ändå ska tjäna som underlag för ett förslag som ska läggas fram om drygt ett år. Och om strategin är på samma nivå som strategier av denna typ plägar vara – ger den verkligen utredningen rätt underlag för frågeställningarna? Är det inte mer konkretiserade inriktningar som skulle behövas, d.v.s. strategins uttolkning?

Och så har vi ju förslaget till ny säkerhetsskyddslag som ligger och lurar i vassen…

Om vi dessutom plussar på med att regeringen trycker på i den näringslivsstödjande inriktningen Öppna data så är mångfalden av delvis disparata krav som ställs på den offentliga informationshanteringen överväldigande.

Som betraktare utanför departementen förfaller behovet av en samordnad plan lika överväldigande. En alternativ turordning till ovanstående skulle vara att göra en inledande utredning med uppdrag att redovisa en sammantagen bild av förutsättningarna för digitaliseringen innan man utreder hur den ska organiseras nationellt. I förutsättningar räknar jag då in kraven på informationssäkerhet i olika riktningar, t.ex. cybersäkerhet men i lika hög grad som stöd för att skydda den personligheten enligt dataskyddsförordningen eller för att ge informationen den riktighet och spårbarhet som krävs för öppna data. För att det här ska fungera skulle det vara lämpligt att regeringen inte bara initierade en utredning för att kartlägga de rättsliga förutsättningarna. Även en som kartlade och analyserade behovet av informationssäkerhet för att stödja digitaliseringen skulle behövas som underlag för en informations- och cybersäkerhetsstrategi.

Man kan ställa sig den berättigade frågan om det egentligen är så intressant hur departementen organiserar sitt inre liv. Just i det här fallet tycker jag det eftersom resultatet av vedermödorna ”drabbar” myndigheter, kommuner och landsting. En brist på samordning inom departementen leder till bristande samordning och svårigheter att prioritera hos de redan hårt pressade objekten för styrning. Kommunen säkerhetssamordnare får därmed i skarp drift försöka reda ut den samordning som departementen misslyckats med. Ökade kostnader, ineffektivitet och sämre säkerhet är en ganska realistisk konsekvens.

Digitalisering förknippas ju ofta med innovation och nytänkande. Den, i mitt tycke, fragmentiserade utredningsordningen riskerar leda till att större sammanhang inte upptäcks och att den nyorientering i organisationsfrågor som skulle behövas nog inte kommer att ske. Jag har till exempel tidigare efterlyst att informationssäkerhetsarbetet mer ska drivas av de aktörer som har ett verksamhetsbehov av god säkerhet. Det skulle bland annat vara de stora tillhandahållarna av digitaliserade tjänster liksom de som tillhandahåller e-hälsa som behöver ta krafttag om de ska infria dataskyddsförordningen, OECD:s inriktning m.m. En tänkbar lösning skulle vara att lyfta över samordningen av det informationssäkerhetsarbete som inte gäller civilt försvar till en ny digitaliseringsmyndighet. Då skulle en organisatorisk samordning uppstå på nationell nivå som skulle förenkla för kommunen som ska försöka styra sin informationshantering så att den både är effektiv och säker.