Informationssäkerhetens paradigm

På svenska är ”säkerhet” ett begrepp medan på engelska finns både ”safety” och ”security”. Begreppen används i kunskapsområden relaterade till säkerhetsfrågor som till exempel inom trafiksäkerhet. I korthet innebär safety åtgärder för att motverka oavsiktliga fel, misstag, negativa avvikelser, produktfel o.s.v. medan security är skydd mot avsiktliga, antagonistiska hot.  Det är en avgörande skillnad mellan de risker som safety-åtgärder avser att reducera jämfört med security-relaterade risker. Information security är också ett område som traditionellt varit inriktat mot antagonistiska hot vilket i hög grad har övertagits av de svenska aktörerna inom informationssäkerhetsområdet.

Både på engelska och svenska är spåren från denna bakgrund mycket tydliga.  Jag har länge funderat över varför det rådande paradigmet inom informationssäkerhetsområdet fortfarande är så inriktat på antagonistiska hot. Det anspråkslösa empiriska material som finns kring vilken typ störningar i informationshanteringen som ger stor verksamhetspåverkan tyder ju snarare på att det stora problemet ligger i exempelvis bristande uppdateringar i it-lösningar. Om syftet med informationssäkerhetsarbetet är att reducera störningar som påverkar olika verksamheters möjlighet att upprätthålla sin leverans med acceptabel kvalitet så förefaller fokuseringen på antagonistiska hot kontraproduktiv. Trots att jag tror att de flesta som sysslat med informationssäkerhet vet att det förhåller sig på det här sättet, både när det gäller hotbilden och fokuseringen på antagonistiska hot, är det märkligt besvärligt att föra en diskussion om frågan. Orsaken till att det är svårt att diskutera frågan är att security-begreppet skapat en hegemoni som så starkt styr synsätt och de underliggande begreppen och därmed skapar ett paradigm där andra synsätt utesluts.

Att tala om paradigm i samband med informationssäkerhet kan ju tyckas både paradoxalt och onödigt teoretiserande. Paradoxalt eftersom jag tidigare hävdat att informationssäkerhetsområdet är anti-intellektuellt och paradigm kan ju tolkas som ett akademiskt genomarbetat teoribygge. Detta är dock en felsyn eftersom ett paradigm ofta helt eller i delar är ett omedvetet tolkningsmönster, integrerat i iakttagarens blick. Det är också det som gör det svårhanterligt, paradigmet ligger som ett filter över verkligheten och gör att endast det som går att passa in i tolkningsmönstret slipper in. En situation som gjorde mig brydd och som kan illustrera paradigmets kraft var när jag deltog i ett arbete på en myndighet som förutsatte att vi kunde nå fram till en definition av vad en incident är.

Med min bakgrund i verksamhetsnära informationssäkerhet var det uppenbart att begreppet incident som måste innefatta alla typer av händelser i informationshanteringen som leder till störningar i verksamheten. Eftersom både it, informationshantering och informationssäkerhet har sitt existensberättigande som stödfunktioner för kärnverksamhetens processer så är grundorsaken till en störning för verksamheten irrelevant, antagonistisk eller inte. Detta synsätt delades dock inte alls av deltagaren som skulle tillföra ett it-säkerhetsperspektiv. Hen hävdade outtröttligt att endast händelser med ett antagonistiskt ursprung kan innefattas i begreppet incidenter. Buggar, uppdateringsfel och brister i rutiner, oavsett hur dramatiska effekter på verksamheten de får, är inte incidenter enligt detta synsätt. Varje möte i vår arbetsgrupp strandade på denna fråga. När jag försökte framföra att denna definition av begreppet, bortsett från allt annat, även skulle leda till stora praktiska problem eftersom det ibland kan ta dygn eller ännu längre innan det går att hitta orsaken till en störning. Ska de då räknas som incidenter och hanteras enligt fastställd incidentrutin eller inte? Och ska en organisation ha två olika rutiner för ”negativa händelser” i informationshanteringen beroende på dess upphov trots att verksamhetspåverkan är exakt den samma? Jag kan nu se orsaken till att vi inte kunde kommunicera på ett konstruktivt sätt i denna viktiga fråga var security-paradigmet så skymde sikten att de verkliga frågeställningarna försvann.

Att det skulle vara onödigt teoretiskt att tala om paradigm är kanske ett allvarligare felslut eftersom det är just den medvetna eller omedvetna teorin som stödjer oss i att hantera de högst praktiska frågor som leder till en bättre informationssäkerhet. Jag tänker ganska ofta på en organisation i flygbranschen där jag var konsult under några månader och intervjuade ett stort antal personer. Det slående var att alla som var oinvigda i informationssäkerhetens mysterier men väl insatta i trafik och kommunikation frågade om jag avsåg security eller safety när jag pratade om informationssäkerhet. För dem var distinktionen självklar och funktionell; att ha säkerhetskontroller på flygplatser för att förhindra terrorister är en viktig uppgift men minst lika viktigt är att ta bort isen från flygplansvingar så att planet fungerar på bästa sätt. Som passagerare är jag ytterst tacksam för den vikt som läggs vid safety-frågor som sannolikt har större betydelse för att så få trots allt blir skadade i trafiken generellt. Detta gäller inte bara flyget naturligtvis. Säkerhetsbältet i bilen skyddar mig inte mot terrorister men sannolikheten för att råka ut för en oavsiktlig trafikolycka bedömer jag som betydligt större och säkerhetsbältets påverkan på dödade och skadade i trafiken kan knappast överskattas.

Jag vill därför förorda att vi börjar arbeta mot ett paradigmskifte där ”Information Safety” blir lika prioriterat som ”Information Security”. Det betyder att något överge krigsretoriken med ständiga antagonister, attacker och hot och mer inrikta sig på ett kvalitetsarbete i den gråa vardagen, att prioritera upp uppdateringar, rutiner, dokumentation, planering och utvärdering på ett systematiskt sätt. Att kunna upprätthålla två samtidiga perspektiv är nödvändigt om vi verkligen vill att viktiga verksamheter ska kunna upprätthållas med tillräcklig kvalitet.

Tema e-demokrati: Låt inte Öppna data skymma offentlighetsprincipen

Insynen i den offentliga verksamheten och tillgången till allmänna handlingar gynnar medborgarens individuella rättssäkerhet liksom medborgarens kontroll över de offentliga institutionernas funktion. Dessutom, vilket känns alltmer betydelsefullt, kan tillgången till allmänna handlingar göra att det offentliga samtalet har stöd i relevanta fakta och gemensam kunskap. Sammantaget finns det alltså alla skäl till att se den svenska offentlighetsprincipen, med den unika rätt den ger medborgarna till insyn, som en oskattbar tillgång för demokratiutveckling. Att offentlighetsprincipen helt handlar om informationshantering borde ha lett till att den ägnats stort intresse i e-demokratisammanhang.

Nu för ju visserligen e-demokrati i sig en tynande tillvaro i digitaliseringssatsningarna men det är ändå häpnadsväckande att offentlighetsprincipen snarare motverkas än utvecklas. Departement, myndigheter och kommuner verkar alltför ofta göra sitt bästa för att undvika att lämna ut även den information som helt uppenbart är allmän och offentlig. KU och JO kritiserar departement och myndigheter för deras förhalande och försvårande av utlämningsärenden, utan synbarlig effekt. Det har gått så långt att det t.o.m. startats tjänster för att ge stöd för den som vill begära ut allmänna handlingar hos trilskande myndigheter  Offentlighetsprincipen inskränks också genom allt fler krav på sekretess, inte minst uppges ofta säkerhetsaspekter vara skälet till önskan om sekretess.

2 kap Tryckfrihetsförordningen (TF) handlar om allmänhetens rätt att ta del av allmänna handlingar. Det är en rättighet som lagstiftaren inser inte är så lätt att komma i åtnjutande av om medborgaren inte känner till vilken information som hen har rätt att del av. Förvaltningslagen innehåller därför krav gällande serviceskyldighet, tillgänglighet och öppenhet som tillsamman brukar kallas god offentlighetstruktur. Det betyder att departementet/myndigheten/kommunen inte bara ska ta ställning till de begärande om utlämning av allmänna handlingar som medborgare lyckas formulera på fri hand. Man ska också orientera medborgaren om vilka handlingar som finns och rimligen hur de är relaterade till verksamheten. Det ska vara möjligt för medborgaren att få en överblick över myndighetens information och vilka handlingar som skulle vara lämpliga att begära ut om man är intresserad av en viss fråga. Detta gäller naturligtvis även för den insyn som den granskande journalistiken behöver.

För c.a. 15 år sedan gjorde jag ett test av 20 kommuner, 20 landsting och 20 myndigheter för att se hur väl de levde upp till kravet på god offentlighetsstruktur. Resultatet var nedslående. Visserligen hade några lagt ut sina diarier på sin webbplats men eftersom diariesystemen är utformade för registratorer var de oanvändbara som sökverktyg även för mig som  är specialist inom området. De kräver en förförståelse för organisationen som ingen utomstående har, till exempel vilken organisatorisk enhet som hanterar en viss fråga, vad ärendetypen kallas, vad dokumenttypen kallas o.s.v. Min slutsats var att den goda offentlighetsstrukturen var obefintlig. Vid en stickprovskontroll i dag är läget i princip oförändrat. Gå in på valfri myndighet, landsting, region eller kommun och testa, de flesta är i nivå med regeringen själva där man efter mycket letande på webbplatsen kan komma fram hit ett dokument som mycket översiktligt beskriver handlingar som kan finnas. De myndigheter som häromveckan uppmanade till bättre källkritik kan inte heller ses som några föredömen då gäller att erbjuda allmänheten möjligheter att ta del av de allmänna handlingar som skulle kunna utgöra motvikt till falska nyheter. Goda undantag kan finnas som när kommuner gör en ansträngning för att ge insyn i nämnders beslutshandlingar, i övrigt är det ett tämligen kompakt mörker.

Tanken att digitaliseringen kan vara ett kraftfullt redskap för att utöka medborgarens möjlighet till insyn som fanns på 1970-talet har dött någonstans på vägen. Ända in i slutet av nittiotalet förekom i it-kommissionens hägn flera goda ansatser där jag särskilt vill lyfta fram Peter Seipels beskrivning av hur offentlighetsprincipen kan tolkas på ett minimalistiskt respektive ett maximalistiskt sätt.

Man kan urskilja tre olika slag av handlingsoffentlighet: ärendeinsyn, verksamhetsinsyn och kunskapsinsyn. Den första kategorin ger endast möjligheter till insyn i handlingar hänförliga till ett bestämt ärende. Sökanden måste kunna identifiera ärendet i fråga och de begärda handlingarna måste ha ett klart samband med detta. Principen kan tolkas olika snävt: vad som är ett ärende kan t.ex. uppfattas på olika vis och sambandet mellan handling och ärende kan vara av mer eller mindre formell art. Den andra kategorin ger en mer omfattande insyn och förutsätter inte att begärda handlingar har anknytning till något visst av sökanden identifierat ärende. Den begränsas av sitt syfte att ge möjligheter till inblick i myndigheternas verksamhet. Begränsningen kan t.ex. i praktiken utformas som en ändamålsprövning inriktad på att utlämnandet måste vara nödvändigt för att ge möjlighet att bedöma rättsenligheten och lämpligheten av myndighetens åtgärder. Den tredje kategorin innebär i sin mest extrema form att myndigheternas hela informationsinnehav skall stå till allmänhetens fria förfogande och lämnas ut i begärda urval och former. Informationsinnehavet betraktas som en gemensam tillgång som alla i samhället har varit med om att bygga upp och därför också bör få tillgodogöra sig.

Det innebär inte att han bortser från de intressekonflikter som en mer omfattande insyn för med sig:

Att en enskild önskar viss insyn i en myndighets verksamhet är inte detsamma som att myndigheten är intresserad av att ge sådan insyn. Snarare uppstår det ofta konflikter mellan önskemål om insyn och önskemål om insynsbegränsning. Det ligger i offentlighetsprincipens natur att ge upphov till sådana konflikter. De gäller inte bara den enskilde informationssökaren kontra den ”drabbade” myndigheten utan generellt, på samhällsnivå. En vidsträckt öppenhet har sina fördelar men också sitt pris.

Jag uppmuntrar alla att läsa Seipel och reflektera över insynens för- och nackdelar. Insynen är den korrigerande kraften som, förutom att skapa ett bättre offentligt samtal och medvetna medborgare, motverkar korruption och maktmissbruk. Borde inte detta vara oerhört angelägna frågor idag?

Trots digitaliseringens möjligheter finns det få tecken på att de tagits tillvara när det gäller att förbättra insynen i myndigheters verksamheter eller i olika beslutsprocesser. Senare års utredningar och andra nationella insatser som E-delegationen, Digitaliseringskommissionen, eSam och regeringens Vision ägnar inget intresse åt hur insynen skulle kunna förbättras. Istället lever vi kvar i den petrifierade diarieföringen omgiven av brusande internet där medborgarens möjlighet till insyn ständigt minskar istället för ökar.

Denna negativa utveckling skyms av de entusiastiska insatser som görs under beteckningen Öppna data som ibland framställs som relaterad till demokratiska värden. Att Öppna data skulle stärka demokratin är dock tveksamt. EU:s PSI-direktiv som blivit Lag (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen  har som sitt syfte att:

att främja utvecklingen av en informationsmarknad genom att underlätta enskildas användning av handlingar som tillhandahålls av myndigheter.

Öppna data handlar alltså om näringspolitik och inte om demokrati. Även om jag inte på något sätt vill nedvärdera betydelsen av näringspolitik skulle det i denna tid av ganska vinglig demokratisk utveckling sitta bra med en rejäl satsning på offentlighetsprincipen. Ardalan Shekarabis tillitsreform borde inte enbart sträcka sig till tilliten inom myndigheterna utan även omfatta tilliten till myndigheterna. Förbättrad insyn är kanske det mest verkningsfulla medlet för att förbättra tilliten till förvaltningen. Det är också dags att styra bort från New Public Management även i detta avseende och låta myndigheter vara något mer än bara tjänsteleverantörer. Mitt förslag är att Shekarabi och Alice Bah Kuhnke slår sig ihop, lyfter blicken från Öppna data och gör en långsiktig satsning på offentlighetsprincipen som en del av digitaliseringen.