Jag tar en för laget och läser ytterligare en utredning om digitalisering

Man tror ju nästan inte det är möjligt att utreda digitalisering ytterligare en gång men det får man ändå ge regeringen – att sätta fart på utredandet, det kan den! Nu har den emotsedda utredningen om en ”ny” digitaliseringsmyndighet presenterats, med det litet sekelskiftesdoftande namnet SOU 2017:23 digitalforvaltning.nu.

Spoilervarning eller service till er som inte vill läsa längre än hit:

  • Utredningen tycker att regeringen ska ta litet mer ansvar och ta fram en plan för digitaliseringen, tydliggöra ansvarsförhållanden, ställa krav på uppföljning m.m., m.m.
  • Man föreslår att antingen ska Esam plus litet annat flytta till ESV och utgöra en myndighetsfunktion för digitalisering. Tjänsterna Mina meddelanden och e-legitimation ska förvaltas av myndigheten. Alternativt kan en helt ny myndighet bildas för detta ändamål.
  • Man promotar Mina meddelanden och säger att det krävs en ny förordning för att bland annat reglera personuppgiftsansvaret i tjänsten
  • Och  trycker på att ”informationssäkerhet och integritetsskydd beaktas i varje skede av arbetet med att bygga ut den digitala förvaltningen”

Först vill jag ge utredningen en eloge för den 40-sidiga historik som ingår. En randanmärkning är att historieskrivningen skulle blivit ännu intressantare om den även inkluderat en teoretisk diskussion i ett förvaltningshistoriskt perspektiv. Det skulle ge digitaliseringen den kontext som så ofta saknas. Det har dock inte varit utredningens uppdrag att anlägga en mer djuplodande syn på digitaliseringens roll i samhället och i förvaltning. Istället har regeringen velat ha en analys av och förslag till:

effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster.

Mer konkret handlar det om att ge förslag på hur staten skapa en organisation och ansvarsfördelning för nationella tjänster som Mina meddelanden och Svensk e-legitimation. Dessa två tjänster har ju inte riktigt levererat enligt regeringens ambition och ytterligare ett uppdrag för utredningen har varit att föreslå

åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna.

I övrigt är det välbekant stoff där uppgifter som i princip har funnits sedan tiden för 24-timmarsmyndigheten flyttas omkring litet i myndighetsstrukturen.

Utredningen börjar i moll. Sverige har halkar efter i digitaliseringen trots att regeringar oavsett färg sedan länge hävdat att vi ska vara bäst. I parentes sagt har jag aldrig förstått varför strävan är att vara bäst istället för att vara tillräckligt bra men det kanske bara är trist och pragmatisk jante-inställning. Utredningen söker den främsta orsaken till det icke-fördelaktiga läget i att staten under lång tid valt en decentraliserad ansvarsmodell för digitaliseringen. Hypotesen framförs med hänvisning till det stora antal utredningar från andra myndigheter (Riksrevisionen, E-delegationen, ESV och Digitaliseringskommissionen) som alla pekat på samma sak. En reflektion under läsningen är att myndigheterna visserligen enigt pekat på fenomenet men därefter lämnat helt olika svar på lösning. E-delegationen föreslår t.ex. någon slags mjuk samordningslösning som ska leda till ökad samordning medan Digitaliseringskommissionen istället föreslår en ny myndighet. Det är inte alldeles lätt att vara regering och inom ett drygt år få två helt olika förslag på lösningar från sina utredningar…

Avsnittet om organisation är begripligt vilket är något mer än vad som kan sägas om avsnittet En nationell digital infrastruktur. Det inleds med utredningens bedömning

Politiken för digital förvaltning bör utformas mot bakgrund av dess roll i den nationella digitala infrastrukturen.

Jag läser meningen om och om igen och förstår absolut ingenting. Är det politiken som bör utformas med bakgrund av dess roll i den nationella digitala infrastrukturen? Eller är det den digitala förvaltningen? Vilken roll har i så fall i politiken alternativt den digitala förvaltningen i den nationella digitala infrastrukturen? Och vad är den nationella digitala infrastrukturen? Är det lösningar som staten kontrollerar, är det infrastruktur som används för nationella tjänster?  Utredaren tycks mena att infrastrukturfrågan inte nödvändigtvis behöver kräva några heltäckande statliga beslut utan att den liksom växer fram organiskt av offentliga och privata aktörer. Det hela mynnar ut i fler frågor och egentligen inga svar.

Det avsnitt som jag av naturliga skäl är mest intresserad av är det som handlar om informationssäkerhet, integritetsskydd och personuppgiftsansvar. Utredarens bedömningar är idag att betrakta som truismer; säkerhet måste integreras i digitaliseringen, kommuner och myndigheter behöver mera stöd för att göra det men myndigheter som har ansvar för att ge stöd i ovanstående frågor är inte koordinerade. Detta är kända sanningar sedan länge så det en ny utredning skulle kunna tillföra skulle vara att komma ett steg längre än att pliktskyldigt skriva att det är viktiga frågor och föreslå vad som ska göras för att förbättra situationen.

Och det här jag återigen stöter på ett generellt problem med dagens utredningsväsende. Min referensram är tyvärr härliga utredningsinsatser som t.ex. Emigrationsutredningen 1907-1913 under Gustaf Sundbärg. Utredningen genomfördes av tidens främsta forskare på området, ny kunskap skapades och regeringen fick dessutom ett mycket kvalificerat beslutsunderlag. Dagens utredningar verkar alltför ofta bara innebära ett legitimerande av ett beslut som redan ligger och väntar. Teori, analys och vetenskaplig kompetens är inte särskilt efterfrågat. Istället hamnar utredningarna i det som jag inledningsvis gav en eloge; en sammanställning av redan publicerade källor. ”Kompilation” skulle läraren på den forskarutbildning jag påbörjade men aldrig avslutade morra innan han gav ett underkänt betyg hänvisande till det mest nesliga felsteget i skrivandet näst det rena fusket. Nu ska jag inte vara alltför njugg, utanför säkerhetsområdet finns det resonemang om hur offentligt finansierade aktörer kan betraktas som tillför ny kunskap men det känns mer som undantag. Jag har också förståelse för att utredningen med den korta tid (sedan i slutet av november 2016) som stått till förfogande knappast kan göra några djupdykningar. Frågan blir då varför man väljer att tillsätta en utredning och inte helt enkelt låta tjänstemännen på RK ta fram ett beslutsunderlag i den riktning som regeringen tänkt sig besluta. Elakt tänker jag att kanske statliga utredare om digitalisering är en av de yrkesgrupper som kan vara ersättas med robotar eftersom de ständigt kompilerar litet till utan att tillföra någon ny analys.  Vilket omedelbart slå tillbaka på mig själv för självklart skulle mitt itererade gnäll på statliga utredningar om digitalisering precis lika lätt kunna göras av en robot.

I avsnittet om informationssäkerhet, integritetsskydd och personuppgiftsansvar kompileras det sida upp och sida ner från MSB, PTS och Datainspektionens webbplatser och föreskrifter samt från Riksrevisionens rapporter, tidigare SOU:er o.s.v..  Ingen ny kunskap och ingen analys men utredningen försäkrar som så många utredningar före den att informationssäkerhet och integritet är superviktiga förutsättningar för digitalisering. Författningsförslaget gällande den nya myndigheten ser ut så här:

11 § Myndigheten ska samverka med Datainspektionen, Myndigheten för samhällsskydd och beredskap samt Post- och telestyrelsen i frågor om digitalisering av förvaltningen, personlig integritet och informationssäkerhet.

Det är ju ett förslag som är svårt att undvika att uppfylla…

Jag uppfattar detta som det svagaste partiet i utredningen eftersom det saknar riktning, nytänkande och konkreta förslag. Pliktskyldigt refererande skjuter ingen hare. Det intressanta är när utredningen själv diskuterar s.k. eget utrymme (liksom även Mina meddelanden för den delen), vilket är en fråga med många säkerhetsdimensioner finns inte tillstymmelse till riskanalys eller diskussion om säkerhetsaspekter. Detta skildrar i ett nötskal hur informationssäkerhet och integritet hanteras i förhållande till digitalisering; välmenande omnämnande men ingen praktik.

 

 

 

Och så var det riskhanteringen

Föga originellt anser jag att grundprincipen för informationssäkerhetsarbete är att det ska vara riskbaserat. Skälen till detta är många. Det starkaste är att det inte går att vidta rätt säkerhetsåtgärder om man inte vet vilka risker de avser att reducera. Utan kopplingen till risk blir säkerhetsarbetet ett självändamål vilket jag bedömer som en av de största riskerna (!) för ett effektivt säkerhetsarbete. Konsekvensen, vilket jag alltför ofta sett i praktiken, är att en organisation visserligen kan investera stora resurser i säkerhetsåtgärder men att investeringen inte alls ger en säkerhetshöjande effekt som motsvarar investeringen.

I ledningens styrning av informationssäkerheten i den egna organisationen måste riskägaren, d.v.s. ledningen, också ha den faktiska möjligheten bedöma vilka risker som är acceptabla respektive oacceptabla sett i relation till verksamhetsnyttan. Detta är grunden för ett fungerande ledningssystem.

Det finns också starka skäl till att styrningen av informationssäkerheten bör förflyttas så att tyngdpunkten ligger mer på risk än compliance. Compliance är per definition bakåtblickande – vi kan i huvudsak reglera det vi känner till – vilket inte är det mest ändamålsenliga i en starkt föränderlig situation (jag ska inte här gå in på att risk kan byggas in som ett element i en reglering utan förenklar starkt).

Organisationens övergripande riskanalys har också ett starkt samband med kontinuitets- och incidenthantering. Kontinuitetshantering innebär en prioritering av resurser, för att göra den prioriteringen måste det vara klart vilka konsekvenser som kan uppstå i verksamheten om olika delar av informationshanteringen inte fungerar. För att bedöma kunna bedöma olika incidenters grad av allvarlighet gäller samma sak, att en riskanalys är gjord som underlag för ledningens prioriteringar. Inträffade incidenter är också ett viktigt inflöde för riskhanteringen.

Vid sidan om de stora organisationsövergripande riskanalyserna består det dagliga arbetet för en informationssäkerhetsansvarig i inte oväsentlig omfattning att vara metodstöd för riskanalyser.  Riskanalyser vid utveckling, upphandling, organisationsförändringar och ett antal andra tillfällen. Informationsklassning bör ses som en form av riskanalys och båda momenten kan med fördel göras samtidigt med samma normskala.

Trots riskhanteringens centrala betydelse finns det ett antal svårigheter när man vill leva som man lär och ha ett riskbaserat informationssäkerhetsarbete. Tyvärr är min erfarenhet att stödet från ISO 27005 inte ger den praktiskt arbetande särskilt mycket. Istället måste man hantera de organisatoriska förutsättningarna i den egna verksamheten, enkelt sagt men inte utan problem i praktiken. För att illustrera detta ska jag ta upp ett par exempel på förutsättningar för riskhanteringen ur informationssäkerhetssynpunkt som är svåra att hitta ett entydigt förhållningssätt till.

En första förutsättning är att informationssäkerhetsrisker bara är en typ av risker som organisationer måste hantera. De flesta organisationer är idag skyldiga att på ett systematiskt sätt analysera och hantera vissa typer av risker. I en myndighet där jag försökte få en överblick slutade jag när jag hittat nio formella krav på riskanalyser, allt från MSB:s krav på risk- och sårbarhetsanalyser till riskanalyser ur försäkringssynpunkt. Därtill kommer inte sällan kravet på att göra en säkerhetsanalys. Detta är inte unikt för myndighetsvärlden, många privata verksamheter är underställda formella krav men har också anslutit sig till branschregelverk där riskanalyser ingår. Riskanalyserna kan vara på organisationsövergripande nivå eller på delar av organisationen, gemensamt är dock att de saknar en gemensam metod för att genomföra analysen. Det kan vara komplexa kontrollsystem som COSO eller enklare metoder som ligger som grund för de analyser som ska göras. Den informationssäkerhetsansvariga har då alternativen att antingen försöka integrera bedömningen av risker relaterade till informationssäkerhet i befintliga analyser eller lägga ytterligare en analys till de övriga.

En annan aspekt är att ett fungerande säkerhetsarbete kräver riskanalyser på ett antal nivåer. Den mest begränsade riskanalys jag gjort var på en kartotekslåda med patientuppgifter för tjugo år sedan, den mest omfattande har rört nationella förhållande. I en organisation bör det finnas ett flöde så att risker på lägre nivåer aggregeras och tillsammans ger underlag för den övergripande riskbilden. De organisationer som lever efter ISO 27000 har sannolikt även beslutat att ledningen regelbundet ska få en rapportering av riskläget. Det finns även en nedåtrörelse där ledningens riskvärdering ska distribueras i organisationen och influera bedömningarna av risker på lägre nivå.  För att det ska fungera på ett smidigt sätt är en gemensam metod en klar fördel.

Vi står alltså inför valet av horisontell eller vertikal integration; ska det finnas en gemensam metod för alla typer av riskhantering i organisationen? Eller är det enklare att försöka få till en fungerande metod för riskhantering ur informationssäkerhetssynpunkt som tillämpas på alla nivåer i organisationen? Svaret är inte givet utan måste bedömas efter noggrann analys i varje organisation.

När jag skrivit detta har jag bara skrapat tunt, tunt på ytan av allt det som finns att diskutera om riskhantering. Den som har metoder, erfarenheter eller synpunkter på ämnet får gärna höra av sig så sammanställer jag och förmedlar det här på bloggen. Inkommer ingenting finns det stor risk att jag återkommer och fortsätter att skriva om mina egna erfarenheter i frågan.