Information Security by Design

Under senare tid har jag liksom många andra ägnat mig åt dataskyddsförordningen och hur man ska förena den med det övriga informationssäkerhetsarbetet – en fråga som jag återkommer till i en senare blogg. Nu ska jag istället skriva om min nya förälskelse; privacy by design.

Privacy by design, inbyggt integritetsskydd, är ju ett av de krav som ställs i förordningen som träder i kraft i maj nästa år. Förmodligen är detta också ett av de krav som kommer att ställa störst krav på de personuppgiftsansvariga både organisatoriskt och tekniskt. Att inte samla in mer personuppgifter än nödvändigt, att se till att åtkomsten till dem är strikt, att skydda dem genom pseudonymisering eller liknande, att säkerställa att de inte används för något annat ändamål än det ursprungliga samt att gallra dem när de inte längre behövs är några aktiviteter som kommer att sätta hård press på många verksamheter. Inte minst inom hälso- och sjukvården kommer det att bli nödvändigt med omfattande åtgärder eftersom man där länge eftersatt integritetsaspekterna.

När jag började läsa in mig litet mer på privacy by design var det dock inte de konkreta åtgärderna som intresserade mig mest. Istället vad det de sju grundprinciper som formulerats av Information and Privacy Commissioner of Ontario på 1990-talet. De är:

  • Proactive not Reactive; Preventative not Remedial. Förebygga incidenter – inte enbart agera i efterhand.
  • Privacy as the Default Setting. Utgångsläget att personuppgifterna är skyddade. Inga extra åtgärder nödvändiga för användaren – alla standardinställningar skyddar integriteten.
  • Privacy Embedded into Design. Tekniker för att skydda personuppgifter ska vara integrerade i systemet redan från början –  inte läggas till i efterhand.
  • Full Functionality — Positive-Sum, not Zero-Sum. Skydd av personuppgifter inte en negativ aspekt för utvecklaren, inte förlust av funktionalitet – integritetsskydd kan skapa en win-win situation.
  • End-to-End Security — Full Lifecycle Protection. Skydd inbäddat i systemet innan personuppgifterna samlas och sedan i hela livscykeln.
  • Visibility and Transparency – Keep it. Användaren ska ha överblick och kunna kontrollera att hens personuppgifter behandlas på det sätt hen samtyckt till.
  • Respect for User Privacy – Keep it User-Centric. Individens intresse i centrum vid hantering av personuppgifter.

När jag tittar på principerna så tänker jag att samtliga skulle kunna vara tillämpliga i ett vidare perspektiv, som grunden för ett koncept för information security by design. Den sista skulle kunna bytas ut mot en princip som handlar om användaren, något i stil med:

Respekt för användaren – utforma processen/systemet/tjänsten så att användaren har överblick och kan agera med rätt säkerhet.

Det skulle till exempel kunna innebära att standardiserade skyddsnivåer finns inbyggda utifrån den informationsklassning som informationsägaren gjort. Självklart måste de organisatoriska aspekterna lyftas fram mycket tydligare, till exempel gällande ansvar.

Jag är medveten om att begreppet security by design redan finns och till och med i snabb tillväxt men är då endast i ett it-perspektiv – inte i ett informationssäkerhetsperspektiv.

Här finns mycket att arbeta vidare med. Det som slår mig är hur litet uppmärksamhet det proaktiva säkerhetsarbetet får för närvarande. Istället är det återkommande temat i bland annat dataskyddsförordningen och NIS-direktivet incidentrapportering. Och självklart är det de inträffade incidenterna som gör sig i media oavsett om det hackerattacker eller större driftstopp.  Kanske kan man också rent teknikhistoriskt se det som en mognadsprocess. När järnvägen introducerades runt mitten av 1800-talet var insamlandet av incidenterna också ett första steg i ett begynnande säkerhetsarbete.

Att det reaktiva säkerhetsarbetet kommer att dominera synfältet under det närmaste året med alla krav på och den stora tilltron till incidentrapportering är det nog ingen tvekan om, oavsett dess betydelse i förhållande till det proaktiva. Själv kan jag därför i trygg visshet om att denna aspekt kommer att bli väl omhändertagen fundera vidare på hur information security by design kan användas som ett organisatoriskt koncept.

I väntan på en strategi

Regeringen har utlovat en cybersäkerhetsstrategi till i maj. Vad jag kan se har den ännu inte dykt upp men är kanske i antågande. I väntan på detta passar jag på att skriva ner några förhoppningar på innehållet i strategin.

I det följande kommer jag att utgå från antagandet att strategin inte enbart kommer att handla om cybersäkerhet, detta oklara men uppenbart upphetsande begrepp, utan även om informationssäkerhet.

Frågan är vad statens intresse gällande cyber- och informationssäkerhet egentligen är, det vill säga vad en strategi bör avse att styra. NISU-utredningen som rörde sig i samma härad var  spretig i detta avseende och känns så här i efterhand som en önskelista från ett antal myndigheter utan en sammanhängande tanke kring samhällets behov. Därför är en första förhoppning att strategin dels har modet att inte vara alltför influerad av NISU, dels att man istället försöker utgå från konkreta behov på samhällsnivå. För att uttrycka det något klyschigt; mer ”pull” än ”push”, mer utifrån-och-in än inifrån-och-ut.

För mig  har staten ett vitt spektrum av intressen inom informationssäkerhetsområdet från cyberkrigföring till information riktad till enskilda om säkert agerande på nätet. Förhållningssättet måste av naturliga skäl skilja sig starkt inom spektrets olika delar. När det gäller försvar och säkerhetsskydd är lagstiftning och repressiva incitament kanske lämpliga styrmedel medan i andra delar är kunskapsstyrning både det rimliga och det effektiva sättet att förbättra säkerheten. Ett alternativ är att strategin endast omfattar de delar som rör rikets säkerhet och samhällsviktig verksamhet och skippar den informationssäkerhet som gör att samhället fungerar i normalläget.

En farhåga är dock att strategin endast kommer att beröra vissa typer av informationssäkerhetskrav och utesluta andra som till exempel de krav som emanerar ur dataskyddsförordningen. Det vore olyckligt eftersom jag tror det främsta behovet just nu är att sammanfoga en helhet av styrning där staten tar ansvar för att beskriva hur de enskilda organisationerna ska förhålla sig till bland annat civil beredskap, totalförsvar, samhällsviktig verksamhet och infrastruktur samt dataskydd. Till detta kommer visioner om digitalisering och öppenhet. Staten har en viktig uppgift i att förklara hur helheten ska se ut, något som såvitt jag vet ännu inte är gjort. Istället skjuts frågeställningen ner till den enskilda kommunen, myndigheten, landstinget eller företaget att lösa. Förbryllande signaler kommer i de många utredningarna som var och en tycks undersöka sitt eget slutna rum. Själv har jag ägnat omotiverat stort intresse för bilden i säkerhetsskyddsutredningen där säkerhetsskyddet tycks gälla för en fjärdedel (ja, jag har beräknat det) av all samhällets regleringar, av samhället eller av myndigheternas informationshantering eller av något annat odefinierat. Egentligen säger väl bilden bara att säkerhetsskyddslagen är en särskild lag och att det finns andra lagar och regler. Att det skulle vara en principskiss är kanske att dra det litet väl långt.

 

Självklart bör man inte tolka illustrationer på detta autistiska sätt men jag kan bara försvara mig med att det är den generella oklarheten som gör att jag tar varje halmstrå för att försöka förstå tanken hos utredarna. För mig själv har jag försökt rita upp sambandet mellan de olika styrsystemen som jag tror kanske kan se ut så här:

Till detta kommer NIS-direktivet och hur det ska införas i Sverige . Jag utgår från att direktivet främst ska tillämpas på den samhällsviktiga verksamheten eftersom det är vad som står i direktivet även om det även gäller bland annat vissa molntjänstleverantörer utan att dessa behöver vara samhällsviktiga:

De leverantörer av digitala tjänster som omfattas av direktivet är sådana som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster. Dessa leverantörer ska inte identifieras på det sätt som gäller för leverantörer av samhällsviktiga tjänster och omfattas av direktivet utan att någon bedömning ska göras av om de är samhällsviktiga eller inte.

Min bild, som jag inte skulle vilja slå vad om mer än chokladkaka om att den stämmer, bygger på förutsättningen att en verksamhet och/eller en informationshantering inte kan vara betydelsefull för rikets (Sveriges) säkerhet om den inte också är samhällsviktig men det kan den kanske? Och hur ser relationen mellan beredskap och säkerhetsskydd ut? Efter att ha närläst förslaget till ny säkerhetsskyddslag samt andra utredningar ser jag det som synnerligen angeläget att definiera vad som är av betydelse för rikets säkerhet respektive är samhällsviktigt. Glider dessa begrepp ihop påverkar det både demokratiaspekter och effektiviteten i samhället. Jag när en stark förhoppning om att strategin reder ut hur dessa olika säkerhetsområden förhåller sig till varandra eftersom det också verkar vara finnas ett internt behov inom regeringskansliet att göra det. Ett exempel på detta är den nya digitaliseringsstrategin som nämner ”samhällsviktig” endast en gång i förbifarten men däremot hänvisar till säkerhetsskyddslagen (!) och NIS-direktivet:

Ett löpande och systematiskt säkerhetsarbete ska göras för att identifiera och förebygga säkerhetsbrister samt hantera incidenter. Privata och offentliga verksamheter behöver utveckla medvetenheten om informations- och cybersäkerhet, t.ex. hur de kan skydda sina nätverk och informationssystem. Genomförandet av EU:s direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem i hela unionen ([EU] 2016/1148) och arbetet med en ny säkerhetsskyddslag kommer att spela stor roll.

Intrycket är att det är säkerhetsskyddslagen som ska utgöra den främsta styrfunktionen för informationssäkerheten i digitaliseringen vilket för mig ter sig som en föreställning med många negativa konsekvenser både för demokrati och effektivitet. Strategin har en viktig uppgift i att peka på hur informationssäkerheten i digitaliseringen främst måste styras via det systematiska och verksamhetsinriktade arbetet. Att både tjänster och kommunikationslösningar är samhällsviktiga är en helt annan sak än att säkerhetsskyddslagen ska tillämpas. En grundprincip för allt säkerhetsarbete bör vara att det inte bara gäller att införa så mycket säkerhet som möjligt – lika viktigt är att undvika att införa omotiverade säkerhetsåtgärder.

Kanske är digitaliseringsstrategins (i mitt tycke) missvisande inriktning ett resultat av att det är tämligen oklart hur den samhällsviktiga verksamhetens informationssystem ska skyddas. Visserligen finns krav på risk- och sårbarhetsanalyser och snart genom NIS-direktivet även på incidentrapportering men vilka metoder, tekniska lösningar m.m. som ska användas är ännu valfritt. Ja, t.o.m. vad som ska utgöra samhällsviktig verksamhet måste varje aktör själv bestämma i det system för krisberedskap som byggts upp i Sverige som bottom-up snarare än top- down. Söpple kommun måste själv avgöra vilken verksamhet som är samhällsviktig respektive av betydelse för rikets säkerhet samt, kvinnogissar jag, av betydelse för den civila beredskapen. En cyber- och informationssäkerhetsstrategi skulle kunna peka på att det vore ganska bra att ta ett något starkare top-down-grepp. I den allt mer komplexa informationsinfrastrukturen finns det all anledning för staten att med hela handen peka ut vilka tjänster och infrastrukturkomponenter som är samhällsviktiga. Ingen enskild aktör är sig själv nog och ingen enskild aktör kan längre se hur beroendekartan ser ut, särskilt inte som den vägledning som finns för detta skrevs för ett decennium sedan.  Ett konkret förslag är att den gamla ÖCB-rollen som MSB alltmer axlar också leder till att man agerar som ÖCB gjorde; talar om exakt vad som ska ses samhällsviktigt alternativt ingående i den civila beredskapen alternativt totalförsvaret och vad det föranleder för åtgärder.

En strategi ska ju peka ut vägen framåt. Jag tänker mig att den nationella cyber- och informationssäkerhetsstrategin ska spela litet av samma roll som en policy i en organisations ledningssystem. Det vill säga uttala en viljeinriktning samt beskriva ansvar och resurser för att förverkliga inriktningen. En modell för den centrala styrningen vore att SÄPO/Försvarsmakten har precis som idag har ansvar säkerhetsskydd medan MSB:s ansvar däremot avgränsas till kravställning utifrån civil beredskap och samhällsviktig verksamhet. ESV alternativt en ny digitaliseringsmyndighet skulle kunna överta uppdraget att stödja informationssäkerheten i normalläget samt för att kanalisera kraven från MSB, Dataskyddsmyndigheten (formerly known as Datainspektionen). Slutligen är ett alternativ att Konsumentverket tar en större roll i att stödja privatpersoner i en säkrare it-användning.

Jag hör redan invändningarna: så många aktörer, det blir rörigt, hur ska de samordna sig? Men detta är ju redan verkligheten. Det jag föreslår är att strategin ska skapa en tydligare nationell spelplan istället för att de många, i vissa fall disparata, kraven lämnas osorterat till de enskilda aktörerna, som till exempel Söpple kommun, att försöka reda ut. Förhoppningsvis skulle en organisatorisk form skapas för att avväga olika krav och intressen på ett enhetligt sätt istället för att 290 trötta kommunledningar var och en försöker gissa sig fram till vad som behöver göras (liksom dito myndighets-, regions-, landstings och företagsledningar). Vissa grundaktiviteter som incidenthantering måste stödja olika behov och rapporteringsvägar för att ta ytterligare ett bevis på den nationella samordningens nödvändighet.  Den naturliga konflikten mellan säkerhet å ena sidan och verksamhetsnytta å den andra skulle också kunna hanteras på ett öppet sätt. Jag ska inte tänja mer på tålamodet hos den eventuella läsare som hängt med ända hit genom att fortsätta räkna upp allt som pekar mot behovet av starkare samordning utan nöjer mig med en antydan om att jag har många exempel kvar i rockärmen.

Slutligen borde en strategi också gå in på hur kostnaderna för en bättre cyber- och informationssäkerhet ska fördelas. Detta är viktigt inte minst eftersom det finns ett stort antal privata aktörer som är delaktiga som utförare av för samhället viktig verksamhet. Den sangviniska hållning utredningen avseende ny säkerhetsskyddslag intar gällande kostnader i konsekvensbeskrivning är knappast hållbar:

Sammanfattningsvis har vi kommit fram till att våra förslag inte bör innebära annat än marginellt ökade kostnader vare sig för det allmänna eller för enskilda jämfört med nuvarande lagstiftning.

I ärlighetens namn tror jag att alla insatta vet att säkerhet kostar och ibland kostar rejält. Att för ett enskilt företag genomföra alla de potentiella åtgärder som ligger i förslaget till säkerhetsskyddslag har en prislapp och det hade varit hedervärt om utredaren tagit sitt ansvar och utrett det närmare. Det känns aningen mästrande när statliga utredare skriver:

Av kommersiella skäl finns det där starka incitament till en god informationssäkerhet. Vår bedömning är att det finns en stor vilja att i sådan verksamhet följa internationella standarder som t.ex. LIS. Detta sammantaget innebär att den förändring som vi föreslår träffar verksamheter där dessa tillkommande krav på informationssäkerheten redan bör vara omhändertagna.

Vad man bygger denna bedömning på är oklart.

Tillkommer gör kostnader för civil beredskap, samhällsviktig verksamhet, NIS och dataskyddsförordning. Sammantaget uppfattar jag detta som icke oväsentliga kostnader för den enskilda aktören. Visserligen kan man hävda att dålig säkerhet kostar minst lika mycket men genom att det är till stor del obligatoriska säkerhetsåtgärder som tillkommer kan inte längre Söpple kommun gambla och ta risken. Finansieringen bör därför vara något av ett huvudnummer i en strategi.

Detta är skrivet under påverkan av en finsk förkylning vilket kanske gör att min vision om strategin blir litet väl hallucinatorisk. Men låt oss ändå hoppas att vår väntan belönas med något mer konkretion och problemlösning än de senaste utredningarna på området levererat.