Pendelrörelser

En standardscen ur mitt arbetsliv 2010-2015: ett möte angående e-förvaltning, e-hälsa eller liknande på nationell nivå. Jag sträcker upp handen och säger något i stil med ”vi måste få in informationssäkerhet”, ”riskanalys, informationsklassning, kravställning, ansvarsfördelning”, ”den personliga integriteten är en viktig säkerhetsdimension”. Mina inlägg möts som alltid antingen med invändningar med innebörden att säkerhet motverkar verksamhetens syfte eller, i de flesta fallen, tystnad. Efter något år sa jag, aningen ironiskt, ”ni vet vad jag kommer att säga och nu säger jag det så kan ni gå vidare”. På andra möten med myndigheter med så kallat särskilt ansvar för informationssäkerhet mötte jag samma oförstående reaktioner inför de verksamhetskrav som finns bland annat inom hälso- och sjukvård. Jag kände mig som ett växelrelä mellan två världar med begränsad förståelse för varandras förutsättningar med mantrat: effektivitet och säkerhet, säkerhet och effektivitet.

Händelserna på Transportstyrelsen belyser med neon de negativa konsekvenserna av oförmågan att styra den digitala utvecklingen på ett sammanhållet sätt. Jag tänker här inte den kommentera de politiska förvecklingarna även om de är dramatiska utan istället resonera om några av de förslag som framförts på lösningar för att förhindra liknande händelser. Min huvudtes är att förslagen lider av att det saknas en tydlig problemformulering – vad är det egentligen lösningarna avhjälpa?

Säkerhetsskydd och informationssäkerhet

Det som väckt mest intresse är att det i Transportstyrelsens outsourcing ingått information som faller under säkerhetsskyddslagen. Detta är naturligtvis helt huvudlöst och jag är fortfarande förvånad över att SÄPO inte lyckades förhindra det. Att det ingått hemlig information har dock gett hela den efterföljande diskussionen en olycklig slagsida mot att all outsourcing av myndigheters informationshantering är ett säkerhetsproblem (vilket också är rätt konstigt med tanke på att privata leverantörer står för rätt stor av bland annat utrustning, fordon, konsulter o.s.v. inom t.ex. Försvarsmakten). Så är inte fallet menar jag – rätt genomförd kan outsourcing och användande av molntjänster ha en säkerhetshöjande effekt för många myndigheter. Många myndigheter har problem med att få tillräckliga resurser och kompetens för att kunna upprätthålla en rimlig it-säkerhet och då har vi ändå inte talat om kommuner och landsting. Det är också något lätt verklighetsfrämmande i att hävda det skulle vara möjligt att backa bandet och hämta tillbaka all information som idag hanteras i molntjänster som är den alltmer dominerande formen av outsourcing. Skämtsamt brukade jag redan på andra sidan decennieskiftet hävda att det förvarades mer allmänna handlingar på Projektplatsen än i Riksarkivet. Idag kan myndigheter upphandla sina kontorstjänster i form av molntjänster via Kammarkollegiet vilket också allt fler gör. Kommunal verksamhet liksom hälso- och sjukvård byggs i snabb takt på allt fler molntjänster och inte bara för traditionella it-tjänster utan även för telefoni, välfärdsteknologi o.s.v.. Vad som förbigås i den nu pågående diskussionen är att molntjänsterna inte handlar om lagring av information utan de allt oftare ersätter verksamhetssystemen. De ger också helt nya integrationsmöjligheter mellan funktioner som tidigare varit inlåsta i olika system. Min inte helt originella prognos är att ”system” på det sätt vi tänker idag inom 10 år är döda och har ersatts funktionalitet som hämtas från olika tekniska lösningar som interagerar via internet. Det leder också till att den traditionella outsourcingen som nu ägnas ett så stort intresse också kommer att få en klart minskad betydelse.

Jag som ägnat mycket tid åt att skriva om teknikskiftet inom massaindustrin på 1800-talet känner igen ett teknikskifte när jag ser ett. Historien visar ganska entydigt på att båtar föga att försöka gå emot ett sådant – det är snabb anpassning till nya förutsättningar som är den viktiga framgångsfaktorn i en sådan situation. Det gäller även för informationssäkerhetsområdet menar jag.

Om att vi nu, vilket vissa tycks mena och den förslaget till säkerhetsskyddslag antyder, skulle inkludera samhällsviktig verksamhet i det som ska falla under säkerhetsskyddslagen – vad blir konsekvenserna? Det skulle visserligen kunna förhindra outsourcing i många fall men det skulle också ett antal andra negativa konsekvenser. Den gällande säkerhetsskyddslagen gäller skyddet av information som kan påverka rikets säkerhet om den blir röjd för obehöriga. Detta är tydligt avgränsade informationsmängder som ska vara identifierade och kända för organisationen som hanterar dem. Skyddsåtgärder av både organisatoriskt och teknisk karaktär finns beskrivna och ska tillämpas oavsett kostnad eller organisationens krav på effektivitet. Det är alltså ett binärt förhållande som inte är riskbaserat – en organisations ledning har egentligen ingen egen möjlighet att påverka hanteringen och äger inte risken. Detta är motsatsen till ett systematiskt informationssäkerhetsarbete som bygger på att ledningen ska styra säkerheten genom att väga säkerhetsåtgärder i förhållande till risker för verksamheten. I det systematiska informationssäkerhetsarbetet är ekonomiska avväganden en naturlig del.

Säkerhetsskyddet utgör inte ett skydd för något annat än rikets säkerhet i bemärkelsen röjande av hemlig information för obehöriga. De säkerhetsåtgärder som stipuleras är inriktade på konfidentialitetsaspekten och till viss del på någon slags robusthet. Om man ser på samhällsviktig verksamhet så är kravbilden helt annorlunda med exempelvis höga krav på tillgänglighet, spårbarhet och riktighet. I den allmänna röran har även uppgifter om skyddade personuppgifter, skydd för den personliga integriteten och säkerhetsskydd förekommit i samma andetag. Det är då viktigt att förstå att säkerhetsskyddet inte avser skydd för den personliga integriteten.

För mig förefaller det märkligt att det finns en önskan om att devalvera betydelsen av rikets säkerhet. Som SÄPO påpekar i sin vägledning angående säkerhetsskydd finns det ingen legal definition av ”rikets säkerhet” men det får ändå sägas att det får vara rätt rejäla saker för att uppfylla kraven:

Någon legaldefinition av begreppet rikets säkerhet finns inte. Rikets säkerhet kan dock sägas avse såväl den yttre säkerheten för det nationella oberoendet som den inre säkerheten för det demokratiska statsskicket.

Det är alltså det nationella oberoendet respektive det demokratiska statsskicket som är det egentliga skyddsobjektet. Merparten av samhällsviktig verksamhet kan knappast sägas nå upp till den nivån mer än i enskildheter. Däremot har man mycket stora behov av informationssäkerhet men det är en annan fråga. Jag menar att säkerhetsåtgärderna på den yttersta nivån som säkerhetsskyddet innebär måste sparas till det syfte som de är avsedda för i annat fall kommer säkerhetsskyddet i sin helhet att urholkas. Det är en generell erfarenhet att säkerhetsåtgärder som inte kan motiveras löper en stor risk att kringgås och då får man en situation med en fiktiv säkerhet vilket kanske är den mest svårhanterliga situationen av alla.

Låt oss ändå leka med tanken att säkerhetsskyddsåtgärder börjar tillämpas i en vidare omfattning, typ för information som är ”känslig” eller samhällsviktig. Det skulle ju i så fall inte bara påverka outsourcing utan även myndigheternas interna verksamhet. Yippie – bort med de kreativa flexikontoren! Men också bort med de smidiga molntjänsterna och de resefria mötena. Och hur vård och omsorg ska klara sig är en gåta, ska varje enstaka server i den nationella infrastrukturen utformas som enligt SÄPO:s krav, ska all vårdpersonal klassas? Bäva månde de redan hårt prövade patienterna.

Önskan att vilja utvidga säkerhetsskyddet så att det även ska kunna tillämpas för att skydda det som ligger utanför det som definieras som rikets säkerhet är förståelig. Har man en hammare så ser allt ut som spikar eller hur det nu brukar heta. I ny situation griper man ofta efter det man har till hands och just nu verkar tanken på ett utvidgat säkerhetsskydd vara en tröst för många. Jag menar att detta är en lösning som är en tankevurpa vilket jag skrivit ett längre blogginlägg om apropå förslaget till nu säkerhetsskyddslag . Istället bör det upprätthållas en distinkt gräns mellan säkerhetsskydd och systematiskt informationssäkerhetsarbete med verksamhetsinriktning. Likaså bör en tydlig linje gå mellan säkerhetsskydd och samhällsviktig verksamhet.

I detta fall borde problemformuleringen vara: vi har ett stort antal offentliga och privata verksamheter som har ett stort behov av att förbättra sin informationssäkerhet. Vissa av verksamheterna, exempelvis inom vård och omsorg, har kanske de mest komplexa kraven på informationssäkerhet över huvud taget i samhället.  På dessa krav är inte säkerhetsskydd en lösning. Istället måste det byggas upp stöd för att dessa verksamheter ska kunna bygga upp ett systematiskt informationssäkerhetsarbete som motsvarar deras behov. Stödet måste vara utformat så att det kan hantera den snabba tekniska och organisatoriska utvecklingen samt integrera i strukturer där många aktörer samverkar. Ansvarsförhållandena för informationshanteringen och informationssäkerheten måste vara närmast övertydliga.

Statliga molntjänster

Andra har vädrat morgonluft och fört fram den nygamla idéen att Statens servicecenter ska få uppdraget att skapa en statlig ”molntjänst” eller kanske infrastruktur. Låt mig redan här säga att jag inte är kategoriskt emot statlig samordning eller inte ser problemet med att staten outsourcar stora informationsmängder till privata aktörer. En fråga jag bevakat är exempelvis Hälsa för mig där jag senast uttalade mig i DN tidigare i år. Däremot är jag inte övertygad om att storskalig statlig datadrift är lösningen på de problem som bör prioriteras. Dessutom ser jag ett antal frågeställningar som måste hanteras om en statlig ”molntjänst” ska bli en framgång ens för statlig verksamhet.

I Statens servicecenters rapport från februari är det endast lagring och datakraft som ska erbjudas. Eller som generaldirektören säger i en DN-artikel:

– Jag sa till regeringen att: bilda tio stycken stora datacentraler där vi lägger in servrarna. Vi föreslog helt enkelt en statlig molntjänst som skulle innebära att staten äger datahallen och servrarna, säger Thomas Pålsson.

I samma artikel uttalar sig civilminister Ardalan Shekarabi på detta något enigmatiska sätt:

I stället vill Shekarabi bygga upp en gemensam struktur för de mest säkerhetskänsliga myndigheter.

– Så att vi kan insourca verksamheter. Det är det som är i pipeline just nu, säger han.

– Då handlar det om att gemensamt bygga upp en verksamhet så att man kan insourca det man har outsourcat. Så att man minskar behovet av att outsourca. Helst ska man inte outsourca.

Ministern påpekar dessutom att den rapport som Statens Servicecenter lämnat där de vill ta hand om myndigheters information ”saknar säkerhetstänk”. Precis nu (torsdag den 27 juli) ger Shekarabi ett uppdrag till PTS att ta fram en modell för säkra it-utrymmen för säkerhetskänsliga myndigheter.

Frågorna hopar sig. Att Statens Servicecenter vill utöka sitt uppdrag är tydligt men exakt vad är det man vill erbjuda? Det ministern verkar avse är någon slags gemensam datacentral för säkerhetskänsliga myndigheter vilka dessa nu är. Min bedömning är att det som i detta skulle kunna vara en vettig och framkomlig väg är att skapa en gemensam infrastruktur för information som faller under säkerhetsskyddslagen eftersom det ställer så sära tekniska och organisatoriska krav. Den skulle dock knappast vara lämplig att lägga hos Statens Servicecenter.

Jag ställer mig däremot tveksam till fördelen med att staten skulle skapa en egen molntjänstleverantör (eller om det nu är sourcing man egentligen avser) för en bredare målgrupp även om jag kan se behovet hos särskilt mindre myndigheter (egendomligt nog bygger Statens servicecenters utsagor när det gäller behov på intervjuer med de 15 största myndigheterna). I Statens servicecenters rapport framgår inte hur en statlig leverantör skulle vara konkurrenskraftig i förhållande till stora it- och molntjänstleverantörer och innehåller inte heller ekonomiska beräkningar som stödjer det caset. En inte helt oviktig faktor är den svårighet att rekrytera rätt och tillräcklig kompetens till en statlig it-leverantör. Det gäller inte bara effektivitet utan även säkerhet. Min högst subjektiva uppfattning är att kompetensen och den möjliga leveransen hos de kommersiella leverantörerna ligger rätt långt över vad statliga myndigheter kan leverera. Problemet är att staten generellt inte är bra beställare, särskilt inte inom säkerhetsområdet.  Risken är alltså att myndigheterna får sämre och dyrare lösningar. Här tror jag att det finns viktiga erfarenheter från Kommundata som var it-leverantör åt kommunerna under en period under 90-talet.

Den aspekten blir ännu mer akut när man tänker på vad som ska levereras.  Det som Statens servicecenter kallar molntjänster är lagring och datakraft men det är inte den typen av ”primitiva” molntjänster som kommer att dominera i myndighetsvärlden. Det är sammanväxta lösningar av kommunikation, samarbetsytor, planeringsstöd och ärendehantering som på sikt kan komma att ersätta ett antal verksamhetssystem. Dessa lösningar kommer endast att vara tillgängliga som molntjänster och att Statens Servicecenter ska kunna ta fram likvärdiga produkter som exempelvis Microsoft finner jag tämligen osannolikt.

Det är också välkänt att det är svårt för staten att vara leverantör åt staten – detta har varit ett återkommande tema i e-förvaltningsarbetet. Eftersom statliga myndigheter inte kan sluta avtal med varandra har kundmyndigheterna betydligt svagare ställning i förhållande till en systermyndighet än till en kommersiell leverantör. Det visade sig också under Statens Servicecenters första tid när myndigheter var skyldiga att överlåta bland annat lönehantering till servicecentret men inte hade reella möjligheter att genomdriva sina säkerhetskrav. Vilket leder över till ett annat, som jag ser det, avgörande principiellt problem, nämligen vem som har ansvar för den information som lagras hos en servicemyndighet. Jag hävdar att det är informationsägaren, det vill säga kundmyndigheten, som har ansvar för att informationen hanteras med tillräcklig säkerhet. Detta ansvar går inte att uppfylla om man inte kan skriva bindande avtal med sin leverantör. I denna oklarhet i ansvar ligger en mycket stor risk som visserligen delvis skulle kunna hanteras genom en professionell struktur av skyddsnivåer som kunden kan välja mellan, detta räcker dock inte. Sannolikheten att kärnverksamhetens säkerhet börjar styras från servicemyndigheten men att ansvaret ligger kvar hos kundmyndigheterna är överhängande. Det är verkligen att sätta vagnen framför hästen och skapar ytterligare en dimension av oklarhet i ansvar. Om det blir ett informationsläckage eller om bristande tillgänglighet i myndighetsinformationen leder till skada för tredje man vems är då ansvaret? När internationella jämförelser görs glömmer man ofta bort den svenska förvaltningsstrukturen med självständiga myndigheter med eget ansvar. Det här är en fråga som måste klarläggas även legalt liksom kundmyndigheternas möjlighet att styra så att inte samkörning görs av olika myndigheters information. Sett ur ett integritetsperspektiv förefaller idag privata leverantörer ha ett större intresse för att skydda enskildas integritet än myndigheter vilket måste ses som risk då större mängder information ska sammanföras från olika myndigheter.

Ett annat problem med den här typen av lösningar är den vertikala integrationen där staten både är kund och leverantör. Som kund vill man ha maximal output, som leverantör vill man ha maximal intäkt. I offentlig verksamhet leder detta ofta till stora svårigheter i styrningen eftersom man hamnar i ingenmansland mellan intäkts- respektive budgetfinansiering. Även här finns lärdomar från Kommundata men också Inera och dess föregångare i landstingsvärlden. Resultatet blir negativt och oförutsägbart för kunden eftersom man inte kan styra genom att välja en annan leverantör men samtidigt inte har makt över monopolleverantören.

Min mest avgörande invändning är dock att det idag inte går att avgränsa informationshanteringen till att vara ”statlig”. Myndigheter, kommuner, landsting och privata aktörer samverkar allt mer integrerat och frågan är då vad som ska hanteras i det statliga molnet. Ska även privata aktörer som utför uppdrag åt staten ingå? Ska kommuner som utbyter information med Försäkringskassan ingå? Hur stort ska det statliga molnet egentligen bli? Och, slutligen, jag tror inte de största riskerna idag ligger hos de statliga myndigheterna utan hos kommuner och landsting som både står för merparten av den samhällsviktiga verksamheten och ofta har sämst möjligheter skapa säkra lösningar. Med en dåres envishet upprepar jag att detta är vad som borde prioriteras framför allt annat.

Det var ju inte särskilt konstruktivt

Medan det stormar vidare på regeringsnivå hoppas jag att pendeln inte slår över för långt, att vettskrämda politiker och generaldirektörer uppfattar outsourcing i sig som problemet och fattar beslut som leder till att vi börjar backa in i framtiden. Jag är övertygad om att outsourcing och framför allt molntjänster kommer att öka i betydelse – detta är en verklighet med en mix av egna och köpta lösningar som vi måste lära oss hantera.

Jag kommer ihåg när jag på tidigt 1990-tal besökte en liten vårdcentral som vi kan kalla Söpple VC för att se över informationshanteringen. En läkare pekade på vårdcentralens dator som satt fastspänd under skrivbordet på det där sättet som kanske inte alla kommer ihåg. Han sa: ”Nu vill de ta datorn ifrån oss och ha vår information i distriktets datorhall, hur ska jag då kunna skydda mina patienter?” Hans fråga är lika relevant idag som då efter att informationen förflyttas från den enskilda datorn till distriktets datorhall, till landstingets datorhall, till nationell nivå och nu till molnet. Det är vår uppgift som säkerhetsmänniskor att ge svaret på den frågan. Vi har inte lyckats särskilt bra i tidigare skeden med tanke på hur det ser ut, därför bör vi mobilisera på ett konstruktivt sätt nu.

Det vore bra om vi innan vi går vidare kan enas om att avvägningen mellan effektivitet och säkerhet inte är en enkel fråga utan det finns reella intressekonflikter som måste hanteras. Vi bör också komma överens om att det inte finns en typ av säkerhet eller en lösning. Istället måste vi inse att ”säkerhet” är ett paraplybegrepp där många intressen måste leda fram till en mängd olika lösningar som tillsammans kan leda till säkrare samhälle.  Och som sagt: vi måste bli mycket duktigare på att problemformulera för att kunna hitta rätt lösningar. För mig förefaller inte lösningarna ligga främst i att styra placeringen av utrustningen utan att på olika sätt styra informationshanteringen genom avtal, upphandlingskompetens, organisation, mjuka tekniska lösningar och kunskap. Jag utlovar att i ett senare inlägg återkomma till mer konkreta förslag.

Transportstyrelsen och it-politikens kognitiva dissonans

Den unika händelsen att en GD får sparken efter att ha beslutat att outsourca information där även uppgifter som faller under säkerhetsskyddslagen ingått har skapat ett stort buzz i säkerhetsvärlden. Det är en uppseendeväckande och skandalös historia som skett på Transportstyrelsen där myndighetsledningen tycks huvudlöst ha struntat i alla varningar och uppmaningar. Mest förvånande är kanske att SÄPO enligt uppgift i media varit involverade och framfört synpunkter men inte lyckats genomdriva dem. Jag är dock inte särskilt förvånad och det är inte första gången myndighetsledningar tar medvetna beslut om att genomföra upphandlingar som om inte direkt lagvidriga innebär mycket stora risker.

I den upphetsade stämning som råder kan det vara bra att försöka konkretisera vad som faktiskt hänt (så som jag tolkar det utifrån medierapporteringen).

  • Det var känt att det fanns information som föll under säkerhetsskyddslagen i de system som skulle outsourcas
  • Ledningen och styrelsen var medvetna om detta
  • Ett aktivt beslut fattades att trots kännedom om detta fullfölja outsourcingen

Kontentan är för mig att det inte är en informationssäkerhetsfråga utan en fråga om hur regeringen styr sina myndighetschefer och säkerställer att de bland annat efterlever säkerhetsskyddslagen samt förhoppningsvis även annan lagstiftning.

Nu pågår en omfattande diskussion rörande Transportstyrelsens skandal där många inlägg är skrivna i till synes stor affekt. Inte minst debattörer med säkerhetsanknytning kommer pepprade salvor och förslag på åtgärder som sägs kunna motverka att liknande händelser skulle kunna inträffa igen. Tyvärr tycker jag många av förslagen verkar illa genomtänkta, såsom det ofta blir när man reagerar på en akut situation och en specifik händelse. Förhoppningsvis leder inte dessa förslag till snabba åtgärder – istället behövs ett mer analytiskt skede, en helhetsbild där den nuvarande röriga argumentationen något sorteras upp. Den diskussion som förts efter att händelsen blivit känd har också kommit att handla om allt möjligt som informationssäkerheten generellt, statliga moln m.m. vilket händelsen på Transportstyrelsen inte egentligen har någon bäring på. Jag ser istället händelsen som ett symptom på regeringens otydlighet i it-politiken där man inte lyckas skapa en strategisk inriktning som  omfattar både effektivitet och säkerhet. Detta skapar en kognitiv dissonans i styrningen som jag menar är avgörande förklaring till varför i övrigt kompetenta och förnuftiga generaldirektörer ger sig in i huvudlösa upphandlingar av it-relaterade tjänster.

Låt mig förtydliga. Informationshantering på samhällsnivå innebär ett antal intressekonflikter som jag skrivit om i tidigare blogginlägg; stat – indvid, integritet – övervakning o.s.v. Den i det här mest intressanta är konflikten effektivitet/ekonomi och ”säkerhet”.  Informationssäkerhet innehåller i sig motstridiga intressen som mellan tillgänglighet och konfidentialitet men det lämnar jag för tillfället åt sidan. Den kognitiva dissonansen uppstår när intressekonflikten negligeras eller i vissa fall t.o.m. skapas. I nuläget har regeringen å ena sidan formulerat ett antal förslag rörande att informationssäkerhet och säkerhetsskydd ska stärkas (jag skriver det som två punkter för jag anser inte att det är samma sak) och å ena sidan andra imperativa budskap kring ökad användning av molntjänster och om att bli världsbäst på e-förvaltning. Dessutom framförs ofta önskemål om att statens it-kostnader generellt bör sänkas. Till detta kommer dessutom att förslaget till ny säkerhetsskyddslag är så otydligt om vad som egentligen ska räknas som inverkande på rikets (OK Sveriges) säkerhet. Dessa olika intressen går inte att förena fullt ut, det vill säga staten kan inte alltid välja cloud first lika litet som att dåligt avvägd säkerhet kan få förhindra verksamhet att fungera på ett effektivt och någorlunda ekonomiskt försvarbart sätt. Min uppfattning är att så länge de här intressekonflikterna inte lyfts fram, diskuteras och blir föremål för en gemensam avvägning på nationell nivå kommer myndighetsledningar att vara utsatta för en kognitiv dissonans där det är omöjligt att avgöra hur den egna it-verksamheten ska utformas så att den tillgodoser samtliga intressen.

För att skapa en bredare bild än säkerhetsskyddsfrågan på Transportstyrelsen vill jag göra en återkoppling till för situationen för ganska exakt två år sedan då E-hälsomyndigheten skrev ett avtal med Cap Gemini om outsourcing av alla svenska patientjournaler för hantering hos Microsoft. Även denna affär innebar mycket stora säkerhetsproblem men väckte inte alls lika mycket intresse – kanske för att det främst rörde sig om risker för individer och inte för staten.  När flera med mig påpekade den bristande säkerheten i upphandlingen mottogs det inte särskilt väl (faktiskt inte ens i min egen myndighet). Orsaken till detta tror jag var just den kognitiva dissonansen: regeringen har beställt en lösning för hälsokonton där kommersiella aktörer ska kunna delta och detta snabbt. Att då ställa säkerhetskrav uppfattas lätt som grus i maskineriet vilket jag för övrigt upplevde även då Statens servicecenter bildades. Utan att på något sätt vilja ursäkta felande myndighetsledningar är det ganska uppenbart att när staten inte ens på övergripande nivå lyckas hantera dessa intressekonflikter blir det desto svårare att hantera situationen i den enskilda myndigheten.

Att ta ställning i intressekonflikterna är vad jag menar att både regeringens cyber- och informationssäkerhetsstrategi och digitaliseringsstrategi skulle ha gjort på ett samordnat sätt. Så är nu inte fallet och därför är det med största sannolikhet inte heller sista gången statliga myndigheter kommer att göra huvudlösa affärer. För att kunna ta fram en fungerande strategi kräver dock en helt annan nivå på utredandet än hittills och också att man försöker hitta fungerande lösningar för framtiden och inte ägnar sig åt att lösa gårdagens frågor. Att föreslå statliga molntjänster för ”lagring” kunde kanske varit ett alternativ vid sekelskiftet men knappast idag då molntjänsterna ersätter verksamhetssystem för att bara ta ett enstaka exempel.

Det är inte bara regeringen har en hemläxa att göra utan även vi som arbetar professionellt med säkerhetsskydd och informationssäkerhet. Jag tror vi står inför stora utmaningar både inom säkerhetsskydds- och informationssäkerhetsområdet där vi måste kunna bidra på ett bättre sätt. Låt oss därför inte banalisera frågeställningarna och utlova enkla lösningar utan erkänna att här krävs nytänkande, uthållighet och betydligt bättre kunskapsgrund för att kunna utgöra ett stöd för samhället.

Strategi från bunkern

30 juni kom alltså äntligen strategi. Två dagar före Almedalen och samma dag som de i det offentliga Sverige som inte är och tycker på Gotland förhoppningsvis sjunker in i sommardvala alldeles oavsett vilka strategier som lanseras.

Det är nästan svårt att veta var jag ska börja eftersom det trettiotal sidor som utgör strategin väcker så många frågor. Att försöka redogöra för dem skulle kräva ett utrymme som vida överstiger strategins sidantal. Bara användningen av begrepp gör läsaren konfys. Exempel ett: strategin heter En samlad strategi för samhällets informations- och cybersäkerhet. Vi som sedan ”cybersäkerhet” började användas för att hotta upp konferenspunkter undrat vad det egentligen betyder är inte så få. En förklaring som varit återkommande är att det är ”säkerhet i domänen cyber”, alltså något kopplat till försvarets indelningar och något ”internationellt”. Strategin släpper dock redan på sidan 4 alla ambitioner att försöka utreda denna fråga:

För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet. I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext.

Ska man tolka det som ”informationssäkerhet” är aningen mer inriktad på icke-digital information? Och på vilket sätt skulle en sådan uppdelning tillföra något klargörande? Och om det egentligen är samma sak varför skulle man då i svenska texter ta hänsyn till vilket begrepp som används internationellt om det egentligen inte har någon annan innebörd än informationssäkerhet? Det är som författarna på ett tidigt stadium gett upp men ändå velat ha med det litet läckrare ”cybersäkerhet”, tänkt ”wtf” och bara gått vidare.

Exempel två är definitionen av ”tillgänglighet”:

Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.

Här har strategins författare ändrat innebörden av begreppet på ett fatalt sätt. I den terminologi som reviderades 2015 (och som man visserligen kan ha synpunkter på) SIS handbok Terminologi för Informationssäkerhet (SIS HB 550 utgåva 3) är definitionen:

Åtkomlighet för behörig person vid rätt tillfälle.

Strategin har alltså gjort det märkliga tillägget som tjänsterna erbjuder vilket jag finner både missvisande och i någon mån obegripligt. Vilka tjänster är det som avses? Någon typ av it-tjänster sannolikt men eftersom strategin i övrigt har en stark förkärlek för ”system” vandrar tankarna iväg mot de samhällsviktiga tjänster som beskrivs i NIS-direktivet som är verksamhet och inte it-lösningar. Dessutom leder beskrivningen tanken mot ett synsätt att det är tjänsterna – inte informationen- som är i centrum vilket för den som vill planera för att upprätthålla kontinuitet inte är bra. Den som vill ha en fungerande kontinuitetshantering måste ha alternativa sätt för sin informationsförsörjning och då räcker det inte att titta på enskilda ”tjänster”. Mest svårtolkat uppfattar jag ”som tjänsterna erbjuder”. Det är som det smygs in ett konfidentialitetsperspektiv i tillgänglighetsbegreppet, att tillgänglighet skulle betyda att endast behöriga ska tillgång till tjänsterna när de erbjuds.

Det finns ett antal andra begrepp som förtjänar en diskussion men som vila tills vidare. Jag tänkte istället ta upp några utgångspunkter för strategins författare. Dessa ligger till grund för de prioriteringar som görs och som jag menar i många stycken gör strategin irrelevant.

I mycket känns strategins inriktning igen från Infosäkutredningen som lämnade sin rapport med förslag om en informationssäkerhetspolitik 2005 Säker information. Gemensamt att både utredningen 2005 och den nya strategin är skrivna helt sett ur statens intressen trots att man i båda fallen säger sig behandla samhällets informationssäkerhet. Det behövs knappast några poäng i statsvetenskap för att inse att staten inte är synonym med samhället och det känns därför intellektuellt torftigt att strategin inte på något ställe erkänner och problematiserar de intressekonflikter inryms i samhällets informationssäkerhet. Det gäller relationen stat-individ, stat-privata företag och stat-kommuner/landsting för att ta de mest uppenbara ytorna för konvergerande intressen. Istället utgår strategin okommenterat från att alla samhällets aktörer är villiga att underkasta de åtgärder som strategin föreslår som till stor del motiveras ur ett nationellt försvarsperspektiv. Genomgående är förslagen inriktade på att staten talar om hur saker ligger till, föreskriver och sedan genom tillsyn kontrollerar att ”samhället” lyder. Jag tror att den här ”far vet bäst”-mentaliteten är omotiverad i så måtto att pappa staten faktiskt inte vet bäst på det här området utan har all anledning att ta till sig andra samhällsaktörers kunskap och intressen. Att peka med hela handen fungerar kanske bra inom den gröna sektorn. De kommunpolitiker som måste göra intresseavvägningar mellan insatser inom äldreomsorgen och att satsa på säkerhetsåtgärder som inte kan motiveras är nog däremot betydligt mindre villiga att utan protester röra sig i handens riktning. Kanske är det också detta förhållningssätt som gjort att så litet av de förslag av de som Säker information presenterade har realiserats – en insikt som möjligen skulle kunnat ge strategin en annan inriktning och ton.

Den implicita föreställningen att statens intressen per automatik sammanfaller med allas (förutom brottslingars och fientliga nationers) intressen får egenartade konsekvenser då strategin tar sig an integritetsfrågan. Det enda sammanhang där strategin utvecklar sig om den personliga integriteten är när den är hotad av privatpersoner i form av näthat och grooming. Närmast ohederligt blir det när man inte ens nämner den kritik som framkommit gällande konsekvenserna på den personliga integriteten i remissvar rörande förslaget att MSB ska få installera sensorsystem. Istället framställs sensorsystemen som i princip redan beslutade:

Regeringen har under våren 2017 remitterat en promemoria om tekniska sensorsystem (Ju2017/02002/L4) med förslag att MSB får stödja verksamhetsutövare inom samhällsviktig verksamhet med informationssäkerheten genom att tillhandahålla sensorsystem som kan stärka samhällets möjlighet att upptäcka och hantera it-incidenter. MSB:s sensorsystem ska inte tillhandahållas till de verksamheter som erbjuds TDV.

Därmed var relationen mellan staten och individen överstökad. Dataskyddsförordningen känns mycket avlägsen i strategin.

En annan genomgående tendens är att strategin i princip endast intresserar sig för de antagonistiska hoten. Andra typer av risker diskas av i två förströdda meningar:

Olika former av störningar i mjuk- eller hårdvara eller störningar i driftmiljö är vanligt förekommande. Yttre fysiska händelser som t.ex. bränder, avgrävda kablar, översvämningar eller solstormar utgör också en del av hotbilden.

Resten av hotavsnittet beskriver en leviathan-liknande situation där framför allt statens intressen måste tillvaratas. Utan upphovsman för riskbedömningen meddelas:

Det möjliga agerandet av stater, statsunderstödda aktörer eller andra aktörer med liknande förmåga utgör det allvarligaste informations- och cybersäkerhetshotet mot Sverige.

Självklart kan inte dessa hot underskattas – de är verkliga och omfattande. Men enligt min erfarenhet äventyras de flesta organisationers verksamhet i lika hög grad av t.ex. bristande rutiner som leder till uppdateringsfel. Ett stort antal av de större incidenter som inträffat under senare år har också haft icke-antagonistisk bakgrund. För landsting och kommuner skulle jag vilja påstå att den absolut största utmaningen ligger i att kunna efterleva dataskyddsförordningen när den träder i kraft. Oavsett om jag har rätt i denna bedömning eller inte vågar jag hävda att strategins oförmåga att se att olika organisationer lever med olika risker och med olika behov av säkerhetsåtgärder är en av dess mest påtagliga brister. På ett flertal ställen presenteras lösningar som blickar tillbaka till BITS och andra försök att skapa samma säkerhet i alla organisationer. Detta strider inte bara mot grundtanken i ISO 27000 som säger att ledningen i varje organisation måste ta ställning till risker och därefter göra sina prioriteringar. Det strider också mot de verkliga behov som finns i olika organisationer eftersom olika verksamhetsprocesser kan använda samma information på helt olika sätt. I strategins anses detta dock fel:

Samma information kan få olika skydd i olika organisationer och kunskapen om vilket skydd som är lämpligt och tillgängligt för en viss typ av information är hos många aktörer ofullständig.

Jag tror att man här omedvetet endast utgår från konfidentialitetsaspekten och inte har reflekterat tillräckligt över behovet av riktighet, spårbarhet och tillgänglighet kan skifta starkt mellan olika organisationer. Under ett par arbetade jag på MSB med att tillsammans med bland annat representanter från hälso- och sjukvårdsområdet med att fram ett koncept för nationell styrmodell. Tanken var inte att alla organisationer skulle ha samma säkerhet utan att modellen skulle utgöra ett stöd för kommunikation mellan olika verksamheter så att varje organisation skulle kunna få den nivå av säkerhet som dess ledning ansåg lämpligt. Konkret skulle det innebära att det t.ex. fanns gemensamma metoder för processkartläggning, informationsklassning och skyddsnivåer. Att nu strategin ser det som ett problem att olika informationsmängder värderas olika av olika organisationer uppfattar jag som att man tankemässigt är tillbaka till det one size fits all-koncept som BITS byggde på.

Det mest anmärkningsvärda med strategin är att den inte beskriver en relevant framtid, inte ens ger en relevant bild av dagens situation. Det som utgör strategins existensberättigande redovisas i avsnittet Vad ska skyddas?. Det sidlånga avsnittet börjar tämligen stillsamt med:

Det innebär att både informationen i sig och de system som används för att förvara och överföra informationen måste skyddas.

Men därefter bryter ett sammelsurium av demokrati och andra värden, ting, system, kommunikation och i någon mån information ut. Ungefär på mitten dyker följande märkliga passage upp:

I dag bygger systemen för att hantera information huvudsakligen på digital informations- och kommunikationsteknologi. Detta gäller inte minst de system Sverige är beroende av för att kunna styra och leda riket under omfattande påfrestningar som kan följa av kris eller krig.

Jag biter mig  hårt i tungan för att inte ställa ironiska frågor som om det tidigare fanns system som inte byggde på digital teknik och om det är så att just de system som Sverige är beroende av för att kunna styra och leda riket o.s.v. (vilka de nu kan vara) är ännu mer digitala än övriga it-system. Även om stycket vidlåds med en ofrivillig komik är det dock inte särskilt lustigt att läsa denna flacka och redan inaktuella beskrivning av beroenden. Det är som strategins upphovsmän (för övrigt precis som utredarna av NIS-direktivet) fortfarande tänker sig en situation där verksamheter är beroende av tydligt avgränsade ”system” som man själv driftar och förvaltar.

Jag menar att vi redan idag är långt ifrån en sådan situation. Istället går allt fler organisationer helt eller delvis över till molntjänster som dessutom är intrikat integrerade så att det är svårt att urskilja enskilda tjänster eller komponenter. Detta är ju också något som uppmuntras i andra inriktningar från regeringen. För att ta ett konkret exempel vågar jag utan större talang som sierska ändå påstå att en stor del av den svenska förvaltningens dagliga informationshantering kommer att ske i Office 365 som molntjänst inom 5 år. Att jag vågar sticka ut hakan beror inte enbart på egna observationer i verkligheten utan också på att Microsoft låtit förutskicka att de kommer att sluta att tillhandahålla sina Office-programvaror för installation i egen miljö. De kommer att gå all in molntjänster. Denna nya situation behandlas överhuvudtaget inte i strategin. I 2.2. Öka säkerheten i nätverk, produkter och system där det rimligen borde inrymmas en sådan diskussion och förslag på lämpliga säkerhetsåtgärder nämns detta överhuvudtaget inte. Lika litet intresse ägnas åt välfärdsteknologin som är i stark framväxt och som innebär nya intressanta frågeställningar inom en stor samhällsviktig verksamhet.

Strategins bristande omvärldsbevakning påverkar även de säkerhetsåtgärder som presenteras. Mycket är uppstekta tidigare förslag alternativt bekräftelser på redan existerande lösningar även om jag fortfarande när ett visst hopp om den så kallade nationella modellen för systematiskt informationssäkerhetsarbete. Ett axplock på aktiviteter där regeringen ska enligt strategin fortsätta att verka för det man redan verkat för eller inte kan undvika att verka för:

  • öka tydligheten i myndighetsstyrningen och lyfta betydelsen av ett tillfredsställande informationssäkerhetsarbete internt på myndigheterna
  • samverkan mellan myndigheter med särskilda uppgifter på informations- och cybersäkerhetsområdet stärks
  • NIS-direktivet genomförs effektivt och att det etableras en adekvat styrning och tillsyn av säkerheten i nätverk och informationssystem i samhällsviktig verksamhet för vissa aktörer inom de utpekade sektorerna
  • företag och myndigheter som äger eller arbetar med samhällsviktig verksamhet där industriella informations- och styrsystem ingår får stöd i sitt arbete med att stärka informationssäkerheten,
  • berörda myndigheter utvecklar arbetet med att genomföra och stödja kartläggningar och utredningar om sårbarheter och lämpliga säkerhetsåtgärder i samhället
  • förmågan att hantera allvarliga it-incidenter upprätthålls genom en samordnad övningsverksamhet.

Inte särskilt kraftfullt eller nydanande. I ärlighetens namn ska väl sägas att det även ingår att regeringen ska verka för en strategi för kryptosystem, mer övervakning i olika hänseenden och mer brottsbekämpning.

Om Sverige ska bli, som regeringen proklamerat, världsbäst inom digitalisering och e-hälsa behövs det en storsatsning på proaktiv informationssäkerhet som stödjer denna inriktning. Förutom att stärka säkerheten i nätverk och kommunikationer är svårt att se vad den liggande strategin bidrar med i det hänseendet. Efter att ha begrundat åtgärdsförslagen uppfattar jag att huvuddragen är ett perimeterskydd på nationell nivå, incidentrapportering och tillsyn.  Detta menar jag inte är särskilt verkningsfullt i förhållande till dagens molntjänstsamhälle.  System i egen drift och förvaltningen som staten fysiskt kan kontrollera är inte den framtid som strategin ska fungera i. Att staten skapar säkerhetslösningar för (forntida teknik höll jag på att skriva) tekniska lösningar på utgående är inte unikt för den här strategin; som en klok kollega påpekade häromdagen är det konstigt att det nu görs så stort nummer av säker e-post. Redan nu sker kommunikationen ofta i andra former än e-post och om fem år kommer sannolikt dess betydelse vara i starkt avtagande.

Bristen på ambition att skapa bättre möjligheter att hantera de nya frågeställningar som digitaliseringen medför präglar också strategins kunskapssyn. Istället för en offensiv hållning där man utgår från ett läge som jag bedömer som tämligen ovedersägligt, nämligen att vi idag hög grad saknar kunskap om även grundläggande kunskap om hur vi ska bygga en fungerande informationssäkerhet, är strategin även här konserverande.  Den kunskap som strategins författare anser behövs är att kartlägga brister och sedan öka medvetenheten om dessa till olika aktörer.

Det är enligt regeringens bedömning viktigt att arbetet med att analysera sårbarheter, brister och behov med koppling till Sveriges informations- och cybersäkerhet fortsätter att utvecklas och fördjupas i syfte att stödja och öka medvetenheten om långsiktigt informationssäkerhetsarbete på alla nivåer i samhället

När man sedan kommer in på högre utbildning, forskning och utveckling räknas ett antal redan pågående projekt upp samt en avslutande lam inriktning:

Lärosäten, industriforskningsinstitut, näringsliv och offentlig sektor samverkar för att öka nyttiggörande och innovation inom informations- och cybersäkerhetsområdet.

Min uppfattning är att om en större förändring (i positiv riktning är det väl bäst att säga) av samhällets informationssäkerhet så förutsätter det en utvecklad kunskapsstyrning. Mer effektivt än att använda retroaktivt inriktade och repressiva åtgärder som incidentrapportering och tillsyn är att kunna beskriva för olika typer av aktörer hur de kan använda belagt effektiva säkerhetsåtgärder. Detta förutsätter dock i sin tur att det finns kunskap som kan utgöra underlag för en relevant styrning. Ett område som alldeles särskilt borde lyftas fram är det informatik och hur en styrd informationshantering kan ge ökad säkerhet i de tjänster som alltmer kommer att ersätta de traditionella systemen. Jag bedömer att tekniskt perimeterskydd kommer att vara något som måste fortsätta att utvecklas men att dess relativa betydelse kommer att minskas i förhållande till hur säkerhet kan byggas in i informationshanteringen. Därmed anser jag att detta borde vara ett strategiskt kunskapsområde för framtiden, en uppfattning som inte förefaller delas av strategins upphovsmän som på ett ytterst vagt sätt sveper över en mängd teknikområden.

Ett annat kunskapsområde som hänger ihop med själva definitionen av informationssäkerhet är betydelsen av spårbarhet i informationshanteringen. En långvarig men icke-uttryckt schism inom det svenska informationssäkerhetsskrået är begreppet spårbarhet som för många varit tabubelagt utan närmare förklaring. I de verksamheter som länge varit transaktionstäta och komplexa som exempelvis hälso- och sjukvården har kravet på spårbarhet varit självklart. För ”purister” har det dock varit en styggelse. Nu menar jag att det borde vara uppenbart för de flesta praktiskt verksamma att begreppet måste tillämpas aktivt i informationsklassningar och riskanalyser. Enbart dataskyddsförordningens krav förutsätter åtgärder för spårbarhet som idag inte tillämpas men användningen av integrerade tjänster kommer också att innebära behov av att kunna rekonstruera sammanställd information där alla ingående datamängder har rätt version o.s.v. Hur detta ska kunna gå till är även det ett område där forskning är nödvändig men denna typ av kunskap ligger långt utanför det område som strategin rör sig inom.

Trots denna orimligt långa text innehåller den bara ett litet antal nedslag i de frågeställningar som väcks. Min kritik kan sammanfattas i tre punkter. För det första är det väldigt uppenbart att det är en strategi för staten – inte för samhället. De stora frågor och intresseavvägningar som de flesta av samhällets aktörer måste hantera lyser med sin frånvaro – inifrån- och ut-perspektivet är så överväldigande att jag får känslan av att man suttit i en bunker och skrivit strategin för att försäkra sig om att inga ovälkomna intryck från verkligheten ska smyga sig in. Genomgående så förläggs också fel och brister hos aktörerna i samhället; de har dålig kunskap och de gör fel. Däremot så håller den del av staten som skrivit strategin inte upp en spegel och frågar sig vad man själv kunnat göra bättre. Trots att staten skottar in omfattande resurser centralt till de myndigheter som ska samordna informationssäkerhetsarbetet har resultatet inte blivit det önskade. Det är därför märkligt att strategins angreppssätt är att framförallt resten av samhället ska skärpa sig. Kanske måste man, istället för att fortsätta göra mer av samma sak, våga rikta blicken inåt och försöka analysera varför det hittills inte funkat så bra trots resurserna. Det vill säga en gammaldags hederlig utvärdering av en fristående part.

För det andra beskriver strategin inte ens dagens digitala situation utan en snart förgången tid. Jag har ju närt vissa förhoppningar rörande strategin men måste nu redan inledningsvis medge att det kommit helt på skam. Istället för att vara framåtblickande vilket är ett slags grundkrav på en strategi är den produkt som presenteras häpnadsväckande inaktuell även för dagens situation. Jag förstår att de som skrivit dokumentet varit snärjda och begränsade av bland annat det fem år gamla NIS-direktivet. Detta ”ursäktar” dock inte den enligt min bedömning föråldrade bild av verkligheten som är strategins utgångsläge. Faktiskt är det svårt att se den nya strategin som mer aktuell än den som togs fram 2010 och som dessutom var betydligt mer kortfattad och välstrukturerad Strategi för samhällets informationssäkerhet  2010 – 2015.

För det tredje levererar strategin få eller inga konkreta inriktningar – man lyckas inte ens beskriva hur de områden som staten faktiskt kontrollerar ska styras. Hur ska exempelvis säkerhetsskydd, samhällsviktig verksamhet och normal verksamhet förhålla sig till varandra? Och de olika incidentrapporteringskrav som staten nu riktar mot olika aktörer, hur ska de integreras till en effektiv och rimlig helhet? Om exempelvis eHälsomyndigheten råkar ut för en incident där personuppgifter ingår ska man då rapportera till MSB (enligt MSB:s föreskrift), till IVO (enligt NIS-direktivet) och till Datainspektionen (enligt dataskyddsförordningen). Eftersom incidentrapportering under en längre tid lyfts fram som den mest prioriterade säkerhetsåtgärden vore det rimligt att en strategi gav besked om hur den långsiktigt ska hanteras.  Och om nu en stor del av den samhällsviktiga verksamheten och den offentliga förvaltningen i övrigt kommer att hantera sin information i ett fåtal internationella molntjänster? Är det då inte en central strategisk säkerhetsfråga för staten att ha en inriktning för relationen till dessa molntjänstleverantörer. Det är ju knappast ett alternativ att köra ett DDR-lösning och utveckla egna statliga lösningar.

En strategi borde fungera som mer än talepunkter för en minister i Almedalen men här tycks beskedet ganska klart:  Fråga inte vad staten kan göra för dig utan vad du kan göra för staten. För oss andra verksamma i skrået är det viktigt att inte dras in i bunkern utan att vi arbetar med de frågor som är relevanta i dag och i framtiden.