Vad vill Liberalerna?

Jag kan faktiskt inte släppa den här debattartikeln från Liberalerna, undertecknad av bland annat en utmanare om partiledarposten. Den illustrerar tydligt några orsaker till Transportstyrelse-skandalen och den ännu större skandalen: den usla informationssäkerheten i vården. För att inte genast mötas med argument som att ”vill du ha tillbaka pappersjournalerna då?” vill jag föra till protokollet att jag är en varm anhängare av digitalisering – men på rätt sätt och med tillräcklig säkerhet.

Här har vi ett parti som efter en sommar då informationssäkerhet var huvudnyhet i alla medier, en generaldirektör och två ministrar fått avgå och en tredje sannolikt även han på väg. När detta inte får dem att dra slutsatsen att när helst digitalisering diskuteras måste det följas av åtminstone ordet informationssäkerhet är det svårt att ens fantisera om vilken medial atombomb som skulle väcka dem.

Att dessutom hävda att vårdens utmaningar inom informationshantering skulle kunna avhjälpas genom digitalisering är att banalisera frågan på ett sätt som är närmast en förolämpning mot de som arbetar i vården. Alla som sett hur överdokumentation och byråkratisering har växt i takt med de New Public Management-ideal som präglat vården sedan slutet av åttiotalet (och som haft mycket varma förespråkare i Liberalerna) inser att det inte räcker med att slänga in nya appar och plattor för att förändra arbetssituationen. Jag tror inte heller att de som är praktiska utförare av vård är tillfreds med appar som gör att patientuppgifter hamnar på okända servrar i USA, tjänster som gör att uppgifterna om läkemedel inte är korrekta, att deras signatur under en ordination kan vara satt av någon annan eller att trygghetslarmen i vart femte fall inte fungerar. Informationssäkerhet motverkar inte patientens eller personalens intresse utan är något som skapar kvalitet i vården.

Att debattörerna lyckas förtränga de nya krav på informationssäkerhet som kommer att ställas redan nästa år genom dataskyddsförordningen och NIS-direktivet är gåtfullt. Den bekymmerslösa hållningen till lagstiftning och annan demokratiskt beslutad styrning är visserligen inte något nytt. Jag har irl hört en av debattörerna på ett raljerande sätt uttala sig om PuL och Datainspektionen vilket tydligen är en fastslagen hållning som gäller även MSB som här:

”Vi som beslutsfattare måste vara modigare att driva orimliga tolkningar till prövning. Vi kan annars ducka för en bedömning från datainspektionen, MSB eller en lagstiftning som samlar damm någonstans. När lagstiftningen får orimliga konsekvenser måste vi ta ansvar för en sådan förändring. Här krävs det ganska stora ställningstaganden kring integritet för att exempelvis individbasera den”, säger Daniel Forslund.

och här för att ta två färska exempel.  Personligen har jag svårt att kalla det att ”ducka” att följa lag och föreskrifter och att en av landets främsta offentliga makthavare ser det så är aningen svårsmält. Jag vill påminna om att oviljan att underkasta sig lagstiftningen faktiskt är det som ledde till skandalen på Transportstyrelsen. Att samma frifräsande ogenerat demonstreras av vårdens makthavare är bekymmersamt och ger en bild av orsakerna till dagens bristande informationssäkerhet i vården.

Vad som är ändå mer förvånande är artikeln satt i ljuset av Liberalernas starka vilja att profilera sig inom det säkerhetspolitiska området. Att släppa fram en artikel om hälso- och sjukvård som kanske är den mest samhällsviktiga av alla verksamheter som inte tar hänsyn till att verksamheten ska fungera vid större störningar och som en del av totalförsvaret skapar frågor. Att driva på en digitalisering för normalläget är inte tillräckligt, det måste även finnas fungerande robusta lösningar när vi som bäst behöver dem. Har partiet överhuvudtaget en sammanhållet säkerhetspolitisk linje? Eller finns det en linje i Försvarsutskottet och en helt annan när de samhällsviktiga verksamheterna ska styras i praktiken?

Tyvärr är nog inte Liberalerna ensamma om denna vinglighet. Inför valåret 2018 finns det all anledning att känna de kandiderande partierna på pulsen i informationssäkerhetsfrågan och då inte minst i vården.

Att upphandla eller inte upphandla – det är frågan

Känslor är en inte oviktig komponent i säkerhetsarbetet. Gott så, insikter och säkerhetsmedvetande kan inte enbart byggas på logiska resonemang utan förutsätter också en djupare upplevelse. Men ibland kan det bli väl mycket känslor och litet för litet analys. Jag tänker på skandalen vid Transportstyrelsen som inte enbart lockar fram det skarpaste hos människor och då menar jag inte på mängden av skadeglada och litet barnsliga ”vad var det vi sa”-kommentarer som är nog så ansträngande. Framför allt tycker jag att den osorterade diskussion där all offentlig användning av outsourcing och molntjänster jämställs med den lagstridiga outsourcingen vid Transportstyrelsen är osaklig och vilseledande. Istället tror jag att vi måste landa i en mer sansad diskussion om hur den offentliga sektorn ska få ett så välfungerande it-stöd som möjligt vilket inkluderar allt från infrastruktur till appar. Förhoppningsvis skulle en sådan diskussion kunna utmynna i en it-strategi för det offentliga Sverige.

Detta tänker jag återkomma till i ett senare blogginlägg där jag utvecklar det jag skrev i den här artikeln . Artikeln har fått positiv respons. Någon enstaka har misstolkat den och annat som att jag skulle vara för en ohämmad användning av outsourcing och molntjänster, något jag finner ironiskt med tanke på hur ofta det antytts (mer eller mindre explicit) att jag är en säkerhetsbromskloss som motarbetar alla nya härliga digitala tjänster. Det kan vara en trösterik illusion men jag är ändå övertygad om att det är i mellanrummet mellan de fasta positionerna som vägen framåt går. Lösningarna är inte svarta eller vita utan olika delar i en gemensam informationsinfrastruktur måste analyseras i sin egen rätt. I denna struktur kommer icke statligt ägda komponenter att ingå i form av infrastruktur, utrustning, applikationer och tjänster. Så är det redan i dag i hög grad och det är svårt att förstå hur staten skulle kunna utveckla denna helhet i egen regi. Om en intention mot ökad statligt ägande och utvecklande av infrastruktur, utrustning, applikationer och tjänster borde detta föregås av en ordentlig riskanalys där de faktiska riskerna faktiskt värderas. Det skulle motverka känslotänkandet och ge en mer rationell grund för en strategi. Observera att jag uppfattar att det finns argumentation som främst vilar på känslor i båda riktningar, både hos dem som förordar marknadslösningar och hos de som hävdar att säkerheten alltid är bättre i statligt ägda lösningar.

I väntan på en inriktning kommer det på gott och ont att fortsätta att upphandlas både outsourcing och molntjänster av alla möjliga typer. Myndigheter erbjuder även varandra sourcing och tjänster vilket kanske t.o.m. är ännu mer komplicerat ut säkerhetssynpunkt (vilket jag diskuterade i mitt förra blogginlägg). Jag tycker dock inte att vi ska låta oss förtvivlas över detta. Bara för att Transportstyrelsen var dåliga (milt sagt!) på att genomföra en upphandling behöver inte alla myndigheter vara dömda att vara det.

Om vi utgår från att en stor del av it-relaterade tjänster även fortsättningsvis kommer att upphandlas av kommersiella aktörer bör en viktig säkerhetsåtgärd vara att inrikta sig på de offentliga upphandlingarna. Detta kan ske på två nivåer; dels på en gemensam övergripande nivå, dels hos den enskilda myndigheten eller kommunen som ska göra en upphandling.

På den nationella nivån identifierade SOU 2015: 23 Informations- och cybersäkerhet i Sverige (NISU)  säker upphandling som ett av sex strategiska mål. I den nyligen framlagda cybersäkerhetsstrategin  finns däremot inte upphandling bland de sex strategiska prioriteringarna. Det finns ett kortare stycke på sidan 15 som i vaga ordalag säger att stödet för upphandling ska stärkas och därtill kommer att regeringen ska verka för att:

myndigheternas kompetens avseende upphandling av nätverk, produkter och system stärks och att myndigheterna vid upphandlingar säkerställer att hänsyn tas till säkerhetsaspekter

Inte så kraftfullt och det är svårt att se att outsourcing och molntjänster kan inrymmas under ”nätverk, produkter och system”.

För mig förefaller det finnas betydligt större möjligheter för att nationellt förbättra informationssäkerheten i upphandling än vad som framkommer strategin. En viktig del är att ägna större intresse åt molntjänster eftersom det sannolikt är där den stora ökningen av externa tjänster kommer att ske. En del finns att hämta i den rapport som Pensionsmyndigheten levererade som resultatet av ett regeringsuppdrag. För transparensens skull medger jag att jag deltog som expert i den utredningen. Ett förslag i rapporten var att ge MSB i uppdrag att genomföra en riskanalys av användning av molntjänster och andra externa IT-tjänster ur ett nationellt perspektiv, och att föreslå eventuella åtgärder. Detta förslag har dock inte, såvitt jag vet, anammats men borde genomföras, inte nödvändigtvis av MSB utan hellre av en mer sammansatt gruppering. Rätt genomförd där olika alternativ granskas utgör en sådan analys mycket viktig input till en mer strukturerad inriktning av offentlig it.

Upphandlingsmyndigheten omnämns också i förbifarten i cybersäkerhetssäkerhetsstrategin, däremot inte Statens inköpscentral under Kammarkollegiet som trots allt ingår ramavtalen för it och telekom för hela den offentliga sektorn. I ramavtalshanteringen tror jag att det finns en stor potential där det går att ställa tydligare krav på leverantörerna men också att ge betydligt bättre stöd för de avropande myndigheterna att komplettera ramavtalets krav. Att göra bra upphandlingar bygger på att det finns en tydlig kommunikation mellan kund och leverantör vilket i sig förutsätter att kunden kan formulera sina krav. När man tittar på avrop som gjorts innehåller de påfallande litet om informationssäkerhet (en studie har gjorts av detta som tyvärr inte finns tillgänglig på MSB:s webbplats). Min tolkning efter mina kontakter med myndigheter, kommuner och landsting är att man

  1. Tror att ramavtalen tagit hand om säkerhetsfrågorna
  2. Tycker sig sakna kompetens och metoder att ställa rätt krav
  3. Utgår från att leverantörerna med automatik levererar tjänsterna med rätt säkerhet (de har ju säkert fått alla krav redan från andra kunder…).

Sammanfattningsvis tror jag helt enkelt att detta är en för svår fråga för små och medelstora (kanske t.o.m. för stora) myndigheter att hantera autonomt – det finns ett stort behov av effektivt stöd.  Innan jag slutade på MSB började jag arbeta med ett koncept för standardiserade skyddsnivåer som skulle kunna användas bland annat vid upphandlingar. Alltså om kravet är hög nivå på riktighet innebär det de här kraven på tekniska och organisatoriska åtgärder (kraven måste naturligtvis omges av en hög grad av förvaltning så att de hålls aktuella). Min tanke var att detta skulle utgöra en gemensam plattform för kunder och leverantörer där inte unika krav behövde tas fram för varje upphandling. Detta tror jag fortfarande är en bra lösning som borde utvecklas som stöd för alla typer av it-relaterade upphandlingar.

Staten skulle även kunna använda marknadskrafterna till sin fördel och agera som en samlad förhandlingspartner till de stora internationella leverantörerna av molntjänster. Krav på t.ex. var svenska myndigheters information ska hanteras (inom landet), dedikerade/kontrollerad personal och att följa ett  gemensamt regelverk skulle kunna ställas. Detta har redan skett i Tyskland och jag ser inte varför inte Sverige skulle följa detta exempel. I den bästa av världar skulle staten då få både kontroll över sin information och samtidigt få tillgång till de lösningar som de kommersiella leverantörerna kan erbjuda. Detta är en lösning som definitivt bör noggrant utvärderas innan beslut om statliga moln eller koncentration av statlig it-drift beslutas.

Detta är bara några möjligheter för att förbättra på nationell nivå men det finns också mycket i teorin som den enskilda myndigheten eller kommunen kan göra. När jag arbetade på MSB skrev jag en vägledning för informationssäkerhet vid upphandling av it-relaterade tjänster. Så här i efterhand kan jag säga att om Transportstyrelsen kunnat följa vägledningen skulle inte Stefan Löfven behövt avbryta sin semester och två ministrar avgå…

Tanken var att så konkret som möjligt beskriva hur informationssäkerhet på ett bra sätt tas med vid upphandlingar. Vissa har påpekat att det är ett utopiskt tillstånd av väl planerade upphandlingar som redovisas i vägledningen. Jag är naturligtvis medveten om att många upphandlingar sker under stark tidspress och att de upphandlade organisationerna är sällan-köpare som nog saknar den vana och kompetens som skulle krävas för de komplicerade upphandlingar som det ofta gäller. Om man ska gena är det ändå bra att veta vad man inte har gjort som man kanske borde ha gjort. Vägledningen innehåller vissa förenklingar som kanske kan ifrågasättas som t.ex.:

Riskanalysen bör inledas med att kartlägga vilken roll systemet eller tjänsten ska ha i organisationen samt vilka interna och externa intressenter som finns till lösningen när den är i drift. För att kunna göra riskanalysen krävs därför att man översiktligt beskriver vilken information som ska hanteras och på vilket sätt . Vissa aspekter bör säkerställas initialt eftersom de är avgörande för vilka lösningar som är möjliga, som till exempel:

  • Innehåller informationen personuppgifter? Om ja, är dessa uppgifter att betrakta som känsliga personuppgifter?
  • Kan lösningen komma att hantera information som påverkar rikets säkerhet?

Om lösningen är tänkt att hantera denna typ av information kommer det att finnas särskilda säkerhetskrav i lagstiftning som redan från början kan utesluta vissa typer av lösningar som exempelvis molntjänster.

Vän av ordning kan naturligtvis hävda att det går att använda molntjänster och outsourcing för den här typen av information med rätt säkerhetsåtgärder vidtagna. Jag menar dock att det i praktiken innebär krav på kompetens och resurser som flertalet organisationer saknar. Och om man skärskådar verkligheten så kan nog inte mindre myndigheter och kommuner följa vägledningen eftersom de saknar kompetens och resurser att göra ens det. Detta trots att molntjänster och outsourcing innebära en möjlighet att höja säkerheten (för information som inte faller under säkerhetsskyddslagen eller innehåller känsliga personuppgifter). Att undvika att molntjänster när personuppgifter är också ett råd som är allt svårare att följa eftersom även ordinära kontorstjänster som mail, kalender och samarbetsytor naturligtvis innehåller personuppgifter och t.o.m. känsliga personuppgifter. När det är precis de tjänsterna som de flesta myndigheter och kommuner vill köpa som molntjänster uppstår ett dilemma som sannolikt bara går att lösa genom den typ av nationellt avtal som jag tidigare beskrev.

När jag är ute och pratar om upphandling är det två punkter som jag trycker extra hårt på förutom informationsklassning/riskanalys. För det första att man måste första att en upphandling är en process där åtminstone fyra aktörer ingår:

  • Verksamheten som behöver it-stödet
  • It-chef
  • Informationssäkerhetsansvarig
  • Inköpare/upphandlare

Dessa fyra aktörer brukar ofta ha divergerande uppfattningar om både hur upphandlingen ska genomföras och vad den ska leda fram till. Informationssäkerhet är sällan vara en prioriterad del av upphandlingen och många är väl vi som en kravspec i handen med kommentarer av typen: ”kan du slänga in säkerhetskraven till i början av nästa vecka?”

Därför finns det en processbeskrivning med i vägledningen med markering av de aktiviteter där informationssäkerheten bör finnas med.

Tyvärr tror jag även detta är ett råd som är svårt att tillämpa eftersom många organisationer saknar en fastställd process för upphandling – det finns alltså inte struktur att fästa säkerhetsåtgärderna i. I vissa fall kan ett ledningssystem för informationssäkerhet fungera som ett lok som skapar ordning i generella processer genom sin kravställning men alltför många gånger kommer säkerheten in alldeles för sent och med alldeles för liten betydelse.

Det andra jag brukar trycka på är att när vi allt som oftast säger att det måste finnas en beställarkompetens är det inte bara under själva upphandlingen som detta behövs. Som syns i processbeskrivningen så behövs det beställarkompetens inom informationssäkerhetsområdet ända tills att avtalet. Detta glöms ofta bort och det fortlöpande säkerhetsarbetet kommer aldrig till stånd och en inte oväsentlig faktor är att det är svårt för den enskilda myndigheten att få till en metod för att genomföra det. Även den myndighet som varit duktig när det gäller att ställa de initiala kraven får därför en avklingande säkerhet som så småningom övergår till osäkerhet.

Upphandlingsfrågan har länge varit en favorit för mig och jag har predikat på längden och på bredden om dess vikt. Trots att jag in i det längsta vill se konkreta lösningar för att förbättra informationssäkerheten i den enskilda organisationen så förstår läsaren av det här inlägget säkert redan nu att jag ser det som en ganska hopplös uppgift. I offentlig sektor behöver myndigheter, kommuner och regioner en stark nationell plattform för upphandlingar av it-relaterade tjänster för att kunna ta sitt eget ansvar. Med plattform menar jag i all stillsamhet en strategi för hur regeringen tänker sig informationsförsörjningen, en styrmodell för ansvar, mer utvecklade ramavtal, upphandlingsstöd till enskilda organisationer, standardiserade skyddsnivåer och ett nationellt avtal med Microsoft m.fl. Att alla de utredningar som skett inom området inte lyckas greppa frågan uppfattar jag som ett misslyckande och litet av ett svek mot alla de myndigheter, kommuner och landsting som gör så gott de kan för att sköta sina upphandlingar fast de i realiteten kanske har möjlighet att göra det.  De journalister som vill gräva efter undermåliga avtal när det gäller säkerhet kommer sannolikt inte att gå lottlösa i fortsättningen heller. Min fråga i rubriken är helt retorisk. Vi är ett läge där upphandlingar sker och kommer att fortsätta ske. Att se till att de sker med god informationssäkerhet kräver nationella lösningar mycket snart. Om inte annat nafsar dataskyddsförordningen oss alla allt ihärdigare i bakhasorna och finns det inte en nationell beredskap för det så bör general-, region- och kommundirektörerna sova mycket oroligt.

Regeringen måste ha en egen idé om framtidens IT

Eftersom vissa inte kunna läsa den debattartikel som publicerades 4 augusti i SvD eftersom den är låst bakom en betalvägg lägger jag ut texten här.

Det finns flera intressekonflikter när det gäller informationssäkerhet. Så länge ­regeringen är otydlig med vad som ska prioriteras, kan inte myndigheter på egen hand förväntas klara avvägningarna. Det skriver säkerhetsexperten Fia Ewald

Nu pågår en omfattande diskussion rörande Transportsstyrelsens skandal. Den diskussion som förts efter att händelsen blivit känd har kommit att handla om allt möjligt som informationssäkerheten generellt, statliga moln med mera vilket händelsen på Transportsstyrelsen inte egentligen har någon bäring på.

Jag ser istället händelsen som ett symptom på regeringens otydlighet i it-politiken där man inte lyckas skapa en strategisk inriktning som både omfattar ­effektivitet och säkerhet. Detta skapar en kognitiv dissonans* i styrningen som jag menar är den egentliga förklaringen till varför i övrigt kompetenta och förnuftiga generaldirektörer ger sig in i huvudlösa upphandlingar av it-relaterade tjänster.

Informationshantering på samhällsnivå innebär ett antal intressekonflikter; stat kontra ­individ, slutenhet kontra öppenhet, integritet kontra övervakning och så vidare. Den i det här mest intressanta är konflikten effektivitet/ekonomi/verksamhetsnytta och ”säkerhet”. Motsägelsefullheten uppstår när intressekonflikten negligeras eller i vissa fall till och med skapas. I nuläget har regeringen å ena sidan formulerat ett antal förslag rörande att informationssäkerhet och säkerhetsskydd ska stärkas och å andra sidan imperativa budskap om ökad användning av molntjänster och om att bli världsbäst på e-förvaltning kompletterat med önskemål om att statens it-kostnader generellt bör sänkas. Till detta kommer förslaget till ny säkerhetsskyddslag som är mycket otydligt om vad som egentligen ska räknas som inverkande på rikets säkerhet.

Dessa olika intressen går inte att förena fullt ut, det vill säga staten kan inte alltid välja cloud first lika litet som dåligt avvägd säkerhet kan få förhindra verksamhet att fungera på ett effektivt och någorlunda ekonomiskt försvarbart sätt. Min uppfattning är att så länge de här intressekonflikterna inte lyfts fram, diskuteras och blir föremål för en gemensam avvägning på nationell nivå kommer myndighetsledningar att vara utsatta för motstridiga signaler där det är omöjligt att avgöra hur den egna it-verksamheten ska utformas så att den tillgodoser samtliga intressen.

I år har regeringen presenterat både en ­cyber- och informationssäkerhetsstrategi och en digitaliseringsstrategi. Ingen av dessa strategier ger såvitt jag kan se något stöd för myndigheter i hur de ska möta framtiden och hur de ska hantera de olika intressekonflikter som finns. Jag menar att dessa strategier bör få sjunka in i glömskan och ersättas av en ­offentlig it-strategi där olika intressen sammanvägs på ett strukturerat sätt.

För att kunna ta fram en fungerande strategi krävs dock en helt annan nivå på utredandet än hittills och också att man försöker hitta fungerande lösningar för framtiden och inte ägnar sig åt att lösa gårdagens frågor. Det kan visserligen finnas skäl att skapa en statlig molntjänst för lagring och att säkra upp ­datorhallar där så kallad säkerhetskänslig statlig information hanteras. Detta är dock bara dellösningar. Verkligheten idag är att alltmer offentlig information hanteras i molntjänster och dessa molntjänster erbjuder inte bara lagring utan funktionalitet som inte går att erbjuda på annat sätt. När det sägs att outsourcing/molntjänster används av ekonomiska skäl är detta en sanning med stor modifikation – de används snarare i allt högre grad för att uppnå verksamhetsnytta. Dessutom kan molntjänster, rätt upphandlade och med rätt beställarkompetens, innebära en klart förbättrad säkerhet för många verksamheter.

Medan det stormar vidare på regeringsnivå hoppas jag att pendeln inte slår över för långt, att vettskrämda politiker och generaldirektörer uppfattar outsourcing i sig som problemet och fattar beslut som leder till att vi börjar backa in i framtiden. Jag är övertygad om att outsourcing och framför allt molntjänster kommer att öka i betydelse – detta är en verklighet med en mix av egna och köpta lösningar som vi måste lära oss hantera. Det går inte heller att fokusera enbart på statlig it-verksamhet. En övervägande del av samhällsviktig verksamhet ombesörjs av landsting, kommuner och privata aktörer. Informationsflödena sker också mellan alla dessa aktörer i alltmer gemensamma infrastrukturer. Om god informationssäkerhet ska uppnås på samhällsnivå måste dessa olika aktörer samverka och utgå från samma strategiska inriktning.

I ett samhälles it-strategi måste ett vägval göras: Om det är regeringens uppfattning att det är så stora risker att använda kommersiella molntjänster att merparten av offentlig information måste hanteras i lokaler, utrustning, applikationer och tjänster som ägs av myndigheter – då måste det formuleras. Det andra alternativet är att dagens mixade verklighet ska utvecklas.

Oavsett vilket val som görs måste det finnas resurser och kompetens att hantera det valda alternativet. Detta gäller inte minst informationssäkerheten där ett säkerhetsskydd av flera anledningar inte kan utgöra svaret. ­Säkerhetsskydd bör sparas som den yttersta åtgärden för att skydda rikets säkerhet. En ­vidare tillämpning leder bland annat till ­oacceptabla inskränkningar i medborgerliga rättigheter samtidigt som säkerhetsåtgärderna som ingår i säkerhetsskyddet inte svarar mot de krav på tillgänglighet och skydd av personlig integritet som ställs inom samhällsviktig verksamhet.

Tyvärr förefaller många av förslagen som framförts hittills illa genomtänkta, såsom det ofta blir när man reagerar på en akut situation och en specifik händelse. Förhoppningsvis leder inte dessa förslag till snabba åtgärder – istället behövs ett mer analytiskt skede där en helhetsbild av den nuvarande röriga argumentationen sorteras upp. Vi bör också komma överens om att det inte finns en typ av säkerhet eller en lösning. Istället måste vi inse att ”säkerhet” är ett paraplybegrepp där många intressen måste leda fram till en mängd olika lösningar som tillsammans kan leda till ett säkrare samhälle.

För mig förefaller inte lösningarna ligga främst i att styra placeringen av utrustningen utan att på olika sätt styra informationshanteringen genom avtal, tydligt ansvar, upphandlingskompetens, organisation, mjuka tekniska lösningar och kunskap. Men den viktigaste insikten är att så länge inte regeringen ger en inriktning om hur intressekonflikterna ska hanteras kan inte myndigheterna förväntas göra det.