Några reflektioner om budgetproppen

I dessa dagar då persikorna äntligen mognar trots den sommar som aldrig var har jag egentligen inte tid med budgetproppen. Men trots att persikorna insisterar på en omedelbar syltning kommer här ändå några reflektioner med anledningen av regeringens intentioner gällande informationssäkerhet, dock med disclaimern att jag inte i detalj har studerat samtliga av de knappa 4000 sidorna.

Föga förvånande är informationssäkerhet ett prioriterat område. Efter det senaste årets skandaler samt det så beramade ”förändrade omvärldsläget” så kommer sannolikt inte regeringens satsningar på informationssäkerhet i olika former att väcka motstånd hos oppositionen. Själv skulle jag ändå vilja resa frågan om det i första hand är pengar som saknas för att förbättra säkerheten.

Men först till själva pengaregnet. När jag nu håller på att försöka formulera förslag på komponenter i en nationell styrmodell har jag tagit fram en idébild för mig själv för att förstå de många former som informationssäkerhet förekommer i på en samhällsnivå. Redan här vill jag utfärda en stark varning för bristen på logik i bilden.  Samtidigt vågar jag mig på att hävda att denna brist inte enbart beror på mina egna tillkortakommanden utan i kanske lika hög grad på att den verklighet jag försöker beskriva saknar logik.

Viktigt för att förstå bilden är samtliga fyra former av behov av/krav på informationssäkerhet kan förekomma i samma organisation. De avklingande pilarna syftar till att försöka beskriva en intresseavvägning; i det ”normala” säkerhetsarbetet sker riskbedömningar hela tiden där hänsyn hela tiden måste tas till andra värden för den egna organisationen och samhället medan i den andra änden är säkerhetskraven mer absoluta. Ett exempel på det senare är ju av att demokratiska rättigheter som insyn inte kan anföras då de ställs som säkerhetsbedömningarna. Jag kommer att återkomma till den här bilden i senare inlägg, just nu använder jag den bara för att resonera kring budgetproppen.

Det mest revolutionerande var den digitaliseringsmyndighet som regeringen beslutat ska skapas under 2018 med ett anslag första året som är något högre än ESV:s (vilket är litet ironiskt eftersom ESV har varit en av de starkaste lobbyisterna för digitaliseringsmyndighet och en kandidat för att bli det). Det är alltså ingen liten myndighet man konstruerar även om anslagen planeras att sjunka längre fram. Förutom att man slänger in hanteringen av tjänster som e-legitimation och Mina meddelanden får den nya myndigheten ansvar för att samordna arbetet med Öppna data. Myndigheten kan väl ses som ett nytt och något mer kraftfullt försök att samordna digitaliseringen efter raddan av tämligen misslyckade initiativ från Toppledareforum och framåt till e-Delegationen och Digitaliseringskommissionen. I budgetpropositionen står inget vad jag kan se om att myndigheten ska ha något särskilt ansvar för informationssäkerhet men i intervjuer med bland annat civilminister Shekarabi efter att proppen presenterats luftas sådana tankar som här. Att informationssäkerhet är en förutsättning för en lyckad digitalisering är något som både jag själv och andra framfört med emfas så principiellt är det en naturlig tanke att sammanföra frågorna. Vi är då i boxen ”normal verksamhet”. Mandatet, ansvaret och uppgiften är dock synnerligen oklart.

Det utökade förvaltningsanslaget till MSB på 40 miljoner till informationssäkerhet och psykologiskt försvar får väl ses som något som hamnar i boxarna ”samhällsviktig verksamhet” respektive ”totalförsvar/civil beredskap”. Här bör det betonas att det är tillskott till redan omfattande medel. Jag uppfattar att den generella inriktningen för MSB blir tydligare och tydligare civilt försvar och samhällsviktig verksamhet vilket sannolikt kommer att prägla även myndighetens insatser inom informationssäkerhetsområdet. Utrymmet för denna typ av spekulationer är stort eftersom det inte finns någon offentliggjord strategi från myndigheten.

SÄPO får en rundlig extra dusör för att arbeta med den nya säkerhetsskyddslagen. Vad Försvarsmakten och SÄPO i övrigt gör inom informationssäkerhetsområdet är svårt att överblicka utifrån på grund av den sekretess som råder. Att PTS föreslås få ett årligt tillskott på 13 miljoner för att ”vidta åtgärder som säkerställer myndighetens långsiktiga arbete avseende säkerhetsskydd och informationssäkerhet för att bättre möta förändrade och framtida krav som ställs.” är däremot en öppen uppgift i proppen.  Här dyker alltså återigen boxarna för totalförsvar och säkerhetsskydd upp.

Sådär kan man fortsätta att hoppa omkring i budgetpropositionen för att försöka greppa statens insatser för att förbättra informationssäkerhet. För mig framstår de krav på informationssäkerhet som ställs i den normala verksamheten och som stödjer intressen som är centrala för individen, demokratiska värden, ekonomi och effektivitet påfallande nedprioriterade. Detta trots att samma budgetproposition understryker behovet av ökad digitalisering. Det hänvisas i proppen till strategierna för informations- och cybersäkerhet respektive för digitalisering men som jag i tidigare blogginlägg beskrivit är båda dessa styrdokument egendomligt inriktade mot säkerhetsskydd. De värden jag låtit symboliseras i form av pilar blir därmed som jag ser det osynliggjorda och inte medtagna i en större riskanalys som omfattar mer en ren säkerhet. Det är till nackdel både för enskilda och för samhället i stort.

En liknande outtalad prioritering görs inom digitaliseringsområdet där öppna data lyfts fram som en viktig uppgift för den nya digitaliseringsmyndigheten medan möjligheten att förbättra den demokratiska insynen i myndigheternas verksamhet inte alls omnämns. Självklart måste Sverige följa PSI-direktivet men det vore en fördel med ett motsvarande engagemang för att förverkliga kraven som emanerar ur grundlagen på god offentlighetsstruktur och insyn. Obalansen mellan näringslivsintresset för öppna data och det demokratiska intresset av en öppen och tillgänglig förvaltning kan förmodas ha ett ursprung i att it-frågorna hittills legat på näringsdepartementet. Detta är ju tämligen ologiskt eftersom regeringens (oavsett färg) inriktning inom digitaliseringsområdet främst varit att utveckla förvaltningen vilket borde motiverat en placering tillsammans med övriga förvaltningsstyrningsfrågor. Problemformuleringen påverkas naturligtvis av i vilket politikområde som har taktpinnen. Nu tyder vissa budgetanslag på en förflyttning av frågan i rätt riktning.

Min upplevelse efter att ha läst strategierna för digitalisering respektive cyber- och informationssäkerhet tillsammans med den budgetproposition där strategiernas första steg mot ett förverkligande är att de båda områdena lider av liknande brist på inriktning. Jag har redan klankat på strategierna och budgetpropositionens riktningslöshet bekräftar mina farhågor. När det gäller säkerhetsområdet kan jag inte urskilja något som tyder på att det genomförts en riskanalys som motiverar fördelningen av medel. Istället förefaller det vara samma typ av brandsläckningsinsatser på nationell nivå som förekommer i organisationer som saknar ett systematiskt informationssäkerhetsarbete. Inte heller kan jag se något samband mellan de olika satsningarna eller stöd för de olika involverade myndigheterna att samordna sig.

För att hitta en positiv trådände så skulle det kunna finnas Ariadnetråd ut ur labyrinten om digitaliseringsmyndigheten skulle kunna formeras till en fungerande myndighet med styrkraft och som kan ta över informationssäkerhetsfrågorna för den normala verksamheten. Om värdena i de fyra pilarna lyfts fram som frågor som ska ligga i myndighetens uppdrag att driva skulle hypotetiskt sett en bättre balans mellan säkerhet och verksamhetsnytta kunna uppnås. På sätt skulle även försummade frågor som stöd för enskildas säkerhet kunna kopplas ett digitalt medborgarskap liksom relationen mellan öppenhet och slutenhet kunna lyftas fram och avvägas. En utveckling i denna riktning skulle kräva ett stort kulturskifte där digitaliseringsmyndigheten inte blir en statlig ideologifabrik av samma typ som exempelvis Digitaliseringskommissionen. Jag är inte alldeles optimistisk då jag återgår till mina husmorssysslor.

En nationell styrmodell del 1

De senaste månaderna har det knappt gått en dag utan att informations- och it-säkerhet utgör en del av medias huvudnyheter. Det känns litet ovant att helt plötsligt arbeta med ett hett ämne men mediabevakningen ger också en insikt om hur området ser ut utifrån. En inte helt uppbygglig syn: det finns stora problem som varit kända sedan länge och som det satsas omfattande resurser på för att lösa men där det råder förvirring i hur de aktörer som arbetar med frågan ska koordinera sig. Vanligt förekommande reportage är en myndighetsrepresentant som presenterar hotbilder med tillägget att den egna myndigheten har förslag på lösningar som går att fixa bara man får mer pengar. En trött metafor är klassfotboll där alla sjuåringar springer på bollen samtidigt, i mitt huvud har istället titeln på en pjäs av Pirandello dykt upp: Sex roller söker en författare. Det behövs helt uppenbart ett gemensamt manus för samhällets aktörer.

Efter några inlägg av ständigt gnäll är det dags att skriva litet mer om vad som kan göras. Då menar jag inte för den enskilda organisationen utan litet mer pretentiöst på den nationella nivån.  I några inlägg ska jag resonera om den nationella styrmodell för informationssäkerhet som den enhet jag ledde på MSB började arbeta med, ett arbete som dess värre aldrig hann fullföljas. Inläggen kommer att i huvudsak utgå från offentlig sektors behov men eftersom det finns ett stort antal privata aktörer som deltar i leveransen av det gemensamma åtagandet är det inte ett helt konsekvent perspektiv.

Utgångspunkten är att trots avsevärda insatser tycks inte informationssäkerheten förbättras nämnvärt i förhållandet till den digitala utvecklingen. Gapet mellan den verkliga säkerhetsnivån och den önskvärda ständiga ökas istället för att slutas. Eftersom bilden är genomgående och den samma oavsett om det är myndigheter, landsting eller kommuner vi pratar om får det ses som ett strukturproblem som sannolikt inte går att avhjälpa i den enskilda organisationen utan kräver en gemensam styrning. Och även om det förekommit mycket fnysande kommentarer efter både skandalen vid Transportstyrelsen och nu senast om polis-debaclet av typen ”hur svårt kan det vara?” så är nog min uppfattning att det inte så himla enkelt att göra rätt som vissa vill hävda. Orsaken är både bristen på samordning och en attityd hos de myndigheter som ska ge stöd som inte skulle ge full poäng i en kundnöjdhetsundersökning.

En annan premiss är att informationssäkerhet inte är en fråga. Även om vi bortser från det semantiska kaos som rått i den senaste tidens mediabevakning där begreppen informations-, it- och cybersäkerhet flugit som konfetti i luften återstår ett behov av att se olika dimensioner. En grundläggande skillnad ligger i å ena sidan verksamhetens eget behov och å andra sidan statens krav på verksamheten. Statens krav är sig mångtydiga från att skydda rikets säkerhet till att se till samhällets funktionalitet vilket inte är riktigt samma sak och dessutom tillkommer all upptänklig lagstiftning som innebär implicita krav på säkerhet. Informationssäkerhet kan rimligen ses som en metodlåda som kan och ska användas i olika syften som är delvis motstridiga. För att ta ett aktuellt exempel fick i dagarna FRA och MUST förstärkning med närmare en halv miljard för att åtgärder inom informations- och cybersäkerhetsområdet. I kommentarer framgår det att avsikten är att utöka övervakningen med bland annat ytterligare sensorsystem. Samtidigt ställer dataskyddsförordningen krav på stärkt personlig integritet vilket föranleder ett antal informationssäkerhetsåtgärder. Att säga att ökad trafikövervakning inte direkt gynnar den personliga integriteten är väl inte att ta till överord. Och så har vi NIS-direktivet som ska införas och som inte heller har mycket att komma med i det hänseendet mer än detta:

Paragrafen genomför artikel 14.1–2 i NIS-direktivet. Valet av säkerhetsåtgärder enligt 11 och 12 §§ ska grunda sig på en riskanalys. Analysen ska kunna användas som beslutsstöd för leverantörens prioriteringar och avvägningar mellan olika typer av säkerhetsåtgärder i förhållande till tjänstens funktionalitet, finansiella och administrativa konsekvenser samt skyddet för den personliga integriteten.

Medan OECD tycker det är integritetsfrågorna är livsviktiga för den digitala ekonomin och att integritet och informationssäkerhet tillsammans måste tjäna som en plattform för diverse positiva utvecklingsfaktorer.

Security and privacy are essential for the digital economy to continue to serve as a platform for innovation, new sources of economic growth and social development. The OECD focuses on the development of better policies to ensure that security and privacy foster economic and social prosperity in an open and interconnected digital world.

Informationssäkerhet är alltså en mädchen für alles från totalförsvaret till den enskildes säkerhet vid e-handel. Många organisationer får därför hantera en mycket komplex kravbild på informationssäkerhet som idag inte är samordnad. En styrmodell för informationssäkerhet skulle fylla en väsentlig funktion genom att integrera mångfalden av delvis motstridiga krav till en helhet. Om detta inte sker på nationell nivå tvingas varje enskild organisation försöka lösa samma frågor med varierande resultat. Förutom ett gigantiskt resursslöseri leder det också till försämrad förmåga att samverka i den gemensamma informationshantering som idag redan är uppbyggd samt till kvalitetsproblem. Som så ofta vill jag här peka på kommunernas prekära situation när de med små organisationer ändå förväntas klara detta.

Utanför själva styrmodellen ligger en avgörande förutsättning: den offentliga sektorns användning av olika typer av it-resurser. Informationssäkerheten måste vara utformad så den svarar på de behov som användningen av it skapar. De säkerhetsåtgärder som behövs är av helt olika typ beroende på om den strategiska inriktningen är att man ska fortsätta på den väg mot ”cloud first” som tidigare beslutats eller om det ska ske en återgång mot mer drift och förvaltning i egen regi. Detta påverka även faktorer som långsiktiga behov av investeringar i teknik och kompetensförsörjning. Men inte bara de explicita målen för it-politiken spelar roll. Att it-politik idag fortfarande, liksom under Alliansens regeringstid, ligger kvar som en näringspolitisk fråga ger en väsentlig förklaring till avsaknaden av tydlig inriktning för offentlig sektors digitalisering. Detta är inte bara ett signalvärde utan gör att digitaliseringen ligger utanför den övriga förvaltningspolitiken. Mycket påtagligt präglar det den lätt förvirrade strategin för digitalisering.

Ryggmärgsreflexen för många i säkerhetsbranschen när man talar om styrning är ”reglering”, ett kvardröjande arv från den militär-polisiära bakgrunden. Jag tror dock att det finns stora fördelar i att försöka se på styrningen av informationssäkerhet som på styrningen av övriga områden inom staten och den offentliga sektorn. Att begrunda hur den svenska förvaltningsstyrningen generellt är tänkt att fungera är ett fruktbart spår där lärdomar kan dras till exempel från ESV:s breda uppdrag. Personligen menar jag att den inom informationssäkerhetsområdet kanske mest underutnyttjade men samtidigt mest effektiva styrformen är kunskapsstyrning.
Styrningen kan inte heller ske enbart från de myndigheter ”med särskilda uppgifter inom området informationssäkerhet”. En stor del av kraven på informationssäkerhetsåtgärder genereras från annat håll och då inte enbart från dataskyddsförordningen utan en mängd lagar, avtal och överenskommelser. Min tolkning är att den förändrade kravbilden också kommer att förskjuta styrningen mot mer proaktivitet än den i huvudsak reaktiva inriktning som hittills varit rådande där insatser som tillsyn och incidentrapportering varit prioriterade.

Som den löshäst jag numera är, utan de förpliktigande hämskor som tyvärr vidlåder den statlige tjänstepersonen idag, tänkte jag unna mig att fritt spekulera i några inlägg om förutsättningarna för en nationell styrmodell och hur den skulle kunna se ut. Inledningsvis ska jag uppmärksamma olika aktörer inom informationssäkerhetsområdet, vad de erbjuder idag samt (något förmätet) försöka bedöma en eventuell utvecklingspotential.