En nationell styrmodell del 1

De senaste månaderna har det knappt gått en dag utan att informations- och it-säkerhet utgör en del av medias huvudnyheter. Det känns litet ovant att helt plötsligt arbeta med ett hett ämne men mediabevakningen ger också en insikt om hur området ser ut utifrån. En inte helt uppbygglig syn: det finns stora problem som varit kända sedan länge och som det satsas omfattande resurser på för att lösa men där det råder förvirring i hur de aktörer som arbetar med frågan ska koordinera sig. Vanligt förekommande reportage är en myndighetsrepresentant som presenterar hotbilder med tillägget att den egna myndigheten har förslag på lösningar som går att fixa bara man får mer pengar. En trött metafor är klassfotboll där alla sjuåringar springer på bollen samtidigt, i mitt huvud har istället titeln på en pjäs av Pirandello dykt upp: Sex roller söker en författare. Det behövs helt uppenbart ett gemensamt manus för samhällets aktörer.

Efter några inlägg av ständigt gnäll är det dags att skriva litet mer om vad som kan göras. Då menar jag inte för den enskilda organisationen utan litet mer pretentiöst på den nationella nivån.  I några inlägg ska jag resonera om den nationella styrmodell för informationssäkerhet som den enhet jag ledde på MSB började arbeta med, ett arbete som dess värre aldrig hann fullföljas. Inläggen kommer att i huvudsak utgå från offentlig sektors behov men eftersom det finns ett stort antal privata aktörer som deltar i leveransen av det gemensamma åtagandet är det inte ett helt konsekvent perspektiv.

Utgångspunkten är att trots avsevärda insatser tycks inte informationssäkerheten förbättras nämnvärt i förhållandet till den digitala utvecklingen. Gapet mellan den verkliga säkerhetsnivån och den önskvärda ständiga ökas istället för att slutas. Eftersom bilden är genomgående och den samma oavsett om det är myndigheter, landsting eller kommuner vi pratar om får det ses som ett strukturproblem som sannolikt inte går att avhjälpa i den enskilda organisationen utan kräver en gemensam styrning. Och även om det förekommit mycket fnysande kommentarer efter både skandalen vid Transportstyrelsen och nu senast om polis-debaclet av typen ”hur svårt kan det vara?” så är nog min uppfattning att det inte så himla enkelt att göra rätt som vissa vill hävda. Orsaken är både bristen på samordning och en attityd hos de myndigheter som ska ge stöd som inte skulle ge full poäng i en kundnöjdhetsundersökning.

En annan premiss är att informationssäkerhet inte är en fråga. Även om vi bortser från det semantiska kaos som rått i den senaste tidens mediabevakning där begreppen informations-, it- och cybersäkerhet flugit som konfetti i luften återstår ett behov av att se olika dimensioner. En grundläggande skillnad ligger i å ena sidan verksamhetens eget behov och å andra sidan statens krav på verksamheten. Statens krav är sig mångtydiga från att skydda rikets säkerhet till att se till samhällets funktionalitet vilket inte är riktigt samma sak och dessutom tillkommer all upptänklig lagstiftning som innebär implicita krav på säkerhet. Informationssäkerhet kan rimligen ses som en metodlåda som kan och ska användas i olika syften som är delvis motstridiga. För att ta ett aktuellt exempel fick i dagarna FRA och MUST förstärkning med närmare en halv miljard för att åtgärder inom informations- och cybersäkerhetsområdet. I kommentarer framgår det att avsikten är att utöka övervakningen med bland annat ytterligare sensorsystem. Samtidigt ställer dataskyddsförordningen krav på stärkt personlig integritet vilket föranleder ett antal informationssäkerhetsåtgärder. Att säga att ökad trafikövervakning inte direkt gynnar den personliga integriteten är väl inte att ta till överord. Och så har vi NIS-direktivet som ska införas och som inte heller har mycket att komma med i det hänseendet mer än detta:

Paragrafen genomför artikel 14.1–2 i NIS-direktivet. Valet av säkerhetsåtgärder enligt 11 och 12 §§ ska grunda sig på en riskanalys. Analysen ska kunna användas som beslutsstöd för leverantörens prioriteringar och avvägningar mellan olika typer av säkerhetsåtgärder i förhållande till tjänstens funktionalitet, finansiella och administrativa konsekvenser samt skyddet för den personliga integriteten.

Medan OECD tycker det är integritetsfrågorna är livsviktiga för den digitala ekonomin och att integritet och informationssäkerhet tillsammans måste tjäna som en plattform för diverse positiva utvecklingsfaktorer.

Security and privacy are essential for the digital economy to continue to serve as a platform for innovation, new sources of economic growth and social development. The OECD focuses on the development of better policies to ensure that security and privacy foster economic and social prosperity in an open and interconnected digital world.

Informationssäkerhet är alltså en mädchen für alles från totalförsvaret till den enskildes säkerhet vid e-handel. Många organisationer får därför hantera en mycket komplex kravbild på informationssäkerhet som idag inte är samordnad. En styrmodell för informationssäkerhet skulle fylla en väsentlig funktion genom att integrera mångfalden av delvis motstridiga krav till en helhet. Om detta inte sker på nationell nivå tvingas varje enskild organisation försöka lösa samma frågor med varierande resultat. Förutom ett gigantiskt resursslöseri leder det också till försämrad förmåga att samverka i den gemensamma informationshantering som idag redan är uppbyggd samt till kvalitetsproblem. Som så ofta vill jag här peka på kommunernas prekära situation när de med små organisationer ändå förväntas klara detta.

Utanför själva styrmodellen ligger en avgörande förutsättning: den offentliga sektorns användning av olika typer av it-resurser. Informationssäkerheten måste vara utformad så den svarar på de behov som användningen av it skapar. De säkerhetsåtgärder som behövs är av helt olika typ beroende på om den strategiska inriktningen är att man ska fortsätta på den väg mot ”cloud first” som tidigare beslutats eller om det ska ske en återgång mot mer drift och förvaltning i egen regi. Detta påverka även faktorer som långsiktiga behov av investeringar i teknik och kompetensförsörjning. Men inte bara de explicita målen för it-politiken spelar roll. Att it-politik idag fortfarande, liksom under Alliansens regeringstid, ligger kvar som en näringspolitisk fråga ger en väsentlig förklaring till avsaknaden av tydlig inriktning för offentlig sektors digitalisering. Detta är inte bara ett signalvärde utan gör att digitaliseringen ligger utanför den övriga förvaltningspolitiken. Mycket påtagligt präglar det den lätt förvirrade strategin för digitalisering.

Ryggmärgsreflexen för många i säkerhetsbranschen när man talar om styrning är ”reglering”, ett kvardröjande arv från den militär-polisiära bakgrunden. Jag tror dock att det finns stora fördelar i att försöka se på styrningen av informationssäkerhet som på styrningen av övriga områden inom staten och den offentliga sektorn. Att begrunda hur den svenska förvaltningsstyrningen generellt är tänkt att fungera är ett fruktbart spår där lärdomar kan dras till exempel från ESV:s breda uppdrag. Personligen menar jag att den inom informationssäkerhetsområdet kanske mest underutnyttjade men samtidigt mest effektiva styrformen är kunskapsstyrning.
Styrningen kan inte heller ske enbart från de myndigheter ”med särskilda uppgifter inom området informationssäkerhet”. En stor del av kraven på informationssäkerhetsåtgärder genereras från annat håll och då inte enbart från dataskyddsförordningen utan en mängd lagar, avtal och överenskommelser. Min tolkning är att den förändrade kravbilden också kommer att förskjuta styrningen mot mer proaktivitet än den i huvudsak reaktiva inriktning som hittills varit rådande där insatser som tillsyn och incidentrapportering varit prioriterade.

Som den löshäst jag numera är, utan de förpliktigande hämskor som tyvärr vidlåder den statlige tjänstepersonen idag, tänkte jag unna mig att fritt spekulera i några inlägg om förutsättningarna för en nationell styrmodell och hur den skulle kunna se ut. Inledningsvis ska jag uppmärksamma olika aktörer inom informationssäkerhetsområdet, vad de erbjuder idag samt (något förmätet) försöka bedöma en eventuell utvecklingspotential.

 

Vad vill Liberalerna?

Jag kan faktiskt inte släppa den här debattartikeln från Liberalerna, undertecknad av bland annat en utmanare om partiledarposten. Den illustrerar tydligt några orsaker till Transportstyrelse-skandalen och den ännu större skandalen: den usla informationssäkerheten i vården. För att inte genast mötas med argument som att ”vill du ha tillbaka pappersjournalerna då?” vill jag föra till protokollet att jag är en varm anhängare av digitalisering – men på rätt sätt och med tillräcklig säkerhet.

Här har vi ett parti som efter en sommar då informationssäkerhet var huvudnyhet i alla medier, en generaldirektör och två ministrar fått avgå och en tredje sannolikt även han på väg. När detta inte får dem att dra slutsatsen att när helst digitalisering diskuteras måste det följas av åtminstone ordet informationssäkerhet är det svårt att ens fantisera om vilken medial atombomb som skulle väcka dem.

Att dessutom hävda att vårdens utmaningar inom informationshantering skulle kunna avhjälpas genom digitalisering är att banalisera frågan på ett sätt som är närmast en förolämpning mot de som arbetar i vården. Alla som sett hur överdokumentation och byråkratisering har växt i takt med de New Public Management-ideal som präglat vården sedan slutet av åttiotalet (och som haft mycket varma förespråkare i Liberalerna) inser att det inte räcker med att slänga in nya appar och plattor för att förändra arbetssituationen. Jag tror inte heller att de som är praktiska utförare av vård är tillfreds med appar som gör att patientuppgifter hamnar på okända servrar i USA, tjänster som gör att uppgifterna om läkemedel inte är korrekta, att deras signatur under en ordination kan vara satt av någon annan eller att trygghetslarmen i vart femte fall inte fungerar. Informationssäkerhet motverkar inte patientens eller personalens intresse utan är något som skapar kvalitet i vården.

Att debattörerna lyckas förtränga de nya krav på informationssäkerhet som kommer att ställas redan nästa år genom dataskyddsförordningen och NIS-direktivet är gåtfullt. Den bekymmerslösa hållningen till lagstiftning och annan demokratiskt beslutad styrning är visserligen inte något nytt. Jag har irl hört en av debattörerna på ett raljerande sätt uttala sig om PuL och Datainspektionen vilket tydligen är en fastslagen hållning som gäller även MSB som här:

”Vi som beslutsfattare måste vara modigare att driva orimliga tolkningar till prövning. Vi kan annars ducka för en bedömning från datainspektionen, MSB eller en lagstiftning som samlar damm någonstans. När lagstiftningen får orimliga konsekvenser måste vi ta ansvar för en sådan förändring. Här krävs det ganska stora ställningstaganden kring integritet för att exempelvis individbasera den”, säger Daniel Forslund.

och här för att ta två färska exempel.  Personligen har jag svårt att kalla det att ”ducka” att följa lag och föreskrifter och att en av landets främsta offentliga makthavare ser det så är aningen svårsmält. Jag vill påminna om att oviljan att underkasta sig lagstiftningen faktiskt är det som ledde till skandalen på Transportstyrelsen. Att samma frifräsande ogenerat demonstreras av vårdens makthavare är bekymmersamt och ger en bild av orsakerna till dagens bristande informationssäkerhet i vården.

Vad som är ändå mer förvånande är artikeln satt i ljuset av Liberalernas starka vilja att profilera sig inom det säkerhetspolitiska området. Att släppa fram en artikel om hälso- och sjukvård som kanske är den mest samhällsviktiga av alla verksamheter som inte tar hänsyn till att verksamheten ska fungera vid större störningar och som en del av totalförsvaret skapar frågor. Att driva på en digitalisering för normalläget är inte tillräckligt, det måste även finnas fungerande robusta lösningar när vi som bäst behöver dem. Har partiet överhuvudtaget en sammanhållet säkerhetspolitisk linje? Eller finns det en linje i Försvarsutskottet och en helt annan när de samhällsviktiga verksamheterna ska styras i praktiken?

Tyvärr är nog inte Liberalerna ensamma om denna vinglighet. Inför valåret 2018 finns det all anledning att känna de kandiderande partierna på pulsen i informationssäkerhetsfrågan och då inte minst i vården.

Att upphandla eller inte upphandla – det är frågan

Känslor är en inte oviktig komponent i säkerhetsarbetet. Gott så, insikter och säkerhetsmedvetande kan inte enbart byggas på logiska resonemang utan förutsätter också en djupare upplevelse. Men ibland kan det bli väl mycket känslor och litet för litet analys. Jag tänker på skandalen vid Transportstyrelsen som inte enbart lockar fram det skarpaste hos människor och då menar jag inte på mängden av skadeglada och litet barnsliga ”vad var det vi sa”-kommentarer som är nog så ansträngande. Framför allt tycker jag att den osorterade diskussion där all offentlig användning av outsourcing och molntjänster jämställs med den lagstridiga outsourcingen vid Transportstyrelsen är osaklig och vilseledande. Istället tror jag att vi måste landa i en mer sansad diskussion om hur den offentliga sektorn ska få ett så välfungerande it-stöd som möjligt vilket inkluderar allt från infrastruktur till appar. Förhoppningsvis skulle en sådan diskussion kunna utmynna i en it-strategi för det offentliga Sverige.

Detta tänker jag återkomma till i ett senare blogginlägg där jag utvecklar det jag skrev i den här artikeln . Artikeln har fått positiv respons. Någon enstaka har misstolkat den och annat som att jag skulle vara för en ohämmad användning av outsourcing och molntjänster, något jag finner ironiskt med tanke på hur ofta det antytts (mer eller mindre explicit) att jag är en säkerhetsbromskloss som motarbetar alla nya härliga digitala tjänster. Det kan vara en trösterik illusion men jag är ändå övertygad om att det är i mellanrummet mellan de fasta positionerna som vägen framåt går. Lösningarna är inte svarta eller vita utan olika delar i en gemensam informationsinfrastruktur måste analyseras i sin egen rätt. I denna struktur kommer icke statligt ägda komponenter att ingå i form av infrastruktur, utrustning, applikationer och tjänster. Så är det redan i dag i hög grad och det är svårt att förstå hur staten skulle kunna utveckla denna helhet i egen regi. Om en intention mot ökad statligt ägande och utvecklande av infrastruktur, utrustning, applikationer och tjänster borde detta föregås av en ordentlig riskanalys där de faktiska riskerna faktiskt värderas. Det skulle motverka känslotänkandet och ge en mer rationell grund för en strategi. Observera att jag uppfattar att det finns argumentation som främst vilar på känslor i båda riktningar, både hos dem som förordar marknadslösningar och hos de som hävdar att säkerheten alltid är bättre i statligt ägda lösningar.

I väntan på en inriktning kommer det på gott och ont att fortsätta att upphandlas både outsourcing och molntjänster av alla möjliga typer. Myndigheter erbjuder även varandra sourcing och tjänster vilket kanske t.o.m. är ännu mer komplicerat ut säkerhetssynpunkt (vilket jag diskuterade i mitt förra blogginlägg). Jag tycker dock inte att vi ska låta oss förtvivlas över detta. Bara för att Transportstyrelsen var dåliga (milt sagt!) på att genomföra en upphandling behöver inte alla myndigheter vara dömda att vara det.

Om vi utgår från att en stor del av it-relaterade tjänster även fortsättningsvis kommer att upphandlas av kommersiella aktörer bör en viktig säkerhetsåtgärd vara att inrikta sig på de offentliga upphandlingarna. Detta kan ske på två nivåer; dels på en gemensam övergripande nivå, dels hos den enskilda myndigheten eller kommunen som ska göra en upphandling.

På den nationella nivån identifierade SOU 2015: 23 Informations- och cybersäkerhet i Sverige (NISU)  säker upphandling som ett av sex strategiska mål. I den nyligen framlagda cybersäkerhetsstrategin  finns däremot inte upphandling bland de sex strategiska prioriteringarna. Det finns ett kortare stycke på sidan 15 som i vaga ordalag säger att stödet för upphandling ska stärkas och därtill kommer att regeringen ska verka för att:

myndigheternas kompetens avseende upphandling av nätverk, produkter och system stärks och att myndigheterna vid upphandlingar säkerställer att hänsyn tas till säkerhetsaspekter

Inte så kraftfullt och det är svårt att se att outsourcing och molntjänster kan inrymmas under ”nätverk, produkter och system”.

För mig förefaller det finnas betydligt större möjligheter för att nationellt förbättra informationssäkerheten i upphandling än vad som framkommer strategin. En viktig del är att ägna större intresse åt molntjänster eftersom det sannolikt är där den stora ökningen av externa tjänster kommer att ske. En del finns att hämta i den rapport som Pensionsmyndigheten levererade som resultatet av ett regeringsuppdrag. För transparensens skull medger jag att jag deltog som expert i den utredningen. Ett förslag i rapporten var att ge MSB i uppdrag att genomföra en riskanalys av användning av molntjänster och andra externa IT-tjänster ur ett nationellt perspektiv, och att föreslå eventuella åtgärder. Detta förslag har dock inte, såvitt jag vet, anammats men borde genomföras, inte nödvändigtvis av MSB utan hellre av en mer sammansatt gruppering. Rätt genomförd där olika alternativ granskas utgör en sådan analys mycket viktig input till en mer strukturerad inriktning av offentlig it.

Upphandlingsmyndigheten omnämns också i förbifarten i cybersäkerhetssäkerhetsstrategin, däremot inte Statens inköpscentral under Kammarkollegiet som trots allt ingår ramavtalen för it och telekom för hela den offentliga sektorn. I ramavtalshanteringen tror jag att det finns en stor potential där det går att ställa tydligare krav på leverantörerna men också att ge betydligt bättre stöd för de avropande myndigheterna att komplettera ramavtalets krav. Att göra bra upphandlingar bygger på att det finns en tydlig kommunikation mellan kund och leverantör vilket i sig förutsätter att kunden kan formulera sina krav. När man tittar på avrop som gjorts innehåller de påfallande litet om informationssäkerhet (en studie har gjorts av detta som tyvärr inte finns tillgänglig på MSB:s webbplats). Min tolkning efter mina kontakter med myndigheter, kommuner och landsting är att man

  1. Tror att ramavtalen tagit hand om säkerhetsfrågorna
  2. Tycker sig sakna kompetens och metoder att ställa rätt krav
  3. Utgår från att leverantörerna med automatik levererar tjänsterna med rätt säkerhet (de har ju säkert fått alla krav redan från andra kunder…).

Sammanfattningsvis tror jag helt enkelt att detta är en för svår fråga för små och medelstora (kanske t.o.m. för stora) myndigheter att hantera autonomt – det finns ett stort behov av effektivt stöd.  Innan jag slutade på MSB började jag arbeta med ett koncept för standardiserade skyddsnivåer som skulle kunna användas bland annat vid upphandlingar. Alltså om kravet är hög nivå på riktighet innebär det de här kraven på tekniska och organisatoriska åtgärder (kraven måste naturligtvis omges av en hög grad av förvaltning så att de hålls aktuella). Min tanke var att detta skulle utgöra en gemensam plattform för kunder och leverantörer där inte unika krav behövde tas fram för varje upphandling. Detta tror jag fortfarande är en bra lösning som borde utvecklas som stöd för alla typer av it-relaterade upphandlingar.

Staten skulle även kunna använda marknadskrafterna till sin fördel och agera som en samlad förhandlingspartner till de stora internationella leverantörerna av molntjänster. Krav på t.ex. var svenska myndigheters information ska hanteras (inom landet), dedikerade/kontrollerad personal och att följa ett  gemensamt regelverk skulle kunna ställas. Detta har redan skett i Tyskland och jag ser inte varför inte Sverige skulle följa detta exempel. I den bästa av världar skulle staten då få både kontroll över sin information och samtidigt få tillgång till de lösningar som de kommersiella leverantörerna kan erbjuda. Detta är en lösning som definitivt bör noggrant utvärderas innan beslut om statliga moln eller koncentration av statlig it-drift beslutas.

Detta är bara några möjligheter för att förbättra på nationell nivå men det finns också mycket i teorin som den enskilda myndigheten eller kommunen kan göra. När jag arbetade på MSB skrev jag en vägledning för informationssäkerhet vid upphandling av it-relaterade tjänster. Så här i efterhand kan jag säga att om Transportstyrelsen kunnat följa vägledningen skulle inte Stefan Löfven behövt avbryta sin semester och två ministrar avgå…

Tanken var att så konkret som möjligt beskriva hur informationssäkerhet på ett bra sätt tas med vid upphandlingar. Vissa har påpekat att det är ett utopiskt tillstånd av väl planerade upphandlingar som redovisas i vägledningen. Jag är naturligtvis medveten om att många upphandlingar sker under stark tidspress och att de upphandlade organisationerna är sällan-köpare som nog saknar den vana och kompetens som skulle krävas för de komplicerade upphandlingar som det ofta gäller. Om man ska gena är det ändå bra att veta vad man inte har gjort som man kanske borde ha gjort. Vägledningen innehåller vissa förenklingar som kanske kan ifrågasättas som t.ex.:

Riskanalysen bör inledas med att kartlägga vilken roll systemet eller tjänsten ska ha i organisationen samt vilka interna och externa intressenter som finns till lösningen när den är i drift. För att kunna göra riskanalysen krävs därför att man översiktligt beskriver vilken information som ska hanteras och på vilket sätt . Vissa aspekter bör säkerställas initialt eftersom de är avgörande för vilka lösningar som är möjliga, som till exempel:

  • Innehåller informationen personuppgifter? Om ja, är dessa uppgifter att betrakta som känsliga personuppgifter?
  • Kan lösningen komma att hantera information som påverkar rikets säkerhet?

Om lösningen är tänkt att hantera denna typ av information kommer det att finnas särskilda säkerhetskrav i lagstiftning som redan från början kan utesluta vissa typer av lösningar som exempelvis molntjänster.

Vän av ordning kan naturligtvis hävda att det går att använda molntjänster och outsourcing för den här typen av information med rätt säkerhetsåtgärder vidtagna. Jag menar dock att det i praktiken innebär krav på kompetens och resurser som flertalet organisationer saknar. Och om man skärskådar verkligheten så kan nog inte mindre myndigheter och kommuner följa vägledningen eftersom de saknar kompetens och resurser att göra ens det. Detta trots att molntjänster och outsourcing innebära en möjlighet att höja säkerheten (för information som inte faller under säkerhetsskyddslagen eller innehåller känsliga personuppgifter). Att undvika att molntjänster när personuppgifter är också ett råd som är allt svårare att följa eftersom även ordinära kontorstjänster som mail, kalender och samarbetsytor naturligtvis innehåller personuppgifter och t.o.m. känsliga personuppgifter. När det är precis de tjänsterna som de flesta myndigheter och kommuner vill köpa som molntjänster uppstår ett dilemma som sannolikt bara går att lösa genom den typ av nationellt avtal som jag tidigare beskrev.

När jag är ute och pratar om upphandling är det två punkter som jag trycker extra hårt på förutom informationsklassning/riskanalys. För det första att man måste första att en upphandling är en process där åtminstone fyra aktörer ingår:

  • Verksamheten som behöver it-stödet
  • It-chef
  • Informationssäkerhetsansvarig
  • Inköpare/upphandlare

Dessa fyra aktörer brukar ofta ha divergerande uppfattningar om både hur upphandlingen ska genomföras och vad den ska leda fram till. Informationssäkerhet är sällan vara en prioriterad del av upphandlingen och många är väl vi som en kravspec i handen med kommentarer av typen: ”kan du slänga in säkerhetskraven till i början av nästa vecka?”

Därför finns det en processbeskrivning med i vägledningen med markering av de aktiviteter där informationssäkerheten bör finnas med.

Tyvärr tror jag även detta är ett råd som är svårt att tillämpa eftersom många organisationer saknar en fastställd process för upphandling – det finns alltså inte struktur att fästa säkerhetsåtgärderna i. I vissa fall kan ett ledningssystem för informationssäkerhet fungera som ett lok som skapar ordning i generella processer genom sin kravställning men alltför många gånger kommer säkerheten in alldeles för sent och med alldeles för liten betydelse.

Det andra jag brukar trycka på är att när vi allt som oftast säger att det måste finnas en beställarkompetens är det inte bara under själva upphandlingen som detta behövs. Som syns i processbeskrivningen så behövs det beställarkompetens inom informationssäkerhetsområdet ända tills att avtalet. Detta glöms ofta bort och det fortlöpande säkerhetsarbetet kommer aldrig till stånd och en inte oväsentlig faktor är att det är svårt för den enskilda myndigheten att få till en metod för att genomföra det. Även den myndighet som varit duktig när det gäller att ställa de initiala kraven får därför en avklingande säkerhet som så småningom övergår till osäkerhet.

Upphandlingsfrågan har länge varit en favorit för mig och jag har predikat på längden och på bredden om dess vikt. Trots att jag in i det längsta vill se konkreta lösningar för att förbättra informationssäkerheten i den enskilda organisationen så förstår läsaren av det här inlägget säkert redan nu att jag ser det som en ganska hopplös uppgift. I offentlig sektor behöver myndigheter, kommuner och regioner en stark nationell plattform för upphandlingar av it-relaterade tjänster för att kunna ta sitt eget ansvar. Med plattform menar jag i all stillsamhet en strategi för hur regeringen tänker sig informationsförsörjningen, en styrmodell för ansvar, mer utvecklade ramavtal, upphandlingsstöd till enskilda organisationer, standardiserade skyddsnivåer och ett nationellt avtal med Microsoft m.fl. Att alla de utredningar som skett inom området inte lyckas greppa frågan uppfattar jag som ett misslyckande och litet av ett svek mot alla de myndigheter, kommuner och landsting som gör så gott de kan för att sköta sina upphandlingar fast de i realiteten kanske har möjlighet att göra det.  De journalister som vill gräva efter undermåliga avtal när det gäller säkerhet kommer sannolikt inte att gå lottlösa i fortsättningen heller. Min fråga i rubriken är helt retorisk. Vi är ett läge där upphandlingar sker och kommer att fortsätta ske. Att se till att de sker med god informationssäkerhet kräver nationella lösningar mycket snart. Om inte annat nafsar dataskyddsförordningen oss alla allt ihärdigare i bakhasorna och finns det inte en nationell beredskap för det så bör general-, region- och kommundirektörerna sova mycket oroligt.

Regeringen måste ha en egen idé om framtidens IT

Eftersom vissa inte kunna läsa den debattartikel som publicerades 4 augusti i SvD eftersom den är låst bakom en betalvägg lägger jag ut texten här.

Det finns flera intressekonflikter när det gäller informationssäkerhet. Så länge ­regeringen är otydlig med vad som ska prioriteras, kan inte myndigheter på egen hand förväntas klara avvägningarna. Det skriver säkerhetsexperten Fia Ewald

Nu pågår en omfattande diskussion rörande Transportsstyrelsens skandal. Den diskussion som förts efter att händelsen blivit känd har kommit att handla om allt möjligt som informationssäkerheten generellt, statliga moln med mera vilket händelsen på Transportsstyrelsen inte egentligen har någon bäring på.

Jag ser istället händelsen som ett symptom på regeringens otydlighet i it-politiken där man inte lyckas skapa en strategisk inriktning som både omfattar ­effektivitet och säkerhet. Detta skapar en kognitiv dissonans* i styrningen som jag menar är den egentliga förklaringen till varför i övrigt kompetenta och förnuftiga generaldirektörer ger sig in i huvudlösa upphandlingar av it-relaterade tjänster.

Informationshantering på samhällsnivå innebär ett antal intressekonflikter; stat kontra ­individ, slutenhet kontra öppenhet, integritet kontra övervakning och så vidare. Den i det här mest intressanta är konflikten effektivitet/ekonomi/verksamhetsnytta och ”säkerhet”. Motsägelsefullheten uppstår när intressekonflikten negligeras eller i vissa fall till och med skapas. I nuläget har regeringen å ena sidan formulerat ett antal förslag rörande att informationssäkerhet och säkerhetsskydd ska stärkas och å andra sidan imperativa budskap om ökad användning av molntjänster och om att bli världsbäst på e-förvaltning kompletterat med önskemål om att statens it-kostnader generellt bör sänkas. Till detta kommer förslaget till ny säkerhetsskyddslag som är mycket otydligt om vad som egentligen ska räknas som inverkande på rikets säkerhet.

Dessa olika intressen går inte att förena fullt ut, det vill säga staten kan inte alltid välja cloud first lika litet som dåligt avvägd säkerhet kan få förhindra verksamhet att fungera på ett effektivt och någorlunda ekonomiskt försvarbart sätt. Min uppfattning är att så länge de här intressekonflikterna inte lyfts fram, diskuteras och blir föremål för en gemensam avvägning på nationell nivå kommer myndighetsledningar att vara utsatta för motstridiga signaler där det är omöjligt att avgöra hur den egna it-verksamheten ska utformas så att den tillgodoser samtliga intressen.

I år har regeringen presenterat både en ­cyber- och informationssäkerhetsstrategi och en digitaliseringsstrategi. Ingen av dessa strategier ger såvitt jag kan se något stöd för myndigheter i hur de ska möta framtiden och hur de ska hantera de olika intressekonflikter som finns. Jag menar att dessa strategier bör få sjunka in i glömskan och ersättas av en ­offentlig it-strategi där olika intressen sammanvägs på ett strukturerat sätt.

För att kunna ta fram en fungerande strategi krävs dock en helt annan nivå på utredandet än hittills och också att man försöker hitta fungerande lösningar för framtiden och inte ägnar sig åt att lösa gårdagens frågor. Det kan visserligen finnas skäl att skapa en statlig molntjänst för lagring och att säkra upp ­datorhallar där så kallad säkerhetskänslig statlig information hanteras. Detta är dock bara dellösningar. Verkligheten idag är att alltmer offentlig information hanteras i molntjänster och dessa molntjänster erbjuder inte bara lagring utan funktionalitet som inte går att erbjuda på annat sätt. När det sägs att outsourcing/molntjänster används av ekonomiska skäl är detta en sanning med stor modifikation – de används snarare i allt högre grad för att uppnå verksamhetsnytta. Dessutom kan molntjänster, rätt upphandlade och med rätt beställarkompetens, innebära en klart förbättrad säkerhet för många verksamheter.

Medan det stormar vidare på regeringsnivå hoppas jag att pendeln inte slår över för långt, att vettskrämda politiker och generaldirektörer uppfattar outsourcing i sig som problemet och fattar beslut som leder till att vi börjar backa in i framtiden. Jag är övertygad om att outsourcing och framför allt molntjänster kommer att öka i betydelse – detta är en verklighet med en mix av egna och köpta lösningar som vi måste lära oss hantera. Det går inte heller att fokusera enbart på statlig it-verksamhet. En övervägande del av samhällsviktig verksamhet ombesörjs av landsting, kommuner och privata aktörer. Informationsflödena sker också mellan alla dessa aktörer i alltmer gemensamma infrastrukturer. Om god informationssäkerhet ska uppnås på samhällsnivå måste dessa olika aktörer samverka och utgå från samma strategiska inriktning.

I ett samhälles it-strategi måste ett vägval göras: Om det är regeringens uppfattning att det är så stora risker att använda kommersiella molntjänster att merparten av offentlig information måste hanteras i lokaler, utrustning, applikationer och tjänster som ägs av myndigheter – då måste det formuleras. Det andra alternativet är att dagens mixade verklighet ska utvecklas.

Oavsett vilket val som görs måste det finnas resurser och kompetens att hantera det valda alternativet. Detta gäller inte minst informationssäkerheten där ett säkerhetsskydd av flera anledningar inte kan utgöra svaret. ­Säkerhetsskydd bör sparas som den yttersta åtgärden för att skydda rikets säkerhet. En ­vidare tillämpning leder bland annat till ­oacceptabla inskränkningar i medborgerliga rättigheter samtidigt som säkerhetsåtgärderna som ingår i säkerhetsskyddet inte svarar mot de krav på tillgänglighet och skydd av personlig integritet som ställs inom samhällsviktig verksamhet.

Tyvärr förefaller många av förslagen som framförts hittills illa genomtänkta, såsom det ofta blir när man reagerar på en akut situation och en specifik händelse. Förhoppningsvis leder inte dessa förslag till snabba åtgärder – istället behövs ett mer analytiskt skede där en helhetsbild av den nuvarande röriga argumentationen sorteras upp. Vi bör också komma överens om att det inte finns en typ av säkerhet eller en lösning. Istället måste vi inse att ”säkerhet” är ett paraplybegrepp där många intressen måste leda fram till en mängd olika lösningar som tillsammans kan leda till ett säkrare samhälle.

För mig förefaller inte lösningarna ligga främst i att styra placeringen av utrustningen utan att på olika sätt styra informationshanteringen genom avtal, tydligt ansvar, upphandlingskompetens, organisation, mjuka tekniska lösningar och kunskap. Men den viktigaste insikten är att så länge inte regeringen ger en inriktning om hur intressekonflikterna ska hanteras kan inte myndigheterna förväntas göra det.

 

Pendelrörelser

En standardscen ur mitt arbetsliv 2010-2015: ett möte angående e-förvaltning, e-hälsa eller liknande på nationell nivå. Jag sträcker upp handen och säger något i stil med ”vi måste få in informationssäkerhet”, ”riskanalys, informationsklassning, kravställning, ansvarsfördelning”, ”den personliga integriteten är en viktig säkerhetsdimension”. Mina inlägg möts som alltid antingen med invändningar med innebörden att säkerhet motverkar verksamhetens syfte eller, i de flesta fallen, tystnad. Efter något år sa jag, aningen ironiskt, ”ni vet vad jag kommer att säga och nu säger jag det så kan ni gå vidare”. På andra möten med myndigheter med så kallat särskilt ansvar för informationssäkerhet mötte jag samma oförstående reaktioner inför de verksamhetskrav som finns bland annat inom hälso- och sjukvård. Jag kände mig som ett växelrelä mellan två världar med begränsad förståelse för varandras förutsättningar med mantrat: effektivitet och säkerhet, säkerhet och effektivitet.

Händelserna på Transportstyrelsen belyser med neon de negativa konsekvenserna av oförmågan att styra den digitala utvecklingen på ett sammanhållet sätt. Jag tänker här inte den kommentera de politiska förvecklingarna även om de är dramatiska utan istället resonera om några av de förslag som framförts på lösningar för att förhindra liknande händelser. Min huvudtes är att förslagen lider av att det saknas en tydlig problemformulering – vad är det egentligen lösningarna avhjälpa?

Säkerhetsskydd och informationssäkerhet

Det som väckt mest intresse är att det i Transportstyrelsens outsourcing ingått information som faller under säkerhetsskyddslagen. Detta är naturligtvis helt huvudlöst och jag är fortfarande förvånad över att SÄPO inte lyckades förhindra det. Att det ingått hemlig information har dock gett hela den efterföljande diskussionen en olycklig slagsida mot att all outsourcing av myndigheters informationshantering är ett säkerhetsproblem (vilket också är rätt konstigt med tanke på att privata leverantörer står för rätt stor av bland annat utrustning, fordon, konsulter o.s.v. inom t.ex. Försvarsmakten). Så är inte fallet menar jag – rätt genomförd kan outsourcing och användande av molntjänster ha en säkerhetshöjande effekt för många myndigheter. Många myndigheter har problem med att få tillräckliga resurser och kompetens för att kunna upprätthålla en rimlig it-säkerhet och då har vi ändå inte talat om kommuner och landsting. Det är också något lätt verklighetsfrämmande i att hävda det skulle vara möjligt att backa bandet och hämta tillbaka all information som idag hanteras i molntjänster som är den alltmer dominerande formen av outsourcing. Skämtsamt brukade jag redan på andra sidan decennieskiftet hävda att det förvarades mer allmänna handlingar på Projektplatsen än i Riksarkivet. Idag kan myndigheter upphandla sina kontorstjänster i form av molntjänster via Kammarkollegiet vilket också allt fler gör. Kommunal verksamhet liksom hälso- och sjukvård byggs i snabb takt på allt fler molntjänster och inte bara för traditionella it-tjänster utan även för telefoni, välfärdsteknologi o.s.v.. Vad som förbigås i den nu pågående diskussionen är att molntjänsterna inte handlar om lagring av information utan de allt oftare ersätter verksamhetssystemen. De ger också helt nya integrationsmöjligheter mellan funktioner som tidigare varit inlåsta i olika system. Min inte helt originella prognos är att ”system” på det sätt vi tänker idag inom 10 år är döda och har ersatts funktionalitet som hämtas från olika tekniska lösningar som interagerar via internet. Det leder också till att den traditionella outsourcingen som nu ägnas ett så stort intresse också kommer att få en klart minskad betydelse.

Jag som ägnat mycket tid åt att skriva om teknikskiftet inom massaindustrin på 1800-talet känner igen ett teknikskifte när jag ser ett. Historien visar ganska entydigt på att båtar föga att försöka gå emot ett sådant – det är snabb anpassning till nya förutsättningar som är den viktiga framgångsfaktorn i en sådan situation. Det gäller även för informationssäkerhetsområdet menar jag.

Om att vi nu, vilket vissa tycks mena och den förslaget till säkerhetsskyddslag antyder, skulle inkludera samhällsviktig verksamhet i det som ska falla under säkerhetsskyddslagen – vad blir konsekvenserna? Det skulle visserligen kunna förhindra outsourcing i många fall men det skulle också ett antal andra negativa konsekvenser. Den gällande säkerhetsskyddslagen gäller skyddet av information som kan påverka rikets säkerhet om den blir röjd för obehöriga. Detta är tydligt avgränsade informationsmängder som ska vara identifierade och kända för organisationen som hanterar dem. Skyddsåtgärder av både organisatoriskt och teknisk karaktär finns beskrivna och ska tillämpas oavsett kostnad eller organisationens krav på effektivitet. Det är alltså ett binärt förhållande som inte är riskbaserat – en organisations ledning har egentligen ingen egen möjlighet att påverka hanteringen och äger inte risken. Detta är motsatsen till ett systematiskt informationssäkerhetsarbete som bygger på att ledningen ska styra säkerheten genom att väga säkerhetsåtgärder i förhållande till risker för verksamheten. I det systematiska informationssäkerhetsarbetet är ekonomiska avväganden en naturlig del.

Säkerhetsskyddet utgör inte ett skydd för något annat än rikets säkerhet i bemärkelsen röjande av hemlig information för obehöriga. De säkerhetsåtgärder som stipuleras är inriktade på konfidentialitetsaspekten och till viss del på någon slags robusthet. Om man ser på samhällsviktig verksamhet så är kravbilden helt annorlunda med exempelvis höga krav på tillgänglighet, spårbarhet och riktighet. I den allmänna röran har även uppgifter om skyddade personuppgifter, skydd för den personliga integriteten och säkerhetsskydd förekommit i samma andetag. Det är då viktigt att förstå att säkerhetsskyddet inte avser skydd för den personliga integriteten.

För mig förefaller det märkligt att det finns en önskan om att devalvera betydelsen av rikets säkerhet. Som SÄPO påpekar i sin vägledning angående säkerhetsskydd finns det ingen legal definition av ”rikets säkerhet” men det får ändå sägas att det får vara rätt rejäla saker för att uppfylla kraven:

Någon legaldefinition av begreppet rikets säkerhet finns inte. Rikets säkerhet kan dock sägas avse såväl den yttre säkerheten för det nationella oberoendet som den inre säkerheten för det demokratiska statsskicket.

Det är alltså det nationella oberoendet respektive det demokratiska statsskicket som är det egentliga skyddsobjektet. Merparten av samhällsviktig verksamhet kan knappast sägas nå upp till den nivån mer än i enskildheter. Däremot har man mycket stora behov av informationssäkerhet men det är en annan fråga. Jag menar att säkerhetsåtgärderna på den yttersta nivån som säkerhetsskyddet innebär måste sparas till det syfte som de är avsedda för i annat fall kommer säkerhetsskyddet i sin helhet att urholkas. Det är en generell erfarenhet att säkerhetsåtgärder som inte kan motiveras löper en stor risk att kringgås och då får man en situation med en fiktiv säkerhet vilket kanske är den mest svårhanterliga situationen av alla.

Låt oss ändå leka med tanken att säkerhetsskyddsåtgärder börjar tillämpas i en vidare omfattning, typ för information som är ”känslig” eller samhällsviktig. Det skulle ju i så fall inte bara påverka outsourcing utan även myndigheternas interna verksamhet. Yippie – bort med de kreativa flexikontoren! Men också bort med de smidiga molntjänsterna och de resefria mötena. Och hur vård och omsorg ska klara sig är en gåta, ska varje enstaka server i den nationella infrastrukturen utformas som enligt SÄPO:s krav, ska all vårdpersonal klassas? Bäva månde de redan hårt prövade patienterna.

Önskan att vilja utvidga säkerhetsskyddet så att det även ska kunna tillämpas för att skydda det som ligger utanför det som definieras som rikets säkerhet är förståelig. Har man en hammare så ser allt ut som spikar eller hur det nu brukar heta. I ny situation griper man ofta efter det man har till hands och just nu verkar tanken på ett utvidgat säkerhetsskydd vara en tröst för många. Jag menar att detta är en lösning som är en tankevurpa vilket jag skrivit ett längre blogginlägg om apropå förslaget till nu säkerhetsskyddslag . Istället bör det upprätthållas en distinkt gräns mellan säkerhetsskydd och systematiskt informationssäkerhetsarbete med verksamhetsinriktning. Likaså bör en tydlig linje gå mellan säkerhetsskydd och samhällsviktig verksamhet.

I detta fall borde problemformuleringen vara: vi har ett stort antal offentliga och privata verksamheter som har ett stort behov av att förbättra sin informationssäkerhet. Vissa av verksamheterna, exempelvis inom vård och omsorg, har kanske de mest komplexa kraven på informationssäkerhet över huvud taget i samhället.  På dessa krav är inte säkerhetsskydd en lösning. Istället måste det byggas upp stöd för att dessa verksamheter ska kunna bygga upp ett systematiskt informationssäkerhetsarbete som motsvarar deras behov. Stödet måste vara utformat så att det kan hantera den snabba tekniska och organisatoriska utvecklingen samt integrera i strukturer där många aktörer samverkar. Ansvarsförhållandena för informationshanteringen och informationssäkerheten måste vara närmast övertydliga.

Statliga molntjänster

Andra har vädrat morgonluft och fört fram den nygamla idéen att Statens servicecenter ska få uppdraget att skapa en statlig ”molntjänst” eller kanske infrastruktur. Låt mig redan här säga att jag inte är kategoriskt emot statlig samordning eller inte ser problemet med att staten outsourcar stora informationsmängder till privata aktörer. En fråga jag bevakat är exempelvis Hälsa för mig där jag senast uttalade mig i DN tidigare i år. Däremot är jag inte övertygad om att storskalig statlig datadrift är lösningen på de problem som bör prioriteras. Dessutom ser jag ett antal frågeställningar som måste hanteras om en statlig ”molntjänst” ska bli en framgång ens för statlig verksamhet.

I Statens servicecenters rapport från februari är det endast lagring och datakraft som ska erbjudas. Eller som generaldirektören säger i en DN-artikel:

– Jag sa till regeringen att: bilda tio stycken stora datacentraler där vi lägger in servrarna. Vi föreslog helt enkelt en statlig molntjänst som skulle innebära att staten äger datahallen och servrarna, säger Thomas Pålsson.

I samma artikel uttalar sig civilminister Ardalan Shekarabi på detta något enigmatiska sätt:

I stället vill Shekarabi bygga upp en gemensam struktur för de mest säkerhetskänsliga myndigheter.

– Så att vi kan insourca verksamheter. Det är det som är i pipeline just nu, säger han.

– Då handlar det om att gemensamt bygga upp en verksamhet så att man kan insourca det man har outsourcat. Så att man minskar behovet av att outsourca. Helst ska man inte outsourca.

Ministern påpekar dessutom att den rapport som Statens Servicecenter lämnat där de vill ta hand om myndigheters information ”saknar säkerhetstänk”. Precis nu (torsdag den 27 juli) ger Shekarabi ett uppdrag till PTS att ta fram en modell för säkra it-utrymmen för säkerhetskänsliga myndigheter.

Frågorna hopar sig. Att Statens Servicecenter vill utöka sitt uppdrag är tydligt men exakt vad är det man vill erbjuda? Det ministern verkar avse är någon slags gemensam datacentral för säkerhetskänsliga myndigheter vilka dessa nu är. Min bedömning är att det som i detta skulle kunna vara en vettig och framkomlig väg är att skapa en gemensam infrastruktur för information som faller under säkerhetsskyddslagen eftersom det ställer så sära tekniska och organisatoriska krav. Den skulle dock knappast vara lämplig att lägga hos Statens Servicecenter.

Jag ställer mig däremot tveksam till fördelen med att staten skulle skapa en egen molntjänstleverantör (eller om det nu är sourcing man egentligen avser) för en bredare målgrupp även om jag kan se behovet hos särskilt mindre myndigheter (egendomligt nog bygger Statens servicecenters utsagor när det gäller behov på intervjuer med de 15 största myndigheterna). I Statens servicecenters rapport framgår inte hur en statlig leverantör skulle vara konkurrenskraftig i förhållande till stora it- och molntjänstleverantörer och innehåller inte heller ekonomiska beräkningar som stödjer det caset. En inte helt oviktig faktor är den svårighet att rekrytera rätt och tillräcklig kompetens till en statlig it-leverantör. Det gäller inte bara effektivitet utan även säkerhet. Min högst subjektiva uppfattning är att kompetensen och den möjliga leveransen hos de kommersiella leverantörerna ligger rätt långt över vad statliga myndigheter kan leverera. Problemet är att staten generellt inte är bra beställare, särskilt inte inom säkerhetsområdet.  Risken är alltså att myndigheterna får sämre och dyrare lösningar. Här tror jag att det finns viktiga erfarenheter från Kommundata som var it-leverantör åt kommunerna under en period under 90-talet.

Den aspekten blir ännu mer akut när man tänker på vad som ska levereras.  Det som Statens servicecenter kallar molntjänster är lagring och datakraft men det är inte den typen av ”primitiva” molntjänster som kommer att dominera i myndighetsvärlden. Det är sammanväxta lösningar av kommunikation, samarbetsytor, planeringsstöd och ärendehantering som på sikt kan komma att ersätta ett antal verksamhetssystem. Dessa lösningar kommer endast att vara tillgängliga som molntjänster och att Statens Servicecenter ska kunna ta fram likvärdiga produkter som exempelvis Microsoft finner jag tämligen osannolikt.

Det är också välkänt att det är svårt för staten att vara leverantör åt staten – detta har varit ett återkommande tema i e-förvaltningsarbetet. Eftersom statliga myndigheter inte kan sluta avtal med varandra har kundmyndigheterna betydligt svagare ställning i förhållande till en systermyndighet än till en kommersiell leverantör. Det visade sig också under Statens Servicecenters första tid när myndigheter var skyldiga att överlåta bland annat lönehantering till servicecentret men inte hade reella möjligheter att genomdriva sina säkerhetskrav. Vilket leder över till ett annat, som jag ser det, avgörande principiellt problem, nämligen vem som har ansvar för den information som lagras hos en servicemyndighet. Jag hävdar att det är informationsägaren, det vill säga kundmyndigheten, som har ansvar för att informationen hanteras med tillräcklig säkerhet. Detta ansvar går inte att uppfylla om man inte kan skriva bindande avtal med sin leverantör. I denna oklarhet i ansvar ligger en mycket stor risk som visserligen delvis skulle kunna hanteras genom en professionell struktur av skyddsnivåer som kunden kan välja mellan, detta räcker dock inte. Sannolikheten att kärnverksamhetens säkerhet börjar styras från servicemyndigheten men att ansvaret ligger kvar hos kundmyndigheterna är överhängande. Det är verkligen att sätta vagnen framför hästen och skapar ytterligare en dimension av oklarhet i ansvar. Om det blir ett informationsläckage eller om bristande tillgänglighet i myndighetsinformationen leder till skada för tredje man vems är då ansvaret? När internationella jämförelser görs glömmer man ofta bort den svenska förvaltningsstrukturen med självständiga myndigheter med eget ansvar. Det här är en fråga som måste klarläggas även legalt liksom kundmyndigheternas möjlighet att styra så att inte samkörning görs av olika myndigheters information. Sett ur ett integritetsperspektiv förefaller idag privata leverantörer ha ett större intresse för att skydda enskildas integritet än myndigheter vilket måste ses som risk då större mängder information ska sammanföras från olika myndigheter.

Ett annat problem med den här typen av lösningar är den vertikala integrationen där staten både är kund och leverantör. Som kund vill man ha maximal output, som leverantör vill man ha maximal intäkt. I offentlig verksamhet leder detta ofta till stora svårigheter i styrningen eftersom man hamnar i ingenmansland mellan intäkts- respektive budgetfinansiering. Även här finns lärdomar från Kommundata men också Inera och dess föregångare i landstingsvärlden. Resultatet blir negativt och oförutsägbart för kunden eftersom man inte kan styra genom att välja en annan leverantör men samtidigt inte har makt över monopolleverantören.

Min mest avgörande invändning är dock att det idag inte går att avgränsa informationshanteringen till att vara ”statlig”. Myndigheter, kommuner, landsting och privata aktörer samverkar allt mer integrerat och frågan är då vad som ska hanteras i det statliga molnet. Ska även privata aktörer som utför uppdrag åt staten ingå? Ska kommuner som utbyter information med Försäkringskassan ingå? Hur stort ska det statliga molnet egentligen bli? Och, slutligen, jag tror inte de största riskerna idag ligger hos de statliga myndigheterna utan hos kommuner och landsting som både står för merparten av den samhällsviktiga verksamheten och ofta har sämst möjligheter skapa säkra lösningar. Med en dåres envishet upprepar jag att detta är vad som borde prioriteras framför allt annat.

Det var ju inte särskilt konstruktivt

Medan det stormar vidare på regeringsnivå hoppas jag att pendeln inte slår över för långt, att vettskrämda politiker och generaldirektörer uppfattar outsourcing i sig som problemet och fattar beslut som leder till att vi börjar backa in i framtiden. Jag är övertygad om att outsourcing och framför allt molntjänster kommer att öka i betydelse – detta är en verklighet med en mix av egna och köpta lösningar som vi måste lära oss hantera.

Jag kommer ihåg när jag på tidigt 1990-tal besökte en liten vårdcentral som vi kan kalla Söpple VC för att se över informationshanteringen. En läkare pekade på vårdcentralens dator som satt fastspänd under skrivbordet på det där sättet som kanske inte alla kommer ihåg. Han sa: ”Nu vill de ta datorn ifrån oss och ha vår information i distriktets datorhall, hur ska jag då kunna skydda mina patienter?” Hans fråga är lika relevant idag som då efter att informationen förflyttas från den enskilda datorn till distriktets datorhall, till landstingets datorhall, till nationell nivå och nu till molnet. Det är vår uppgift som säkerhetsmänniskor att ge svaret på den frågan. Vi har inte lyckats särskilt bra i tidigare skeden med tanke på hur det ser ut, därför bör vi mobilisera på ett konstruktivt sätt nu.

Det vore bra om vi innan vi går vidare kan enas om att avvägningen mellan effektivitet och säkerhet inte är en enkel fråga utan det finns reella intressekonflikter som måste hanteras. Vi bör också komma överens om att det inte finns en typ av säkerhet eller en lösning. Istället måste vi inse att ”säkerhet” är ett paraplybegrepp där många intressen måste leda fram till en mängd olika lösningar som tillsammans kan leda till säkrare samhälle.  Och som sagt: vi måste bli mycket duktigare på att problemformulera för att kunna hitta rätt lösningar. För mig förefaller inte lösningarna ligga främst i att styra placeringen av utrustningen utan att på olika sätt styra informationshanteringen genom avtal, upphandlingskompetens, organisation, mjuka tekniska lösningar och kunskap. Jag utlovar att i ett senare inlägg återkomma till mer konkreta förslag.

Transportstyrelsen och it-politikens kognitiva dissonans

Den unika händelsen att en GD får sparken efter att ha beslutat att outsourca information där även uppgifter som faller under säkerhetsskyddslagen ingått har skapat ett stort buzz i säkerhetsvärlden. Det är en uppseendeväckande och skandalös historia som skett på Transportstyrelsen där myndighetsledningen tycks huvudlöst ha struntat i alla varningar och uppmaningar. Mest förvånande är kanske att SÄPO enligt uppgift i media varit involverade och framfört synpunkter men inte lyckats genomdriva dem. Jag är dock inte särskilt förvånad och det är inte första gången myndighetsledningar tar medvetna beslut om att genomföra upphandlingar som om inte direkt lagvidriga innebär mycket stora risker.

I den upphetsade stämning som råder kan det vara bra att försöka konkretisera vad som faktiskt hänt (så som jag tolkar det utifrån medierapporteringen).

  • Det var känt att det fanns information som föll under säkerhetsskyddslagen i de system som skulle outsourcas
  • Ledningen och styrelsen var medvetna om detta
  • Ett aktivt beslut fattades att trots kännedom om detta fullfölja outsourcingen

Kontentan är för mig att det inte är en informationssäkerhetsfråga utan en fråga om hur regeringen styr sina myndighetschefer och säkerställer att de bland annat efterlever säkerhetsskyddslagen samt förhoppningsvis även annan lagstiftning.

Nu pågår en omfattande diskussion rörande Transportstyrelsens skandal där många inlägg är skrivna i till synes stor affekt. Inte minst debattörer med säkerhetsanknytning kommer pepprade salvor och förslag på åtgärder som sägs kunna motverka att liknande händelser skulle kunna inträffa igen. Tyvärr tycker jag många av förslagen verkar illa genomtänkta, såsom det ofta blir när man reagerar på en akut situation och en specifik händelse. Förhoppningsvis leder inte dessa förslag till snabba åtgärder – istället behövs ett mer analytiskt skede, en helhetsbild där den nuvarande röriga argumentationen något sorteras upp. Den diskussion som förts efter att händelsen blivit känd har också kommit att handla om allt möjligt som informationssäkerheten generellt, statliga moln m.m. vilket händelsen på Transportstyrelsen inte egentligen har någon bäring på. Jag ser istället händelsen som ett symptom på regeringens otydlighet i it-politiken där man inte lyckas skapa en strategisk inriktning som  omfattar både effektivitet och säkerhet. Detta skapar en kognitiv dissonans i styrningen som jag menar är avgörande förklaring till varför i övrigt kompetenta och förnuftiga generaldirektörer ger sig in i huvudlösa upphandlingar av it-relaterade tjänster.

Låt mig förtydliga. Informationshantering på samhällsnivå innebär ett antal intressekonflikter som jag skrivit om i tidigare blogginlägg; stat – indvid, integritet – övervakning o.s.v. Den i det här mest intressanta är konflikten effektivitet/ekonomi och ”säkerhet”.  Informationssäkerhet innehåller i sig motstridiga intressen som mellan tillgänglighet och konfidentialitet men det lämnar jag för tillfället åt sidan. Den kognitiva dissonansen uppstår när intressekonflikten negligeras eller i vissa fall t.o.m. skapas. I nuläget har regeringen å ena sidan formulerat ett antal förslag rörande att informationssäkerhet och säkerhetsskydd ska stärkas (jag skriver det som två punkter för jag anser inte att det är samma sak) och å ena sidan andra imperativa budskap kring ökad användning av molntjänster och om att bli världsbäst på e-förvaltning. Dessutom framförs ofta önskemål om att statens it-kostnader generellt bör sänkas. Till detta kommer dessutom att förslaget till ny säkerhetsskyddslag är så otydligt om vad som egentligen ska räknas som inverkande på rikets (OK Sveriges) säkerhet. Dessa olika intressen går inte att förena fullt ut, det vill säga staten kan inte alltid välja cloud first lika litet som att dåligt avvägd säkerhet kan få förhindra verksamhet att fungera på ett effektivt och någorlunda ekonomiskt försvarbart sätt. Min uppfattning är att så länge de här intressekonflikterna inte lyfts fram, diskuteras och blir föremål för en gemensam avvägning på nationell nivå kommer myndighetsledningar att vara utsatta för en kognitiv dissonans där det är omöjligt att avgöra hur den egna it-verksamheten ska utformas så att den tillgodoser samtliga intressen.

För att skapa en bredare bild än säkerhetsskyddsfrågan på Transportstyrelsen vill jag göra en återkoppling till för situationen för ganska exakt två år sedan då E-hälsomyndigheten skrev ett avtal med Cap Gemini om outsourcing av alla svenska patientjournaler för hantering hos Microsoft. Även denna affär innebar mycket stora säkerhetsproblem men väckte inte alls lika mycket intresse – kanske för att det främst rörde sig om risker för individer och inte för staten.  När flera med mig påpekade den bristande säkerheten i upphandlingen mottogs det inte särskilt väl (faktiskt inte ens i min egen myndighet). Orsaken till detta tror jag var just den kognitiva dissonansen: regeringen har beställt en lösning för hälsokonton där kommersiella aktörer ska kunna delta och detta snabbt. Att då ställa säkerhetskrav uppfattas lätt som grus i maskineriet vilket jag för övrigt upplevde även då Statens servicecenter bildades. Utan att på något sätt vilja ursäkta felande myndighetsledningar är det ganska uppenbart att när staten inte ens på övergripande nivå lyckas hantera dessa intressekonflikter blir det desto svårare att hantera situationen i den enskilda myndigheten.

Att ta ställning i intressekonflikterna är vad jag menar att både regeringens cyber- och informationssäkerhetsstrategi och digitaliseringsstrategi skulle ha gjort på ett samordnat sätt. Så är nu inte fallet och därför är det med största sannolikhet inte heller sista gången statliga myndigheter kommer att göra huvudlösa affärer. För att kunna ta fram en fungerande strategi kräver dock en helt annan nivå på utredandet än hittills och också att man försöker hitta fungerande lösningar för framtiden och inte ägnar sig åt att lösa gårdagens frågor. Att föreslå statliga molntjänster för ”lagring” kunde kanske varit ett alternativ vid sekelskiftet men knappast idag då molntjänsterna ersätter verksamhetssystem för att bara ta ett enstaka exempel.

Det är inte bara regeringen har en hemläxa att göra utan även vi som arbetar professionellt med säkerhetsskydd och informationssäkerhet. Jag tror vi står inför stora utmaningar både inom säkerhetsskydds- och informationssäkerhetsområdet där vi måste kunna bidra på ett bättre sätt. Låt oss därför inte banalisera frågeställningarna och utlova enkla lösningar utan erkänna att här krävs nytänkande, uthållighet och betydligt bättre kunskapsgrund för att kunna utgöra ett stöd för samhället.

Strategi från bunkern

30 juni kom alltså äntligen strategi. Två dagar före Almedalen och samma dag som de i det offentliga Sverige som inte är och tycker på Gotland förhoppningsvis sjunker in i sommardvala alldeles oavsett vilka strategier som lanseras.

Det är nästan svårt att veta var jag ska börja eftersom det trettiotal sidor som utgör strategin väcker så många frågor. Att försöka redogöra för dem skulle kräva ett utrymme som vida överstiger strategins sidantal. Bara användningen av begrepp gör läsaren konfys. Exempel ett: strategin heter En samlad strategi för samhällets informations- och cybersäkerhet. Vi som sedan ”cybersäkerhet” började användas för att hotta upp konferenspunkter undrat vad det egentligen betyder är inte så få. En förklaring som varit återkommande är att det är ”säkerhet i domänen cyber”, alltså något kopplat till försvarets indelningar och något ”internationellt”. Strategin släpper dock redan på sidan 4 alla ambitioner att försöka utreda denna fråga:

För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet. I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext.

Ska man tolka det som ”informationssäkerhet” är aningen mer inriktad på icke-digital information? Och på vilket sätt skulle en sådan uppdelning tillföra något klargörande? Och om det egentligen är samma sak varför skulle man då i svenska texter ta hänsyn till vilket begrepp som används internationellt om det egentligen inte har någon annan innebörd än informationssäkerhet? Det är som författarna på ett tidigt stadium gett upp men ändå velat ha med det litet läckrare ”cybersäkerhet”, tänkt ”wtf” och bara gått vidare.

Exempel två är definitionen av ”tillgänglighet”:

Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.

Här har strategins författare ändrat innebörden av begreppet på ett fatalt sätt. I den terminologi som reviderades 2015 (och som man visserligen kan ha synpunkter på) SIS handbok Terminologi för Informationssäkerhet (SIS HB 550 utgåva 3) är definitionen:

Åtkomlighet för behörig person vid rätt tillfälle.

Strategin har alltså gjort det märkliga tillägget som tjänsterna erbjuder vilket jag finner både missvisande och i någon mån obegripligt. Vilka tjänster är det som avses? Någon typ av it-tjänster sannolikt men eftersom strategin i övrigt har en stark förkärlek för ”system” vandrar tankarna iväg mot de samhällsviktiga tjänster som beskrivs i NIS-direktivet som är verksamhet och inte it-lösningar. Dessutom leder beskrivningen tanken mot ett synsätt att det är tjänsterna – inte informationen- som är i centrum vilket för den som vill planera för att upprätthålla kontinuitet inte är bra. Den som vill ha en fungerande kontinuitetshantering måste ha alternativa sätt för sin informationsförsörjning och då räcker det inte att titta på enskilda ”tjänster”. Mest svårtolkat uppfattar jag ”som tjänsterna erbjuder”. Det är som det smygs in ett konfidentialitetsperspektiv i tillgänglighetsbegreppet, att tillgänglighet skulle betyda att endast behöriga ska tillgång till tjänsterna när de erbjuds.

Det finns ett antal andra begrepp som förtjänar en diskussion men som vila tills vidare. Jag tänkte istället ta upp några utgångspunkter för strategins författare. Dessa ligger till grund för de prioriteringar som görs och som jag menar i många stycken gör strategin irrelevant.

I mycket känns strategins inriktning igen från Infosäkutredningen som lämnade sin rapport med förslag om en informationssäkerhetspolitik 2005 Säker information. Gemensamt att både utredningen 2005 och den nya strategin är skrivna helt sett ur statens intressen trots att man i båda fallen säger sig behandla samhällets informationssäkerhet. Det behövs knappast några poäng i statsvetenskap för att inse att staten inte är synonym med samhället och det känns därför intellektuellt torftigt att strategin inte på något ställe erkänner och problematiserar de intressekonflikter inryms i samhällets informationssäkerhet. Det gäller relationen stat-individ, stat-privata företag och stat-kommuner/landsting för att ta de mest uppenbara ytorna för konvergerande intressen. Istället utgår strategin okommenterat från att alla samhällets aktörer är villiga att underkasta de åtgärder som strategin föreslår som till stor del motiveras ur ett nationellt försvarsperspektiv. Genomgående är förslagen inriktade på att staten talar om hur saker ligger till, föreskriver och sedan genom tillsyn kontrollerar att ”samhället” lyder. Jag tror att den här ”far vet bäst”-mentaliteten är omotiverad i så måtto att pappa staten faktiskt inte vet bäst på det här området utan har all anledning att ta till sig andra samhällsaktörers kunskap och intressen. Att peka med hela handen fungerar kanske bra inom den gröna sektorn. De kommunpolitiker som måste göra intresseavvägningar mellan insatser inom äldreomsorgen och att satsa på säkerhetsåtgärder som inte kan motiveras är nog däremot betydligt mindre villiga att utan protester röra sig i handens riktning. Kanske är det också detta förhållningssätt som gjort att så litet av de förslag av de som Säker information presenterade har realiserats – en insikt som möjligen skulle kunnat ge strategin en annan inriktning och ton.

Den implicita föreställningen att statens intressen per automatik sammanfaller med allas (förutom brottslingars och fientliga nationers) intressen får egenartade konsekvenser då strategin tar sig an integritetsfrågan. Det enda sammanhang där strategin utvecklar sig om den personliga integriteten är när den är hotad av privatpersoner i form av näthat och grooming. Närmast ohederligt blir det när man inte ens nämner den kritik som framkommit gällande konsekvenserna på den personliga integriteten i remissvar rörande förslaget att MSB ska få installera sensorsystem. Istället framställs sensorsystemen som i princip redan beslutade:

Regeringen har under våren 2017 remitterat en promemoria om tekniska sensorsystem (Ju2017/02002/L4) med förslag att MSB får stödja verksamhetsutövare inom samhällsviktig verksamhet med informationssäkerheten genom att tillhandahålla sensorsystem som kan stärka samhällets möjlighet att upptäcka och hantera it-incidenter. MSB:s sensorsystem ska inte tillhandahållas till de verksamheter som erbjuds TDV.

Därmed var relationen mellan staten och individen överstökad. Dataskyddsförordningen känns mycket avlägsen i strategin.

En annan genomgående tendens är att strategin i princip endast intresserar sig för de antagonistiska hoten. Andra typer av risker diskas av i två förströdda meningar:

Olika former av störningar i mjuk- eller hårdvara eller störningar i driftmiljö är vanligt förekommande. Yttre fysiska händelser som t.ex. bränder, avgrävda kablar, översvämningar eller solstormar utgör också en del av hotbilden.

Resten av hotavsnittet beskriver en leviathan-liknande situation där framför allt statens intressen måste tillvaratas. Utan upphovsman för riskbedömningen meddelas:

Det möjliga agerandet av stater, statsunderstödda aktörer eller andra aktörer med liknande förmåga utgör det allvarligaste informations- och cybersäkerhetshotet mot Sverige.

Självklart kan inte dessa hot underskattas – de är verkliga och omfattande. Men enligt min erfarenhet äventyras de flesta organisationers verksamhet i lika hög grad av t.ex. bristande rutiner som leder till uppdateringsfel. Ett stort antal av de större incidenter som inträffat under senare år har också haft icke-antagonistisk bakgrund. För landsting och kommuner skulle jag vilja påstå att den absolut största utmaningen ligger i att kunna efterleva dataskyddsförordningen när den träder i kraft. Oavsett om jag har rätt i denna bedömning eller inte vågar jag hävda att strategins oförmåga att se att olika organisationer lever med olika risker och med olika behov av säkerhetsåtgärder är en av dess mest påtagliga brister. På ett flertal ställen presenteras lösningar som blickar tillbaka till BITS och andra försök att skapa samma säkerhet i alla organisationer. Detta strider inte bara mot grundtanken i ISO 27000 som säger att ledningen i varje organisation måste ta ställning till risker och därefter göra sina prioriteringar. Det strider också mot de verkliga behov som finns i olika organisationer eftersom olika verksamhetsprocesser kan använda samma information på helt olika sätt. I strategins anses detta dock fel:

Samma information kan få olika skydd i olika organisationer och kunskapen om vilket skydd som är lämpligt och tillgängligt för en viss typ av information är hos många aktörer ofullständig.

Jag tror att man här omedvetet endast utgår från konfidentialitetsaspekten och inte har reflekterat tillräckligt över behovet av riktighet, spårbarhet och tillgänglighet kan skifta starkt mellan olika organisationer. Under ett par arbetade jag på MSB med att tillsammans med bland annat representanter från hälso- och sjukvårdsområdet med att fram ett koncept för nationell styrmodell. Tanken var inte att alla organisationer skulle ha samma säkerhet utan att modellen skulle utgöra ett stöd för kommunikation mellan olika verksamheter så att varje organisation skulle kunna få den nivå av säkerhet som dess ledning ansåg lämpligt. Konkret skulle det innebära att det t.ex. fanns gemensamma metoder för processkartläggning, informationsklassning och skyddsnivåer. Att nu strategin ser det som ett problem att olika informationsmängder värderas olika av olika organisationer uppfattar jag som att man tankemässigt är tillbaka till det one size fits all-koncept som BITS byggde på.

Det mest anmärkningsvärda med strategin är att den inte beskriver en relevant framtid, inte ens ger en relevant bild av dagens situation. Det som utgör strategins existensberättigande redovisas i avsnittet Vad ska skyddas?. Det sidlånga avsnittet börjar tämligen stillsamt med:

Det innebär att både informationen i sig och de system som används för att förvara och överföra informationen måste skyddas.

Men därefter bryter ett sammelsurium av demokrati och andra värden, ting, system, kommunikation och i någon mån information ut. Ungefär på mitten dyker följande märkliga passage upp:

I dag bygger systemen för att hantera information huvudsakligen på digital informations- och kommunikationsteknologi. Detta gäller inte minst de system Sverige är beroende av för att kunna styra och leda riket under omfattande påfrestningar som kan följa av kris eller krig.

Jag biter mig  hårt i tungan för att inte ställa ironiska frågor som om det tidigare fanns system som inte byggde på digital teknik och om det är så att just de system som Sverige är beroende av för att kunna styra och leda riket o.s.v. (vilka de nu kan vara) är ännu mer digitala än övriga it-system. Även om stycket vidlåds med en ofrivillig komik är det dock inte särskilt lustigt att läsa denna flacka och redan inaktuella beskrivning av beroenden. Det är som strategins upphovsmän (för övrigt precis som utredarna av NIS-direktivet) fortfarande tänker sig en situation där verksamheter är beroende av tydligt avgränsade ”system” som man själv driftar och förvaltar.

Jag menar att vi redan idag är långt ifrån en sådan situation. Istället går allt fler organisationer helt eller delvis över till molntjänster som dessutom är intrikat integrerade så att det är svårt att urskilja enskilda tjänster eller komponenter. Detta är ju också något som uppmuntras i andra inriktningar från regeringen. För att ta ett konkret exempel vågar jag utan större talang som sierska ändå påstå att en stor del av den svenska förvaltningens dagliga informationshantering kommer att ske i Office 365 som molntjänst inom 5 år. Att jag vågar sticka ut hakan beror inte enbart på egna observationer i verkligheten utan också på att Microsoft låtit förutskicka att de kommer att sluta att tillhandahålla sina Office-programvaror för installation i egen miljö. De kommer att gå all in molntjänster. Denna nya situation behandlas överhuvudtaget inte i strategin. I 2.2. Öka säkerheten i nätverk, produkter och system där det rimligen borde inrymmas en sådan diskussion och förslag på lämpliga säkerhetsåtgärder nämns detta överhuvudtaget inte. Lika litet intresse ägnas åt välfärdsteknologin som är i stark framväxt och som innebär nya intressanta frågeställningar inom en stor samhällsviktig verksamhet.

Strategins bristande omvärldsbevakning påverkar även de säkerhetsåtgärder som presenteras. Mycket är uppstekta tidigare förslag alternativt bekräftelser på redan existerande lösningar även om jag fortfarande när ett visst hopp om den så kallade nationella modellen för systematiskt informationssäkerhetsarbete. Ett axplock på aktiviteter där regeringen ska enligt strategin fortsätta att verka för det man redan verkat för eller inte kan undvika att verka för:

  • öka tydligheten i myndighetsstyrningen och lyfta betydelsen av ett tillfredsställande informationssäkerhetsarbete internt på myndigheterna
  • samverkan mellan myndigheter med särskilda uppgifter på informations- och cybersäkerhetsområdet stärks
  • NIS-direktivet genomförs effektivt och att det etableras en adekvat styrning och tillsyn av säkerheten i nätverk och informationssystem i samhällsviktig verksamhet för vissa aktörer inom de utpekade sektorerna
  • företag och myndigheter som äger eller arbetar med samhällsviktig verksamhet där industriella informations- och styrsystem ingår får stöd i sitt arbete med att stärka informationssäkerheten,
  • berörda myndigheter utvecklar arbetet med att genomföra och stödja kartläggningar och utredningar om sårbarheter och lämpliga säkerhetsåtgärder i samhället
  • förmågan att hantera allvarliga it-incidenter upprätthålls genom en samordnad övningsverksamhet.

Inte särskilt kraftfullt eller nydanande. I ärlighetens namn ska väl sägas att det även ingår att regeringen ska verka för en strategi för kryptosystem, mer övervakning i olika hänseenden och mer brottsbekämpning.

Om Sverige ska bli, som regeringen proklamerat, världsbäst inom digitalisering och e-hälsa behövs det en storsatsning på proaktiv informationssäkerhet som stödjer denna inriktning. Förutom att stärka säkerheten i nätverk och kommunikationer är svårt att se vad den liggande strategin bidrar med i det hänseendet. Efter att ha begrundat åtgärdsförslagen uppfattar jag att huvuddragen är ett perimeterskydd på nationell nivå, incidentrapportering och tillsyn.  Detta menar jag inte är särskilt verkningsfullt i förhållande till dagens molntjänstsamhälle.  System i egen drift och förvaltningen som staten fysiskt kan kontrollera är inte den framtid som strategin ska fungera i. Att staten skapar säkerhetslösningar för (forntida teknik höll jag på att skriva) tekniska lösningar på utgående är inte unikt för den här strategin; som en klok kollega påpekade häromdagen är det konstigt att det nu görs så stort nummer av säker e-post. Redan nu sker kommunikationen ofta i andra former än e-post och om fem år kommer sannolikt dess betydelse vara i starkt avtagande.

Bristen på ambition att skapa bättre möjligheter att hantera de nya frågeställningar som digitaliseringen medför präglar också strategins kunskapssyn. Istället för en offensiv hållning där man utgår från ett läge som jag bedömer som tämligen ovedersägligt, nämligen att vi idag hög grad saknar kunskap om även grundläggande kunskap om hur vi ska bygga en fungerande informationssäkerhet, är strategin även här konserverande.  Den kunskap som strategins författare anser behövs är att kartlägga brister och sedan öka medvetenheten om dessa till olika aktörer.

Det är enligt regeringens bedömning viktigt att arbetet med att analysera sårbarheter, brister och behov med koppling till Sveriges informations- och cybersäkerhet fortsätter att utvecklas och fördjupas i syfte att stödja och öka medvetenheten om långsiktigt informationssäkerhetsarbete på alla nivåer i samhället

När man sedan kommer in på högre utbildning, forskning och utveckling räknas ett antal redan pågående projekt upp samt en avslutande lam inriktning:

Lärosäten, industriforskningsinstitut, näringsliv och offentlig sektor samverkar för att öka nyttiggörande och innovation inom informations- och cybersäkerhetsområdet.

Min uppfattning är att om en större förändring (i positiv riktning är det väl bäst att säga) av samhällets informationssäkerhet så förutsätter det en utvecklad kunskapsstyrning. Mer effektivt än att använda retroaktivt inriktade och repressiva åtgärder som incidentrapportering och tillsyn är att kunna beskriva för olika typer av aktörer hur de kan använda belagt effektiva säkerhetsåtgärder. Detta förutsätter dock i sin tur att det finns kunskap som kan utgöra underlag för en relevant styrning. Ett område som alldeles särskilt borde lyftas fram är det informatik och hur en styrd informationshantering kan ge ökad säkerhet i de tjänster som alltmer kommer att ersätta de traditionella systemen. Jag bedömer att tekniskt perimeterskydd kommer att vara något som måste fortsätta att utvecklas men att dess relativa betydelse kommer att minskas i förhållande till hur säkerhet kan byggas in i informationshanteringen. Därmed anser jag att detta borde vara ett strategiskt kunskapsområde för framtiden, en uppfattning som inte förefaller delas av strategins upphovsmän som på ett ytterst vagt sätt sveper över en mängd teknikområden.

Ett annat kunskapsområde som hänger ihop med själva definitionen av informationssäkerhet är betydelsen av spårbarhet i informationshanteringen. En långvarig men icke-uttryckt schism inom det svenska informationssäkerhetsskrået är begreppet spårbarhet som för många varit tabubelagt utan närmare förklaring. I de verksamheter som länge varit transaktionstäta och komplexa som exempelvis hälso- och sjukvården har kravet på spårbarhet varit självklart. För ”purister” har det dock varit en styggelse. Nu menar jag att det borde vara uppenbart för de flesta praktiskt verksamma att begreppet måste tillämpas aktivt i informationsklassningar och riskanalyser. Enbart dataskyddsförordningens krav förutsätter åtgärder för spårbarhet som idag inte tillämpas men användningen av integrerade tjänster kommer också att innebära behov av att kunna rekonstruera sammanställd information där alla ingående datamängder har rätt version o.s.v. Hur detta ska kunna gå till är även det ett område där forskning är nödvändig men denna typ av kunskap ligger långt utanför det område som strategin rör sig inom.

Trots denna orimligt långa text innehåller den bara ett litet antal nedslag i de frågeställningar som väcks. Min kritik kan sammanfattas i tre punkter. För det första är det väldigt uppenbart att det är en strategi för staten – inte för samhället. De stora frågor och intresseavvägningar som de flesta av samhällets aktörer måste hantera lyser med sin frånvaro – inifrån- och ut-perspektivet är så överväldigande att jag får känslan av att man suttit i en bunker och skrivit strategin för att försäkra sig om att inga ovälkomna intryck från verkligheten ska smyga sig in. Genomgående så förläggs också fel och brister hos aktörerna i samhället; de har dålig kunskap och de gör fel. Däremot så håller den del av staten som skrivit strategin inte upp en spegel och frågar sig vad man själv kunnat göra bättre. Trots att staten skottar in omfattande resurser centralt till de myndigheter som ska samordna informationssäkerhetsarbetet har resultatet inte blivit det önskade. Det är därför märkligt att strategins angreppssätt är att framförallt resten av samhället ska skärpa sig. Kanske måste man, istället för att fortsätta göra mer av samma sak, våga rikta blicken inåt och försöka analysera varför det hittills inte funkat så bra trots resurserna. Det vill säga en gammaldags hederlig utvärdering av en fristående part.

För det andra beskriver strategin inte ens dagens digitala situation utan en snart förgången tid. Jag har ju närt vissa förhoppningar rörande strategin men måste nu redan inledningsvis medge att det kommit helt på skam. Istället för att vara framåtblickande vilket är ett slags grundkrav på en strategi är den produkt som presenteras häpnadsväckande inaktuell även för dagens situation. Jag förstår att de som skrivit dokumentet varit snärjda och begränsade av bland annat det fem år gamla NIS-direktivet. Detta ”ursäktar” dock inte den enligt min bedömning föråldrade bild av verkligheten som är strategins utgångsläge. Faktiskt är det svårt att se den nya strategin som mer aktuell än den som togs fram 2010 och som dessutom var betydligt mer kortfattad och välstrukturerad Strategi för samhällets informationssäkerhet  2010 – 2015.

För det tredje levererar strategin få eller inga konkreta inriktningar – man lyckas inte ens beskriva hur de områden som staten faktiskt kontrollerar ska styras. Hur ska exempelvis säkerhetsskydd, samhällsviktig verksamhet och normal verksamhet förhålla sig till varandra? Och de olika incidentrapporteringskrav som staten nu riktar mot olika aktörer, hur ska de integreras till en effektiv och rimlig helhet? Om exempelvis eHälsomyndigheten råkar ut för en incident där personuppgifter ingår ska man då rapportera till MSB (enligt MSB:s föreskrift), till IVO (enligt NIS-direktivet) och till Datainspektionen (enligt dataskyddsförordningen). Eftersom incidentrapportering under en längre tid lyfts fram som den mest prioriterade säkerhetsåtgärden vore det rimligt att en strategi gav besked om hur den långsiktigt ska hanteras.  Och om nu en stor del av den samhällsviktiga verksamheten och den offentliga förvaltningen i övrigt kommer att hantera sin information i ett fåtal internationella molntjänster? Är det då inte en central strategisk säkerhetsfråga för staten att ha en inriktning för relationen till dessa molntjänstleverantörer. Det är ju knappast ett alternativ att köra ett DDR-lösning och utveckla egna statliga lösningar.

En strategi borde fungera som mer än talepunkter för en minister i Almedalen men här tycks beskedet ganska klart:  Fråga inte vad staten kan göra för dig utan vad du kan göra för staten. För oss andra verksamma i skrået är det viktigt att inte dras in i bunkern utan att vi arbetar med de frågor som är relevanta i dag och i framtiden.

 

Information Security by Design

Under senare tid har jag liksom många andra ägnat mig åt dataskyddsförordningen och hur man ska förena den med det övriga informationssäkerhetsarbetet – en fråga som jag återkommer till i en senare blogg. Nu ska jag istället skriva om min nya förälskelse; privacy by design.

Privacy by design, inbyggt integritetsskydd, är ju ett av de krav som ställs i förordningen som träder i kraft i maj nästa år. Förmodligen är detta också ett av de krav som kommer att ställa störst krav på de personuppgiftsansvariga både organisatoriskt och tekniskt. Att inte samla in mer personuppgifter än nödvändigt, att se till att åtkomsten till dem är strikt, att skydda dem genom pseudonymisering eller liknande, att säkerställa att de inte används för något annat ändamål än det ursprungliga samt att gallra dem när de inte längre behövs är några aktiviteter som kommer att sätta hård press på många verksamheter. Inte minst inom hälso- och sjukvården kommer det att bli nödvändigt med omfattande åtgärder eftersom man där länge eftersatt integritetsaspekterna.

När jag började läsa in mig litet mer på privacy by design var det dock inte de konkreta åtgärderna som intresserade mig mest. Istället vad det de sju grundprinciper som formulerats av Information and Privacy Commissioner of Ontario på 1990-talet. De är:

  • Proactive not Reactive; Preventative not Remedial. Förebygga incidenter – inte enbart agera i efterhand.
  • Privacy as the Default Setting. Utgångsläget att personuppgifterna är skyddade. Inga extra åtgärder nödvändiga för användaren – alla standardinställningar skyddar integriteten.
  • Privacy Embedded into Design. Tekniker för att skydda personuppgifter ska vara integrerade i systemet redan från början –  inte läggas till i efterhand.
  • Full Functionality — Positive-Sum, not Zero-Sum. Skydd av personuppgifter inte en negativ aspekt för utvecklaren, inte förlust av funktionalitet – integritetsskydd kan skapa en win-win situation.
  • End-to-End Security — Full Lifecycle Protection. Skydd inbäddat i systemet innan personuppgifterna samlas och sedan i hela livscykeln.
  • Visibility and Transparency – Keep it. Användaren ska ha överblick och kunna kontrollera att hens personuppgifter behandlas på det sätt hen samtyckt till.
  • Respect for User Privacy – Keep it User-Centric. Individens intresse i centrum vid hantering av personuppgifter.

När jag tittar på principerna så tänker jag att samtliga skulle kunna vara tillämpliga i ett vidare perspektiv, som grunden för ett koncept för information security by design. Den sista skulle kunna bytas ut mot en princip som handlar om användaren, något i stil med:

Respekt för användaren – utforma processen/systemet/tjänsten så att användaren har överblick och kan agera med rätt säkerhet.

Det skulle till exempel kunna innebära att standardiserade skyddsnivåer finns inbyggda utifrån den informationsklassning som informationsägaren gjort. Självklart måste de organisatoriska aspekterna lyftas fram mycket tydligare, till exempel gällande ansvar.

Jag är medveten om att begreppet security by design redan finns och till och med i snabb tillväxt men är då endast i ett it-perspektiv – inte i ett informationssäkerhetsperspektiv.

Här finns mycket att arbeta vidare med. Det som slår mig är hur litet uppmärksamhet det proaktiva säkerhetsarbetet får för närvarande. Istället är det återkommande temat i bland annat dataskyddsförordningen och NIS-direktivet incidentrapportering. Och självklart är det de inträffade incidenterna som gör sig i media oavsett om det hackerattacker eller större driftstopp.  Kanske kan man också rent teknikhistoriskt se det som en mognadsprocess. När järnvägen introducerades runt mitten av 1800-talet var insamlandet av incidenterna också ett första steg i ett begynnande säkerhetsarbete.

Att det reaktiva säkerhetsarbetet kommer att dominera synfältet under det närmaste året med alla krav på och den stora tilltron till incidentrapportering är det nog ingen tvekan om, oavsett dess betydelse i förhållande till det proaktiva. Själv kan jag därför i trygg visshet om att denna aspekt kommer att bli väl omhändertagen fundera vidare på hur information security by design kan användas som ett organisatoriskt koncept.

I väntan på en strategi

Regeringen har utlovat en cybersäkerhetsstrategi till i maj. Vad jag kan se har den ännu inte dykt upp men är kanske i antågande. I väntan på detta passar jag på att skriva ner några förhoppningar på innehållet i strategin.

I det följande kommer jag att utgå från antagandet att strategin inte enbart kommer att handla om cybersäkerhet, detta oklara men uppenbart upphetsande begrepp, utan även om informationssäkerhet.

Frågan är vad statens intresse gällande cyber- och informationssäkerhet egentligen är, det vill säga vad en strategi bör avse att styra. NISU-utredningen som rörde sig i samma härad var  spretig i detta avseende och känns så här i efterhand som en önskelista från ett antal myndigheter utan en sammanhängande tanke kring samhällets behov. Därför är en första förhoppning att strategin dels har modet att inte vara alltför influerad av NISU, dels att man istället försöker utgå från konkreta behov på samhällsnivå. För att uttrycka det något klyschigt; mer ”pull” än ”push”, mer utifrån-och-in än inifrån-och-ut.

För mig  har staten ett vitt spektrum av intressen inom informationssäkerhetsområdet från cyberkrigföring till information riktad till enskilda om säkert agerande på nätet. Förhållningssättet måste av naturliga skäl skilja sig starkt inom spektrets olika delar. När det gäller försvar och säkerhetsskydd är lagstiftning och repressiva incitament kanske lämpliga styrmedel medan i andra delar är kunskapsstyrning både det rimliga och det effektiva sättet att förbättra säkerheten. Ett alternativ är att strategin endast omfattar de delar som rör rikets säkerhet och samhällsviktig verksamhet och skippar den informationssäkerhet som gör att samhället fungerar i normalläget.

En farhåga är dock att strategin endast kommer att beröra vissa typer av informationssäkerhetskrav och utesluta andra som till exempel de krav som emanerar ur dataskyddsförordningen. Det vore olyckligt eftersom jag tror det främsta behovet just nu är att sammanfoga en helhet av styrning där staten tar ansvar för att beskriva hur de enskilda organisationerna ska förhålla sig till bland annat civil beredskap, totalförsvar, samhällsviktig verksamhet och infrastruktur samt dataskydd. Till detta kommer visioner om digitalisering och öppenhet. Staten har en viktig uppgift i att förklara hur helheten ska se ut, något som såvitt jag vet ännu inte är gjort. Istället skjuts frågeställningen ner till den enskilda kommunen, myndigheten, landstinget eller företaget att lösa. Förbryllande signaler kommer i de många utredningarna som var och en tycks undersöka sitt eget slutna rum. Själv har jag ägnat omotiverat stort intresse för bilden i säkerhetsskyddsutredningen där säkerhetsskyddet tycks gälla för en fjärdedel (ja, jag har beräknat det) av all samhällets regleringar, av samhället eller av myndigheternas informationshantering eller av något annat odefinierat. Egentligen säger väl bilden bara att säkerhetsskyddslagen är en särskild lag och att det finns andra lagar och regler. Att det skulle vara en principskiss är kanske att dra det litet väl långt.

 

Självklart bör man inte tolka illustrationer på detta autistiska sätt men jag kan bara försvara mig med att det är den generella oklarheten som gör att jag tar varje halmstrå för att försöka förstå tanken hos utredarna. För mig själv har jag försökt rita upp sambandet mellan de olika styrsystemen som jag tror kanske kan se ut så här:

Till detta kommer NIS-direktivet och hur det ska införas i Sverige . Jag utgår från att direktivet främst ska tillämpas på den samhällsviktiga verksamheten eftersom det är vad som står i direktivet även om det även gäller bland annat vissa molntjänstleverantörer utan att dessa behöver vara samhällsviktiga:

De leverantörer av digitala tjänster som omfattas av direktivet är sådana som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster. Dessa leverantörer ska inte identifieras på det sätt som gäller för leverantörer av samhällsviktiga tjänster och omfattas av direktivet utan att någon bedömning ska göras av om de är samhällsviktiga eller inte.

Min bild, som jag inte skulle vilja slå vad om mer än chokladkaka om att den stämmer, bygger på förutsättningen att en verksamhet och/eller en informationshantering inte kan vara betydelsefull för rikets (Sveriges) säkerhet om den inte också är samhällsviktig men det kan den kanske? Och hur ser relationen mellan beredskap och säkerhetsskydd ut? Efter att ha närläst förslaget till ny säkerhetsskyddslag samt andra utredningar ser jag det som synnerligen angeläget att definiera vad som är av betydelse för rikets säkerhet respektive är samhällsviktigt. Glider dessa begrepp ihop påverkar det både demokratiaspekter och effektiviteten i samhället. Jag när en stark förhoppning om att strategin reder ut hur dessa olika säkerhetsområden förhåller sig till varandra eftersom det också verkar vara finnas ett internt behov inom regeringskansliet att göra det. Ett exempel på detta är den nya digitaliseringsstrategin som nämner ”samhällsviktig” endast en gång i förbifarten men däremot hänvisar till säkerhetsskyddslagen (!) och NIS-direktivet:

Ett löpande och systematiskt säkerhetsarbete ska göras för att identifiera och förebygga säkerhetsbrister samt hantera incidenter. Privata och offentliga verksamheter behöver utveckla medvetenheten om informations- och cybersäkerhet, t.ex. hur de kan skydda sina nätverk och informationssystem. Genomförandet av EU:s direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem i hela unionen ([EU] 2016/1148) och arbetet med en ny säkerhetsskyddslag kommer att spela stor roll.

Intrycket är att det är säkerhetsskyddslagen som ska utgöra den främsta styrfunktionen för informationssäkerheten i digitaliseringen vilket för mig ter sig som en föreställning med många negativa konsekvenser både för demokrati och effektivitet. Strategin har en viktig uppgift i att peka på hur informationssäkerheten i digitaliseringen främst måste styras via det systematiska och verksamhetsinriktade arbetet. Att både tjänster och kommunikationslösningar är samhällsviktiga är en helt annan sak än att säkerhetsskyddslagen ska tillämpas. En grundprincip för allt säkerhetsarbete bör vara att det inte bara gäller att införa så mycket säkerhet som möjligt – lika viktigt är att undvika att införa omotiverade säkerhetsåtgärder.

Kanske är digitaliseringsstrategins (i mitt tycke) missvisande inriktning ett resultat av att det är tämligen oklart hur den samhällsviktiga verksamhetens informationssystem ska skyddas. Visserligen finns krav på risk- och sårbarhetsanalyser och snart genom NIS-direktivet även på incidentrapportering men vilka metoder, tekniska lösningar m.m. som ska användas är ännu valfritt. Ja, t.o.m. vad som ska utgöra samhällsviktig verksamhet måste varje aktör själv bestämma i det system för krisberedskap som byggts upp i Sverige som bottom-up snarare än top- down. Söpple kommun måste själv avgöra vilken verksamhet som är samhällsviktig respektive av betydelse för rikets säkerhet samt, kvinnogissar jag, av betydelse för den civila beredskapen. En cyber- och informationssäkerhetsstrategi skulle kunna peka på att det vore ganska bra att ta ett något starkare top-down-grepp. I den allt mer komplexa informationsinfrastrukturen finns det all anledning för staten att med hela handen peka ut vilka tjänster och infrastrukturkomponenter som är samhällsviktiga. Ingen enskild aktör är sig själv nog och ingen enskild aktör kan längre se hur beroendekartan ser ut, särskilt inte som den vägledning som finns för detta skrevs för ett decennium sedan.  Ett konkret förslag är att den gamla ÖCB-rollen som MSB alltmer axlar också leder till att man agerar som ÖCB gjorde; talar om exakt vad som ska ses samhällsviktigt alternativt ingående i den civila beredskapen alternativt totalförsvaret och vad det föranleder för åtgärder.

En strategi ska ju peka ut vägen framåt. Jag tänker mig att den nationella cyber- och informationssäkerhetsstrategin ska spela litet av samma roll som en policy i en organisations ledningssystem. Det vill säga uttala en viljeinriktning samt beskriva ansvar och resurser för att förverkliga inriktningen. En modell för den centrala styrningen vore att SÄPO/Försvarsmakten har precis som idag har ansvar säkerhetsskydd medan MSB:s ansvar däremot avgränsas till kravställning utifrån civil beredskap och samhällsviktig verksamhet. ESV alternativt en ny digitaliseringsmyndighet skulle kunna överta uppdraget att stödja informationssäkerheten i normalläget samt för att kanalisera kraven från MSB, Dataskyddsmyndigheten (formerly known as Datainspektionen). Slutligen är ett alternativ att Konsumentverket tar en större roll i att stödja privatpersoner i en säkrare it-användning.

Jag hör redan invändningarna: så många aktörer, det blir rörigt, hur ska de samordna sig? Men detta är ju redan verkligheten. Det jag föreslår är att strategin ska skapa en tydligare nationell spelplan istället för att de många, i vissa fall disparata, kraven lämnas osorterat till de enskilda aktörerna, som till exempel Söpple kommun, att försöka reda ut. Förhoppningsvis skulle en organisatorisk form skapas för att avväga olika krav och intressen på ett enhetligt sätt istället för att 290 trötta kommunledningar var och en försöker gissa sig fram till vad som behöver göras (liksom dito myndighets-, regions-, landstings och företagsledningar). Vissa grundaktiviteter som incidenthantering måste stödja olika behov och rapporteringsvägar för att ta ytterligare ett bevis på den nationella samordningens nödvändighet.  Den naturliga konflikten mellan säkerhet å ena sidan och verksamhetsnytta å den andra skulle också kunna hanteras på ett öppet sätt. Jag ska inte tänja mer på tålamodet hos den eventuella läsare som hängt med ända hit genom att fortsätta räkna upp allt som pekar mot behovet av starkare samordning utan nöjer mig med en antydan om att jag har många exempel kvar i rockärmen.

Slutligen borde en strategi också gå in på hur kostnaderna för en bättre cyber- och informationssäkerhet ska fördelas. Detta är viktigt inte minst eftersom det finns ett stort antal privata aktörer som är delaktiga som utförare av för samhället viktig verksamhet. Den sangviniska hållning utredningen avseende ny säkerhetsskyddslag intar gällande kostnader i konsekvensbeskrivning är knappast hållbar:

Sammanfattningsvis har vi kommit fram till att våra förslag inte bör innebära annat än marginellt ökade kostnader vare sig för det allmänna eller för enskilda jämfört med nuvarande lagstiftning.

I ärlighetens namn tror jag att alla insatta vet att säkerhet kostar och ibland kostar rejält. Att för ett enskilt företag genomföra alla de potentiella åtgärder som ligger i förslaget till säkerhetsskyddslag har en prislapp och det hade varit hedervärt om utredaren tagit sitt ansvar och utrett det närmare. Det känns aningen mästrande när statliga utredare skriver:

Av kommersiella skäl finns det där starka incitament till en god informationssäkerhet. Vår bedömning är att det finns en stor vilja att i sådan verksamhet följa internationella standarder som t.ex. LIS. Detta sammantaget innebär att den förändring som vi föreslår träffar verksamheter där dessa tillkommande krav på informationssäkerheten redan bör vara omhändertagna.

Vad man bygger denna bedömning på är oklart.

Tillkommer gör kostnader för civil beredskap, samhällsviktig verksamhet, NIS och dataskyddsförordning. Sammantaget uppfattar jag detta som icke oväsentliga kostnader för den enskilda aktören. Visserligen kan man hävda att dålig säkerhet kostar minst lika mycket men genom att det är till stor del obligatoriska säkerhetsåtgärder som tillkommer kan inte längre Söpple kommun gambla och ta risken. Finansieringen bör därför vara något av ett huvudnummer i en strategi.

Detta är skrivet under påverkan av en finsk förkylning vilket kanske gör att min vision om strategin blir litet väl hallucinatorisk. Men låt oss ändå hoppas att vår väntan belönas med något mer konkretion och problemlösning än de senaste utredningarna på området levererat.

 

Standarder i föreskrifter

Oavsett vilken roll jag haft inom informationssäkerhetsområdet, informationssäkerhetschef, konsult eller byråkrat på nationell nivå, har ett behov varit lika uppenbart: behovet av ökad samordning och styrning. Slutsatsen att det inte är möjligt för en enskild organisation att utveckla ett helt eget koncept för informationssäkerhet behöver knappast motiveras, särskilt när utvecklingen gått mot allt mer gränslösa integrationer av informationshanteringen.

En självklar grundsten för många av oss som arbetat länge med informationssäkerhet har varit ISO 27000 och dess föregångare och det har därför varit naturligt att peka på den som en naturlig utgångspunkt i den nationella styrningen. Däremot har jag alltid uppfattat det som en mycket stor nackdel att standarden liksom terminologin trots att syftet är så stor spridning som möjligt är omgivna av avsevärda ekonomiska hinder. För en stor statlig myndighet kan några tusenlappar tyckas vara småpengar men för en liten kommun eller mindre företag är det summor som inte är lika enkla att motivera.

Att rekommendera organisationer att införa ledningssystem för informationssäkerhet enligt standarden har därför innehållit en inneboende svårighet som kanske ändå går att överse med. Jag har däremot varit betydligt mer tveksam till den direkta hänvisning som funnits till standarden i MSB:s föreskrift sedan 2009 . Här sägs att myndigheter ska följa en föreskrift som inte är fritt tillgänglig vare sig för myndigheten eller för exempelvis medborgare som vill kunna ha insyn i myndighetens arbete. Att inte kunna sprida innehållet i en av grundförutsättningarna för myndighetens arbete försvårar naturligtvis kommunikationen. Ytterligare ett problem är att en myndighet med föreskriftsrätt föreskriver andra myndigheter att följa regler som man själv inte har kontroll över och dessutom snabbt kan göra föreskriften obsolet när de ändras.

Tyvärr följde detta krav med när föreskriften uppdaterades 2016 i form av krav på ISO/IEC 27001:2014 och ISO/IEC 27002:2014 ska ”beaktas”.

I dagarna har jag fått tips om ett beslut i Högsta domstolen (tack Carl-Arne!) som ger mig stöd i min uppfattning. Här skrivs explicit:

En grundläggande del av legalitetsprincipen får därför anses vara att författningar ska finnas tillgängliga för var och en i läsbar form utan något krav på betalning, och att detta gäller också för en standard som det hänvisas till i en författning.

Att myndigheten kostnadsfritt kan informera om vad som står i standarden anses inte upphäva denna bedömning. Med Högsta domstolens beslut, om det befinns tillämpligt även i detta sammanhang, finns nu en möjlighet att utveckla  den nationella styrningen så att den blir mer transparent och tillgänglig för alla.