Om jag fick ställa några frågor

Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan. För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet. Rollen kräver ju en något mer nobel approach än den som småaktig bloggare. Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den. Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.

Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.

– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare. Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan. Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare. Själva vyn är osynlig genom dessa tunnlade perspektiv. När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.

I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet:

En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid. En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation. Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter. I detta ligger också omfattande utbildningsinsatser. I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer. För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet. Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning. Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk. Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.

Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet. Min fråga till statsrådet är därför var detta förslag hamnat. En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för offentliga och privata organisationer.

– Herr ordförande, två konkreta frågor angående molntjänster. I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet. Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö. Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster. Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd. En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna. Jag förstår problematiken när det gäller konkurrensfrågor m.m. men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet. Detta ställer ju  ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning. Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?

-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”. Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet. Säkerhet existerat alltid i en relation till andra värden. En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns. Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”. För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet. I digitaliseringssträvandena ligger önskan om effektivitet. Demokrati i den form vi känner den är ett centralt element insyn och delaktighet. Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter. Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.

– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige. En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer. Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter. Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer. Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga. Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området. Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog. Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism. Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier. För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.

– Herr ordförande, en sista fråga. I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram. Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser. Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet. Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer. Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?

Öppna frågor om cybersäkerhet

Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra veckan.  Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser. Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop. Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp. Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen. Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.

Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar. Först ministern, sedan myndighetscheferna i tur och ordning. Det mest förvånande är att absolut inget förvånande sägs. Det är exakt samma saker som sägs som har upprepats i 15-20 år. Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva. Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”. Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara. Axiom som att brister upptäcks när incidenter rapporteras ventileras.

Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser. Alltså i sak intet nytt. Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå. Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten. Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.

Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv. De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar. Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).

För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från SOU 2005:42 Säker information. Förslag till informationssäkerhetspolitik. För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”. Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan. Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet. Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.

  1. Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
  2. Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
  3. Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet. X konstaterar också att staten behöver egen och unik kompetens. Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
  4. Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel. I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
  5. Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.

 

 

Vad betyder egentligen cybersäkerhet?

En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation. Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt. Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.

Ett begrepp som gjort en raketkarriär är cyber. Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf:

I många sammanhang, även från regeringen, lyfts betydelsen av s.k. cybersäkerhet fram som en central fråga för det svenska samhället. Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett anförande men då krävdes det också stycken som det här för att lyckas:

Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet. Den trenden har varit tydlig under en tid. Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen. Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser. Vi kan se att ett flertal länder i världen har gjort just det. Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.

Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m. det korta citatet ovan. Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken. Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.

I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras:

Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information. Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen. Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt. Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder. För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet. I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext.

Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”. Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.

För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.

Hej!

Begreppet ”cyber” används flitigt för tillfället. Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.

Samma dag fick jag svar från Försvarsmakten med en hel ordlista (Begrepp med definitioner för cyber) med sammansättningar med ”cyber”, däribland cybersäkerhet:

Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.

En stor eloge till FM för denna goda service! Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem. Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är:

Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information. Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.

Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.

Från SÄPO kom efter en knapp vecka det något förvånande svaret:

Hej,

Säkerhetspolisen har ingen egen definition av begreppet cyber. Det är inte ett begrepp som används primärt i vår verksamhet.

 

Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats,  i olika rapporter  och utåtriktad verksamhet som här och här för  att bara ta ett par exempel.

Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad:

Hej!

Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”. Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse:

  1. Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr. 2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”. För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedriva informationssäkerhetsarbete på organisatorisk nivå, främst för information som hanteras digitalt.
  2. Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
  3. I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.

MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a. SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet. MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet. De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a. från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato. Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k. cybersäkerhetsakten, COM(2017) 477 final).

Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi. Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna. Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig):

bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden

Cyberrymden;telerymden har i sin tur definitionen:

abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig

Med den förtydligande kommentaren:

Cyberrymden innefattar all kommunikation via internet samt telekommunikation. Cyberattacker sker per definition via cyberrymden. En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.

Jag är inte alldeles säker på att jag förstår vad detta exakt betyder. Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet:

Varje dag utsätts svenska myndigheter och företag för cyberattacker. Detta har bidragit till att bl.a. frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher. Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild. Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.

Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.

Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande. Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .

Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.). I en lustig cirkelrörelse hänvisar man i  en fotnot till  SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40:

En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”. På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår. I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur. Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva. Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang. Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk. Därmed har cybersäkerhet en större internationell räckvidd med t.ex. folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet. Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering. Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella organ.

Detta är ju ett  märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!). Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.

Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.

Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret. Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot. I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.

Är denna otydlighet då egentligen ett problem? Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst? Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning. Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare). Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet. Betänk språklagens krav på myndigheterna:

Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.

Gästinlägg: Med klassificeringsstrukturen som bas

Detta är ett gästinlägg av Fredrik Granholm, verksamhetsarkitekt i Sollefteå kommun.

”Inget är så starkt som en idé, vars tid har kommit” skrev Victor Hugo. Egentligen tycker jag att den nu inte längre så nya verksamhetsbaserade arkivredovisningen (RA-FS 2008:4) borde ha fått större genomslag i kommunsverige vid det här laget. Visst, det är många kommuner som infört verksamhetsbaserad arkivredovisning och även börjat skruva till sina dokumenthanteringsplaner (a k a informationsförvaltningsplaner), men därifrån till att arkivredovisningen verkligen implementeras såväl tekniskt som verksamhetsmässigt känns vägen lång.

Kanske ligger en del av förklaringen i att arkivvärlden tidigare in behövt förklara saker för verksamheten på samma sätt tidigare. I den gamla pappersbaserade världen (och den hängde med längre än många tror i den kommunala världen) skötte arkivarien eventuella sökningar efter avställda handlingar. Hän behövde inte förklara så mycket för verksamheten och verksamheten behövde heller inte veta så mycket om hur söket faktiskt gick till.

I och med RA-FS 2008:4 tvingas arkivvärlden och resten av verksamheten mötas på ett helt annat sätt än tidigare. Intentionerna med RA-FS 2008:4 är ju, vilket framgår tydligt av vägledningen ”Redovisa verksamhetsinformation”, att arkivredovisningen (och då främst klassificeringsstrukturen) ska styra informationshantering i såväl diarium som verksamhetssystem. Denna intention stöder jag för övrigt till fullo!

Men…som säkert många av er som läser Fias blogg vet så är det lättare sagt än gjort att skapa dylika styrningar. Förutom det hästjobb som många av er lagt ned på att beskriva verksamhetsprocesser, uppdatera dokumenthanteringsplaner, eventuellt försöka väva in informationssäkerhetsperspektivet (inklusive dataskydd) så ska ni dessutom lyckas få femtioelva systemägare, chefer m fl att förstå vikten av att detta arbete genomförs samt implementeras i diverse system/tjänster.

Jag är själv ingen ”äkta” arkivarie, utan har närmat mig disciplinen via diverse jobb inom informationshantering och verksamhetsutveckling. Jag vill ändå tro att jag har lyckats förstå ganska mycket av RA-FS 2008:4 och vägledningen som nämndes ovan. Jag var bland annat med och startade upp arbetet med att införa den nya arkivredovisningen hos Myndigheten för samhällsskydd och beredskap (MSB). Redan då, 2011, kände jag att det var tufft att förklara det värde den skulle kunna tillföra verksamheten. Det var snarare än fråga om att uppfylla Riksarkivets krav på myndigheten.

Eftersom det pågick ett arbete med att införa ett ledningssystem för informationssäkerhet (LIS) på MSB så väcktes idén att försöka slå två flugor i en smäll. Tanken var att en dokumenthanteringsplan rimligen borde kunna beskriva hanteringsregler utifrån såväl ett arkivperspektiv som ett informationssäkerhetsperspektiv. Många av de krav som ställs från respektive håll är trots allt överlappande. Eftersom jag jobbat en tid på ett bolag som hette Astrakan och därför arbetet en del med processmodellering kändes det naturligt att försöka beskriva sambanden med hjälp av grafiska processer.

I och med Riksarkivets föreskrift (RA-FS) 2008:4 ska myndigheter i Sverige redovisa sina handlingar utifrån verksamhetens processer istället för enligt det gamla klassificeringsschemat från 1903. Denna omvälvning har också på allvar börjat slå igenom i kommunsverige, vilket på många sätt är bra och egentligen bara en återspegling av den verkliga informationshanteringen.Dock upplever jag fortfarande, och jag tror att jag är i relativt stort sällskap, att det är svårt att pedagogiskt förklara för kommunens verksamheter hur arkivredovisningen kan hjälpa till att styra upp informationshanteringen annat än i själva arkivet. Därför har jag tagit fram följande grafiska presentation.

Läs mer

Bland muppar och nördar

Jag går in på LinkedIn eftersom det ingår i jobbet att hålla sig uppdaterad, storknar aningen av de hundratals bilder på människor som står och sitter på olika podier, framför olika power point-presentationer, runt olika sammanträdesbord (hoppas på en etnologisk studie av denna subkultur snart). Vid de flesta inloggningar tillförs jag ingen ny och värdefull information utan det är mer samma känsla som då jag oengagerat bläddrar igenom lokaltidningen, kanske för att jag fått min beskärda del av denna typ av sammanhang. Men så ibland dyker det upp något som kittlar till i sinnet. Som när jag såg en av de inte så få offentligt anställda digitaliseringsmissionärerna (jag menar inte att vara ironisk – jag vet helt enkelt inte vad jag ska använda för begrepp för den här nya rollen) hävda att det var ”säkerhetsmupparna” som hindrat den digitala utvecklingen och att dessa muppar nu borde skärpa sig.

Jag kände mig träffad, jag är nog en del i muppkollektivet även om jag brukar kalla oss säkerhetsnördar. Visserligen har jag idogt bedrivit en självkritik mot säkerhetsnörderiet, exempelvis i nio blogginlägg om varför säkerhetsarbetet inte funkar (del 1 här: ) men är det verkligen säkerhetsarbetet som försvårat digitaliseringen i Sverige?

Bilden av motsättningen mellan å ena sidan digitalisering, å andra säkerhet återkommer ständigt och närs från båda sidor.  Ett purfärskt och illustrativt exempel där säkerhetssidan målar upp den hotfulla digitaliseringen är denna debattartikel. Här presenteras den återkommande tropen att det finns en ursprunglig och manuell hantering som default är den säkrare lösningen. Jag delar  inte den uppfattningen. Nuläget är för det första inte särskilt säkert (ett understatement) och för det andra är knappast digitalisering ett av många alternativ utan the alternativ. De som hoppas på att hejda utvecklingen av digitalisering hoppas med största sannolikhet förgäves. Men grundattityden att förändring innebär en ökad risk försvårar av naturliga skäl kommunikationen med de som torgför digitaliseringens välsignelser. För mig framstår det litet som två grupper, säkerhetsnördar och digitaliseringsmuppar, som delvis tappat orienteringen och börjat se sin egen mission som ett ändamål i sig själv. Tendensen förstärks av att det finns starka ekonomiska intressen bakom båda riktningarna. Att det dessutom uppfattas finnas icke helt oväsentliga politiska poäng i att som landstingspolitiker hävda att man står för det moderna digitala samhället eller att man som rikspolitiker frammanar behovet av skydd mot onda makter gör diket ännu djupare.

Hur stor är i realiteten intressekonflikten och hur mycket är säkerheten gruset i digitaliseringsmaskineriet? När jag läser ESV:s uppföljningsrapport från förra veckan angående digitaliseringssträvandena i offentlig sektor anges inte säkerhetsnördarna som förklaringen till den för sega utvecklingen. Istället är det regeringens ineffektiva strategiska styrning av infrastrukturen, bristande samordning och bristande organisatorisk mognad som lyfts fram som hinder. Det är ju litet nedslående med tanke på de många rara miljoner som plöjts ner i digitalisering och som inte lett till önskat resultat. Samtidigt är det ju en fördel att det inte främst är mer pengar som behövs utan en tydligare riktning.

Själv skulle jag vilja hävda att vare sig säkerhet eller digitalisering har ett autonomt existensberättigande, endast kopplingen till verksamhets- eller samhällsnytta kan skapa anledning att utveckla säkerhet eller att digitalisera.

Det är rimligt att tona ner intressekonflikten eftersom det finns fler likheter än skillnader mellan arterna säkerhets- respektive digitaliseringsmupp och deras habitat. I båda fallen saknas styrmodeller nationellt, konkret strategisk inriktning och ett evidensbaserat kunskapsområde för praktisk tillämpning.  En negativ likhet är att betydelsen av integritet sällan varit djupt känd av någon av arterna.

För att komma framåt tror jag att det är viktigt att skapa en gemensam insikt om nödvändigheten av både och, både digitalisering och säkerhet. Då kan en attitydförskjutning ske inom båda kolonierna där respekt för kärnverksamheternas behov prioriteras, inte den egna gruppens agenda. Därmed kan också grunden läggas för gemensamma strategier, styrmodeller och kunskap – allt det som saknas idag.

P.S. Jag är inte för att gå över till digitala val – det skulle innebära alldeles för stora risker…

Hälsningar från en säkerhetsnörd.

En notering i marginalen om kontroll över informationen

Som så många andra som arbetar med informationssäkerhet läser jag nu med stort intresse den granskning som på regeringens uppdrag genomförts av Transportstyrelsens upphandling av förändrad it-drift.

Det finns ett antal faktorer till den olyckliga händelseutvecklingen som förtjänar uppmärksamhet och säkert kommer att fortsätta att penetreras. En aspekt som jag menar borde analyseras närmare än vad som skett i granskningen är myndigheters (och även andra organisationers) behov av generell kontroll över sin information. För mig framstår att ha kontroll över vilken information som finns i organisation samt hur den hanteras som den mest basala förutsättningen för att uppnå en fungerande informationssäkerhet.

För myndigheter är detta inte krav kopplat enbart till informationssäkerhet utan finns även i offentlighetslagstiftningen och i arkivlagen. De allmänna handlingarna ska vara redovisade och snabbt återsökbara. I praktiken innebär det att en myndighet (inklusive kommuner) måste ha kontroll över den information som skapas, inkommer och på olika sätt hanteras i verksamheten.

Det hjälpmedel som används för att skapa den eftersträvade kontrollen kallas ofta dokumenthanterings- eller informationshanteringsplan. Det finns inget legalt krav på att ta fram dessa planer men realistiskt sett är det nödvändigt att ha den här typen av planer, oavsett vad de kallas, för att kunna systematiskt kunna beskriva vilken information som finns.

I fallet Transportstyrelsen skulle ett sådant verktyg kunnat ge ett bra stöd inför en eventuell outsourcing eftersom, rätt utformad, skulle planen ha identifierat vilken information som skulle ingå i upphandlingen och vilket krav på skydd ur olika hänseenden (säkerhetsskydd, personuppgifter m.m.) som måste tillgodoses.

Mitt intryck är att många myndigheter inte har de informationshanteringsplaner som vore nödvändiga för kontroll av informationshantering. De planer jag sett är ofta antingen fragmentariska (d.v.s. omfattar endast delar av verksamhetens informationshantering) eller inaktuella. Vanligt är också att de i alltför hög grad bara redovisar information som ser ut som ”dokument”.

Detta mitt intryck kan vara helt fel men jag tycker det vore en angelägen uppgift för Riksarkivet att utreda och göra till en prioriterad fråga. Med konsekvent användning av informationshanteringsplaner skulle inte bara offentlighets- och arkivbehovet kunna tas om hand utan det skulle också kunna utgöra ett väsentligt steg mot en stärkt informationssäkerhet. Och vara ett konkret samarbetsområde för informationssäkerhetsmänniskor och arkivarier! I all enkelhet tror jag inte att svensk förvaltning kommer att klara den pågående digitaliseringen utan betydligt bättre samordning, i annat fall kommer händelser liknande den på Transportstyrelsen att bli återkommande.

 

Schrödingers information

På trettiotalet presenterade Erwin Schrödinger ett tankeexperiment som illustrerar en tänkt paradox där väldigt små fysikaliska partiklar kan befinna sig i ett så kallat överlagrat tillstånd. Konsekvensen av paradoxen är att en katt i ett slutet rum tillsammans med en instabil atomkärna skulle kunna uppfattas som samtidigt död och levande.

Jag tänker inte fördjupa mig ytterligare i kvantfysiken. Ur mitt perspektiv, som är att kontroll över informationen är centralpunkten både för informationssäkerhet och informationsförvaltning inklusive arkiv, finns det allt fler tillfällen då det är rimligt att använda tankeexperimentet som metafor och prata om Schrödingers information. Det är innebär information som både finns och inte finns på samma gång, något som är negativt för den som vill ha kontroll över sin information. Låt mig ta några exempel.

Det första exemplet är kanske det mest uppenbara och gäller formatet. Trots att jag är mycket pro-digitalisering så får ändå pappret och dess föregångare pergament m.m. sägas ha den stora fördelen att informationen som haft papper som bärare har varit möjlig att ta del av över seklerna. I och med att bärarna blivit digitala sluts cirkeln på sätt och vis då information precis som i gamla glömda teckenformer blir omöjlig att ta del av även om den faktiskt finns. Jag tänker då på den information som finns lagrat på medier och i format som inte längre går att läsa. Diskar som står och dammar, format som ligger som bilagor till mail, gamla applikationer som inte migrerats med till nutiden– oräkneliga exempel kan göras. Trots att de inte kan läsas ligger de kvar för ingen riktigt förmår att ta ställning och hålla i yxan.

Oförmågan att ta tag i yxan och faktiskt gallra är mitt andra exempel. Gallring har kallats arkivariens svåraste uppgift men jag ska inte här gå in på den i och för sig mycket väsentliga frågan om vad som ska gallras utan själva gallringsrutinen. Förutsättningen i myndigheter är att allmänna handlingar (vilket generellt är merparten av den information som myndigheten hanterar) ska bevaras. Undantaget är när ett gallringsbeslut fattats som kan göras av ett antal skäl vilket beskrivs i en av Riksarkivets få vägledande skrifter:

Vanligen syftar gallring till att myndighetens arkiv inte skall tyngas av allmänna handlingar som saknar påtagligt informationsvärde, allmänna handlingar som motsvaras av annan dokumentation i det egna arkivet eller andras arkiv, eller allmänna handlingar som har ett informationsvärde som är starkt begränsat i tiden. I fråga om personuppgifter kan gallring ibland syfta till att skydda enskildas personliga integritet. Rent ekonomiska bedömningar kan också ges mycket stor vikt, t ex när man har serier med få intressanta uppgifter i relation till omfånget.

Det som är själva poängen med gallringsbeslutet är att handlingarna sedan verkligen också förstörs. Ett gallringsbeslut är inte ett förslag utan handlingarna ska faktiskt som Riksarkivet skriver

 ske utan dröjsmål när gallringsfristen har löpt ut eller gallringstidpunkten har uppnåtts.

Detta efterlevs inte alltid. Ibland kan gallringsbeslut vara formulerade som att handlingar ”får” gallras vid en viss tidpunkt vilket kan ge intryck av att alternativet att handlingarna bevaras också finns. Inte sällan har jag i kommuner, landstings och myndigheters bestånd påträffat information som borde varit gallrad och därmed, sett till de fattade besluten, inte finns. Detta skapar naturligtvis en stor potentiell brist på rättssäkerhet för den enskilde där myndighetsbeslut säger att exempelvis en information rörande den enskilde inte finns men det sedan visar sig att den ändå gör det. Det rimmar också mycket illa med dataskyddsförordningen och ger dessutom ett intryck av att kommunen/myndigheten har en dålig ordning där man inte efterlever fattade beslut. Och hur skyddas en information som både finns och inte finns?

Ytterligare ett exempel som jag stött på är hanteringen av loggar. Loggar bör av integritetsskäl i de flesta fall gallras efter kort tid, default 3 månader om inte något annat framkommit vid informationsklassning, och då verkligen tas bort. I många verksamheter separeras dock inte loggarna från verksamhetsinformationen utan följer med i den allmänna back upen vilket gör att de ligger kvar år efter år. Integritetskänslig information från tjänster och passersystem som följer den anställdes alla aktiviteter på jobbet kan finnas kvar trots att många arbetsgivare har loggpolicys som säger något helt annat. Och för en myndighet blir det naturligtvis prekärt om loggarna begärs ut som allmän handling och man då måste ta ställning till om de finns eller inte finns trots att de rent faktiskt finns.

Det mest övergripande exemplet som jag redan tidigare varit inne på i en blogg är all den information som finns i en myndighet och som bedömts inte vara allmänna handlingar. Denna andel av den totala informationshanteringen ser jag som i stark tillväxt på gemensamma file servers, i olika egeninitierade molntjänst typ Dropbox och alla möjliga andra former. Informationen fångas inte upp i dokumenthanteringsplaner eller andra verktyg men finns likaväl.

Jag har inga patentlösningar på hur de här olika situationerna ska hanteras. Min spaning är helt enkelt bara att det är viktigt att vi inte har information som liknar katten i Schrödingers tankeexperiment.

Den viktigaste förebyggande åtgärden saknas

Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna. Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske. Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.

För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer. För att uppnå detta krävs både episteme, fronesis och techne. Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerande informationssäkerhetsarbete ska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras. Jag skulle vilja hävda att detta idag i allt för hög grad saknas.

Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sitt informationssäkerhetsarbete så att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär. Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.  Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag. Det gäller c.a. 350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet. En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns. Hos de som får allt tyngre ansvar för det faktiska informationssäkerhetsarbetet finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet. Till viss del fanns denna insikt även i  den strategi för samhällets informationssäkerhet som MSB tog fram tillsammans med andra myndigheter. Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.

Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen. Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.   Utredningar som SOU 2015:23 Informations- och cybersäkerhet i Sverige, SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster, SOU 2017:114 reboot – omstart för den digitala förvaltningen liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter. Den nationella strategin för informations- och cyberssäkerhet (Skr. 2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen. Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.  Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.

Jag delar inte denna tilltro till den osynliga handen. Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov. Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas. Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt). Därav ett stort fortbildningsbehov. De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning. Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning. Detta räcker naturligtvis inte långt.

Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren. Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället. Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist. Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas. Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet. Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.

 

Dystopihyllan eller tillit och tyranni

En mig närstående berättade att biblioteket där hen jobbar har en dystopihylla på barn- och ungdomsavdelningen. Så populär är den dystopiska genren för barn att den kräver en egen hylla. Jämfört med den yviga diskussionen om tysthetsnormen på bibliotek känns det här som en viktigare fråga för mig: varför har dystopin blivit ett så dominerande narrativ, så dominerande att även barn måste få en rejäl dos av dyster framtid?

Det är alltid svårt att bedöma sin nutid men detta är bara ett tecken på att vi för närvarande lever i en tid av ett ökande materiellt välstånd, längre livslängd, ett minskat terrorhot (i alla fall i Europa) och, sett i ett längre perspektiv, färre konflikter men med en känsla av att vi vandrar på avgrundens rand. Egendomligt nog är oron i mindre grad riktad mot reella hot som klimatsituationen. Undersökningar liknande den här ger en ganska entydig bild av den bristande tilltron till framtiden bland unga.

Flera av senare tids mest populära serier som The handmaids tale (som bygger på min gamla favorit Atwoods bok) är också dystopier. Inte bara barnen utan även vuxna antingen får sin redan dystra världsbild bekräftad eller influeras till en sådan via masskulturen. Den dystopiska världsbilden fördystrar inte bara den enskilda människans liv utan avspeglar ett samhälle av rädda människor. Att rädda människor är mer lättstyrda och mer beredda att underordna sig starka ledare som säger sig kunna erbjuda skydd är väl utforskat, bland annat av Zygmunt Bauman i verk som den Flytande rädslan.

Det förenande kännetecknet för dystopierna är ett auktoritärt styre vilket känns aktuellt även utanför fiktionens värld. Kanske kan den skräck vi känner för de fiktiva tyrannierna i allt från Harry Potter till vuxenlitteratur omvandlas till en kraft för att förhindra auktoritära tendenser i verkligheten.  Efter att ha läst Timothy Snyders On tyranny, en kort bestseller med hög densitet, funderar jag över om dystopierna på ett olyckligt sätt medverkar till att vi accepterar auktoritära tendenser som oundvikliga. De auktoritära tendensernas återkomst riskerar att urholka demokratin och på sikt leda till tyranni. On tyranny beskriver faktorer som historiskt sett har berett vägen för tyranni och vad en ansvarsfull individ kan göra för att motverka att dessa faktorer får genomslagskraft. Exemplen är hämtade dels från nazismens genombrott i Tyskland, dels det sovjetiska tyranniet. On tyranny ger uppmaningar som att slå vakt om språket, om sanningen, om institutionerna, om integriteten, om yrkesetik och om att våga stå för en egen åsikt. Börjar vi ge vika och kompromissa eller, ännu värre, agera som en del i den kraft som vill underminera demokrati, öppenhet och integritet så kan en snabb förflyttning ske till ett auktoritärt styrelseskick. Exempel på rörelser i den riktningen finns i flera europeiska länder idag och det finns ingen anledning att tro att Sverige skulle vara immunt. Det kan förtjäna att understrykas att förflyttningen mot auktoritära styren i dagens Europa i huvudsak varit interna angelägenheter och jag tänkte därför i detta sammanhang inte fokusera på vår stora stygga granne i öst utan på vad vi kan göra själva.

En möjlig slutsats utifrån den historiska erfarenheten är att ett samhälle som genomsyras av tillit är det som har bäst motståndskraft mot auktoritära styren.  Vi bör alltså inte hålla ögonen öppna enbart för de auktoritära tendenserna utan även för förhållanden i samhället som antingen skapar eller eroderar tillit. Den tillitsdelegation som Ardalan Shekarabi tillsatt är sannolikt ett positivt steg i rätt riktning men otillräckligt eftersom målet för delegationens arbete är att ”styrningen av den offentliga förvaltningen i högre utsträckning ska baseras på tillit”. Det handlar i huvudsak om saker som att föreslå nya styrmodeller i den offentliga förvaltningen som kan ersätta New public management-modeller som visat sig tämligen destruktiva, d.v.s. tillit i förhållandet mellan regeringen och myndigheterna istället för detaljerade och mätbara kontrollprogram. Mycket bra självklart men som sagt otillräckligt för att skapa tillit hos innevånarna i förhållande till staten eller samhället i ett vidare perspektiv.Ändå ska inte verkligen inte myndigheters roll som samhällsbärande institutioner underskattas. Här finns ett samspel mellan att myndigheterna måste göra sitt yttersta för att få förtroende men också att medborgarna, media och debattörer accepterar ett ansvar för myndigheters och andra institutioners möjlighet att fungera.  En uppfordrande maning från Snyder som känns  omodern i dagens skräniga politiska klimat är att vi måste försvara våra institutioner:

It is the institutions that helps us to preserve decency. They need our help as well. Do not speak of ”our institutions” unless you make them yours by acting on their behalf. Institutions do not protect themselves. They fall one after the orher unless each is defended from the beginning. So choose an institution you care about – a court, a newspaper, a law, a labour union – and take its side.

Det här är naturligtvis ett något obekvämt perspektiv, vana som vi är att få gnälla på allt. Jag är dock beredd att köpa Snyders resonemang och ska själv försöka komma bort från slentriangnällandet och bli mer konstruktiv. Min övertygelse om att detta är viktigt stärktes då jag häromdagen läste en terrorismforskare hundvissla om att ”Sverige” accepterar att kriminella spränger polisbilar. Med Snyders text färsk i minnet gjorde jag en ansträngning för att se något som helst positivt i att hen utnyttjar sin stora plattform för att göra den här typen av utspel som knappast har med verkligheten att göra. Jag kan inte se någon sådan positiv effekt – bara att tilliten i samhället minskar. Det måste dock poängteras att försvara institutioner som sådana inte innebär att de inte får kritiseras. Tvärtom måste ett ständigt förbättringsarbete pågå men det måste ske med respekt för institutionerna som just institutioner.

Om vi kan vara överens om premissen att tillit är en motkraft mot auktoritära synsätt så vill jag nu gå ett steg längre och säga att vi som arbetar med frågor inom informationshantering, säkerhet och integritet har en möjlighet att i någon liten mån påverka en förflyttning i rätt riktning. Det kräver dock kulturförskjutning inom kåren mot ett arbete tydligare grundat i värderingar och även en uppgörelse med den anti-intellektuella och delvis auktoritära hållning som alltför ofta präglar synsätt och arbetsformer. Vikten av att förankra säkerhetsåtgärder i värderingar innebär en förståelse av att ”säkerhet” inte har ett existensberättigande i sig själv utan måste vara kopplat till att utveckla och skydda värden i organisationen, och på samhällsnivå; värden för samhället. De materiella värdena är enkla att identifiera men i förhållandet till tillit så är det, som jag uppfattar det, framför allt öppenhet, korrekthet och respekt för den enskildes integritet. Att detta inte faller sig alldeles naturligt för alla som jobbar med säkerhet förstår jag utifrån att ha blivit kallad både integritetsextremist och öppenhetsfundamentalist (med viss glimt i ögat) av kollegor. Och att göra sig fri från det anti-intellektuella handlar väsentligen om att erkänna att informationshantering och säkerhet befinner sig i ett territorium av ständiga dilemman där förmågan till relevanta problemformuleringar är helt central för att vara en positiv kraft. I detta ligger naturligtvis även förmågan att tänka och att kunna ta till sig ny kunskap samt att inse att det inte finns absoluta sanningar. Även här föreställer jag mig en ganska mödosam process för att utveckla kåren mot en mer ändamålsenlig kultur.

Låt mig ta några exempel på frågor där säkerhetsarbete kan stärka eller stjälpa tilliten. Den mest näraliggande proberstenen är dataskyddsförordningen som träder i kraft i maj och vars syfte är stärka den personliga integriteten (och den gemensamma europeiska marknaden). Vi är väl ett antal som både arbetat med informationssäkerhet och integritetsfrågor, t.ex. som PUO, men min personliga erfarenhet är att integritet försätter många säkerhetsmänniskor i ett ambivalent tillstånd. Å ena sidan finns det redan idag lagstiftning som ska skydda integriteten och som förutsätter att informationssäkerheten medverkar till detta, å andra sidan är åtgärder som olika typer övervakning centrala i säkerhetsarbetet. Integritet och övervakning går inte att förena utan en djupare analys där det måste finnas en beredskap för att den övervakning som skulle vara eftersträvansvärd ur ett rent säkerhetsperspektiv inte går att införa på grund av den inskränker den personliga integriteten. Den lagstiftning som redan finns angående integritetsskydd efterlevs i många fall inte. Jag tror inte heller att lagstiftning är tillräckligt utan att relationen mellan värderingar och lagstiftning är mer komplex än vad som framskymtar i dessa mycket seniora jurister debattartikel . Värdering och lagstiftning är helt enkelt inte synonymt (för att ta det mest slitna exemplet otrohet som inte är förbjudet men som det finns en stark värdering kring). För att kunna hantera det återkommande dilemmat mellan integritet (som lagstiftningen kräver) och övervakning måste man ha stöd i värderingar, att verkligen bottna i att integritet är ett viktigt värde och själv aktivt verka för att förbättra den. Lyckas man med det bidrar man till tilliten inte bara genom att slå vakt om integriteten utan även genom att på ett seriöst och öppet sätt visa att världen inte är svart-vitt utan kräver avvägningar och kompromisser.

Integritet har en tendens att frammana svart-vita resonemang och dessutom märkliga motsatsförhållanden som leder tanken fel. Jag har tidigare skrivit om den falska dikotomi (ett argumentationsfel där det förutsätts att det bara finns två alternativ, men där det egentligen skulle kunna vara så att båda dessa alternativ är falska eller att dessa inte behöver utesluta varandra) som använts när det gäller integriteten i sjukvården. Där har nu under 25 år patientsäkerhet ställts mot integritet trots att det är fullt möjligt att uppnå både och. Denna falska motsättning har upprätthållits av sjukvårdens makthavare på olika nivåer och av programvaruleverantörer och är märkligt seglivad och reproduceras i alla sammanhang rörande digitalisering och e-hälsa, explicit och implicit. Ett nytt exempel på detta är den rapport som Myndigheten för vård- och omsorgsanalys publicerade i december . Rapportens syfte är att beskriva Befolkningens inställning till nytta och risker med digitala hälsouppgifter till vilket man haft stöd i enkätundersökning. Trots den goda intentionen att ta reda på befolkningens inställning till tillgången till vårduppgifter menar jag att man hamnar i ett etiskt moras när man läser enkätens beskrivning av verkligheten och de frågor som respondenterna förväntas besvara. Ett exempel på bakgrund:

Sjukvårdspersonal har inte alltid tillgång till dina journaler som förts på andra vårdenheter. Till exempel kan det vara så att läkaren på din vårdcentral inte kan se journalen från specialistläkare som du träffat på sjukhus. Nu tas initiativ för att se till att olika vårdenheter ska kunna se varandras journaler, så att den vårdpersonal du träffar har tillgång till viktig information om dig. Det är bara personal som deltar i vården av dig eller som på andra sätt behöver uppgifterna för sitt arbete som har rätt att läsa din journal. Men detta kan ändå medföra en ökad risk att personal som inte har rätt till det läser dina uppgifter.

Redan beskrivningen sätts förutsättningen att patienten måste gå med på en ökad risk för obehörig åtkomst för att få den självklara nyttan av att behöriga vårdgivare ska få rätt underlag för sin behandling. Samtidigt beskrivs den obehöriga åtkomsten som ett undantag

Andra studier och källor pekar emellertid på att hanteringen av digitala hälsouppgifter inte alltid lever upp till dessa förväntningar på säker hantering.

trots att det är väl känt inte minst genom Datainspektionens försorg att personal som inte alls behöver det har tillgång till känslig information i sjukvården är regel idag, inte ett undantag. När respondenten får frågor som om Vad är din uppfattning om att olika vårdenheter får tillgång till varandras journaler? gissar jag att flertalet förutsätter att det endast är personal som aktivt deltar i respondentens vård som avses. Den falska dikotomin finns ständigt som en bakgrund som när man i intervjuerna frammanar en situation på liv och död:

Anser du att all vårdpersonal som du kommer i kontakt med bör kunna se (allt) ditt journalinnehåll? a. Vilka uppgifter anser du bör vara synliga – om något – för vårdpersonal på till exempel akutmottagningen?

istället för att fråga om respondenten anser att alla inom en region inklusive fotvårdsterapeuter bör få se din psykjournal.

Min generella invändning mot rapporten, vid sidan om den falska dikotomin, är att den riktar hypotetiska frågor om specifika förhållanden där respondenterna med största sannolikhet har mycket litet kunskap som hur informationshanteringen sker, vårdens organisation och rådande säkerhets- och integritetsförhållanden. En radikal tanke är att föreställa sig att enkäten utformats utifrån dagens verkliga situation med frågor som:

Hur upplever du att tusentals anställda som inte alls deltar i din vård har tillgång till all vårdinformation och det heller inte finns rutiner för att i efterhand på ett rimligt effektivt sätt kontrollera eventuell felaktig åtkomst? Detta innebär också en möjlighet att förändra information så att du riskerar allvarlig felbehandling.

Jag tror att den typen att frågor skulle ge en mer rättvisande bild av hur människor faktiskt bedömer sin önskan om integritet. Svarsfrekvensen når inte upp till 30 procent vilket kan vara ett tecken på att många tilltänkta respondenter uppfattade sin förmåga att besvara frågorna som begränsad. Det har inte utgjort något hinder för de slutsatser som presenteras i rapporten.  Jag kommer säkert att återkomma till den här rapporten då den trots sina brister och luddiga slutsatser med säkerhet kommer att användas i olika e-hälsosammanhang som ett stöd för lösningar med bristfälliga integritetskrav. Ur ett tillitsperspektiv är det också negativt inte bara på det sätt som beskrivs i rapporten:

Westins många studier har också påvisat ett starkt samband mellan graden av tillit till institutioner och inställningen till integritetsskydd.

utan också genom att institutionernas förmåga att värna den enskildes integritet påverkar tilliten. Med den integritetssyn som signaleras i rapporten riskerar integriteten att påverkas i negativ riktning vilket i sin tur kan leda till en sänkt tillit. Detta stärks ytterligare av den bild av verkligheten som ges inte rimmar med de granskningar av faktiska förhållanden som gjorts. För mig blir detta ett dubbelfel sett med spaning på tillit: först de verkliga bristerna i sjukvården, därefter att de ignoreras.

Samma osäkerhet om vilken verklighet vi pratar om infinner sig lätt när det gäller säkerhetsåtgärder. Ett uppenbart exempel är övervakningskameror. Vetenskapligt finns det svaga belägg för att övervakningskameror minskar kriminalitet utom då de placeras i parkeringshus. Ändå lyfts övervakningskameror ständigt fram som ett sätt att visa handlingskraft, inte minst för att bekämpa brottslighet i utsatta områden. Jag förutsätter att flertalet som argumenterar för fler kameror är väl medvetna om den bristande effektiviteten i åtgärden men av andra skäl ändå framhärdar i sin argumentation. Som jag ser det leder ineffektiva säkerhetsåtgärder till en falsk trygghet eller till att själva säkerhetsåtgärderna ger belägg för att människor borde känna sig orolig eller till att alerta medborgare inser att de blir ”lurade” av myndigheterna. Inget av dessa tre alternativ skapar en större tillit i samhället. De bör dock få oss som arbetar med säkerhet att fundera över vilka direkta och indirekta konsekvenser vårt säkerhetsarbete kan få och att våga ifrågasätta den reella säkerhetshöjande effekten av olika åtgärder. Avvägningen mellan integritet och vilket annat värde som helst behöver inte med nödvändigt leda till att vilket värde som helst alltid är viktigare.

Den ambivalens som finns hos många säkerhetsmänniskor inför integritetsfrågorna finns i minst lika hög grad inför öppenhet. Öppenhetens betydelse för samhällelig tillit är knappast ifrågasatt av någon och för svenska förhållanden finns det en stor mängd statsvetenskapliga studier om detta så jag finner det överflödigt att länka till någon enskild av dessa studier. Den intresserade kan börja med Bo Rothstein och sedan gå vidare.  Sverige har ju också unika förutsättningar för att ge insyn i myndigheters verksamhet genom offentlighetsprincipen. Även här finns dock ett glapp mellan lagstiftningen och de värderingar som myndigheter och enskilda tjänstemän har. För att offentlighetsprincipen ska fungera i praktiken krävs en vilja att tillhandahålla information även om det kan leda till negativa konsekvenser för myndigheten. Den kultur som finns inom säkerhetsområdet bär på ett arv där huvuduppgiften har varit att säkerställa att hemlig information inte blir tillgänglig för obehöriga. Resultatet blir en osäkerhet som gör att sekretesstämpeln kommer fram för flitigt när det gäller säkerhetsrelaterad information. Att möjligheten att sekretessbelägga information tillämpas i allt vidare utsträckning uppmärksammas av  grävande journalister nyligen.

Öppenheten är basen för tillit men också ett viktigt verktyg för att kunna bedriva den källkritik som är nödvändig i ett klimat där falska nyheter och påverkansaktiviteter florerar. Men även källkritik måste utgå från rimliga värderingar som ger tillit. För mig som är danad i Lauritz Weibulls hårda källkritiska skola är det centralt att det källkritiska förhållningssättet tillämpas även på grunden för de egna utsagorna. Om inte denna princip anses giltig uppfattar jag det som att vi tar ett steg mot den asymmetriska situation som råder under auktoritära regimer där enbart andra nationers påverkansförsök nagelfars medan utsagor som gynnar den egna ståndpunkten okritiskt anammas. Tecken på sådana tendenser av överdrivet välvilligt mottagande har uppmärksammats av bland annat podden Mediespanarna rörande en undermålig rapport om rysk propaganda . Problemet är att de som har det lovvärda syftet att avslöja rysk desinformation själva blir desinformatörer.

Det är dags att avrunda detta långa och pretentiösa inlägg med att komma några förhoppningar inför det nya året, förhoppningar som känns alldeles särskilt aktuella den här veckan då Folk och försvar drar i gång samtidigt som valåret inleds.  En första förhoppning är att vi alla har ett ansvar för att medverka till att skapa tillit i samhället. Vi som arbetar med säkerhet bör låta vårt arbete styras av värderingar som skyddar öppenhet, integritet och demokrati. Vi måste också våga ifrågasätta våra egna sanningar och tillämpa en systematisk källkritik där det också är tillåtet att ha fel. Ta stöd i Timothy Snyders uppmaningar och se hur du kan omsätta dem i ditt arbete.

Läs och se dystopier men motverka att de förverkligas genom att vara extra vaksamma mot alla steg som går i en auktoritär riktning, som inskränker öppenhet och demokrati samt medborgarens möjlighet att hävda sina rättigheter även i förhållande till den egna statsmakten. Undvik att gå in i starkt polariserade lägen som skapar falska dikotomier som att vi antingen är fullständigt naiva eller att ett storkrig står för dörren vilket legitimerar inskränkningar i öppenheten och andra demokratiska rättigheter. Och var inte rädd, rädsla urholkar inte bara själen utan även samhället.

 

Finns det en informationssäkerhetskultur?

Som jag litet surt påpekat några gånger är kunskapsgrunden för informationssäkerhetsarbetet påfallande svagt. Det är därför en händelse av stort intresse när en ny forskningsantologi inom informationssäkerhetsområdet publiceras som nu då Informationssäkerhet och organisationskultur presenteras. Än mer så när den är inriktad på organisation och inte enbart teknik som den övervägande del av de svenska forskningsinsatser varit.

Antologin bygger på resultatet från ett antal olika forskargrupper som finansierats av MSB i ett femårigt forskningsprogram relaterat till frågor om informationssäkerhetskultur. I programmet genomfördes en omfattande enkätundersökning som använts av flera av de ingående forskningsgrupperingarna.

Att det är ett konglomerat av olika discipliner som deltagit är både en styrka och en svaghet i antologin. Styrka eftersom det ger en i delar ny och intressant belysning av informationssäkerhet, svaghet då den röda tråden i antologin känns väl tunn och att det mer har handlar om paketering än en reell knytning till just säkerhetskultur. Att det inte är ett inarbetat forskningsområde visar sig också i att den litteratur som använts i förvånande hög grad är utgiven för tio år sedan eller mer.

Först två allmänna reflektioner efter genomläsning. För det första beskrivs informationssäkerhet påfallande ofta direkt och indirekt som en statisk entitet, d.v.s. på ett icke-relationellt sätt, som här t.ex:

Informationssäkerhetskultur kan vara bra såväl som dålig. Den är bra om den gynnar informationssäkerheten.

Jag menar att informationssäkerheten inte är ett värde i sig utan att det är organisationens intressen som ska gynnas av informationssäkerhetskulturen, d.v.s. att den goda informationssäkerhetskulturen stödjer organisationen i att identifiera sitt behov av olika informationssäkerhetsåtgärder.

Den andra reflektionen är den i mitt tycke en övertro på regelstyrning. I några av inläggen framstår det som att informationssäkerhetskulturens främsta och möjligen enda uppgift är att motivera medarbetarna att följa regler. Med erfarenhet från att vara informationssäkerhetsansvarig alternativt konsult i rätt många organisationer har jag upplevt att det stora behovet av säkerhetskultur är att den lägger grunden för en dialog om informationssäkerhet. Verksamheten måste vara involverad eftersom det är den som känner de egentliga behoven av säkerhet men behöver hjälp med att kanalisera dem och över huvud taget definiera dem som säkerhetsrelaterade. I detta är exempelvis verksamhetens förmåga och intresse av att uppmärksamma risker och kommunicera dem. Och när det gäller styrningen är det också aningen förvånande att ledarskap inte diskuteras – när organisationskultur i allmänhet brukar ses som i en nära samvariation med ledarskap. Här tänker jag inte enbart på det generella ledarskapet i en organisation. Minst lika viktigt är det ledarskap som de som arbetar med informationssäkerhet utövar både nationellt och i sina respektive organisationer. Min uppfattning, som saknar vetenskapligt belägg, är att detta ledarskap fortfarande är starkt präglat av en patriarkal kultur hämtad från en militär-polisiär tradition som är illasittande i de flesta moderna organisationer. Detta kommer ytterligare att förstärkas när Metoo-revolutionen, som inte bara handlar om sextrakasserier utan även manligt maktmissbruk bland annat på arbetsplatser, rullar vidare.

Några av inläggen läser jag med känsla av: var det inte mer? Det är inte sååå upphetsande med en slutsats som att tjänstemän som arbetar i regelföljande organisationsklimat anammar informationssäkerhetsregler bättre än tjänstemän i organisationer utan detta klimat. Eller att informationssäkerhetskulturen gynnas av att ledningen uttrycker att informationssäkerhet är en viktig fråga för organisationen (även om detta ändå touchar ledarskapsfrågan som jag tidigare skrev att jag saknade).

I andra fall blir jag uppriktigt förbryllad. Avsnittet om ”praktikanpassad informationssäkerhetspolicy” blandar alla nivåer av styrande dokument på ett sätt som jag som strukturfascist känner mig ytterst obekväm med. Bara att skriva informationssäkerhetspolycier i plural …  Ett annat exempel som leder grubbel är detta:

Historiskt sett baseras informationssäkerhetsarbetet på tre tekniskt orienterade principer: sekretess, riktighet och tillgänglighet.

Författarna vill komplettera dem med ”organisatoriskt orienterade och beteendebaserade principer som ansvar, rollintegritet, förtroende och etiskt handlande”. Jag gillar känslan av att få mattan undanryckt under fötterna, för mig har aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet varit definitioner av vad som ska uppnås i tillräcklig grad med både organisatoriska och tekniska åtgärder. Tyvärr kan jag inte säga att den nya vinklingen som författarna från Handelshögskolan i Örebro lanserar känns uppenbar ens vid en närmare genomläsning. ”CIA”-begreppen ifrågasätts även av filosofen Björn Lundgren som vill ersätta dem med den s.k. RIGHT-definitionen. Trots att jag har en del högskolepoäng i filosofi går mig delar av hans resonemang förbi, kanske för att jag fastnar på ett tidigt skede eftersom det förefaller som om hans utgångspunkt är att det finns ett läge där information är ”säker”. I min uppfattning strider detta mot det riskbaserade säkerhetsarbetet där det snarare handlar om att rikta in sig mot ett ständigt rörligt mål och få en acceptabel riskmiljö.

Andra inlägg är mer givande. Den etnologiska studien av den konfliktfyllda kultur som råder runt framtagandet av informationssäkerhetsstandarder bör leda till eftertanke men har också  vissa (ofrivilligt?) komiska inslag.

Flera av inläggen handlar om informationssäkerhet i hälso- och sjukvård och det är kanske här antologin är som mest intressant särskilt med den tydliga kopplingen till integritetsfrågor. När nu många nya aktörer börjat visa intresse för integritetsfrågor i samband med dataskyddsförordningen har det ett generellt intresse.  Jag ska därför göra en fördjupning rörande ett av antologins inlägg.

Integritet och hälso- och sjukvård

Jag har i olika sammanhang ifrågasatt säkerheten och hanteringen av personuppgifter i den nationella tjänsten Hälsa för mig och kan därför säkert uppfattas som jävig men vill ändå hävda att Peter Johanssons och Sofie Hellbergs bidrag som handlar om den tjänsten är det mest givande avsnittet i antologin. Detta inte enbart för att sjukvårdens informationssäkerhet och hantering av integritetsfrågor är så viktiga i sig utan också för att de frågeställningar de lyfter fram kan generaliseras.

Bidraget inleds med en effektiv genomgång av tidigare forskning om integritet samt om några möjliga synsätt. Själva förordar de ett s.k. kontextdrivet förhållningssätt i motsats att försöka skapa en allomfattande och evig definition av integritetsbegreppet:

Vi delar uppfattningen om att nyckeln till att förstå och hantera personlig integritet ligger det sammanhang där integritetsfrågorna uppstår. En fördel med detta förhållningssätt är att man redan i designfasen av nya tekniker och system kan inkludera skydd för den personliga integriteten eller sätt upp regler kring nya teknikers användningsområden. Utan ett sådant kontextdrivet förhållningssätt finns en risk att man vare sig kan identifiera eller hantera situationer där den personliga integriteten hotas.

Detta stämmer väl med privacy by design (som ju föreskrivs i dataskyddsförordningen) även om jag hellre skulle beskriva det som privacy by design i processer än i system.

Forskarna identifierar de två parallella trenderna där accelererande mängder information insamlas och bearbetas samtidigt som individen får en ökad tillgång till information om sig själv. Med denna bakgrund studerar forskarna den tidigare regeringens satsning på tjänsten Hälsa för mig.

Hur ansvaret för säkerhet och integritet ska fördelas i det informationshanteringslandskapet är inte uppenbart vilket caset med Hälsa för mig visar. Att trycka ner ansvaret till individen med krav på hen själv ska ”styra” sin integritet har varit en bekväm lösning som myndigheter och tjänsteleverantörer. Individens möjlighet att göra rimliga avvägningar är av flera skäl mycket begränsad av att hen inte kan överblicka användningen av informationen, konsekvenserna av detta och dessutom är i ojämn maktrelation med leverantören av tjänsten. En egen reflektion är att författarna i marginalen låter ett inslag i den kultur som formats runt e-hälsa skymta fram när man skriver:

Att personlig integritet är något som kan upplevas stå i vägen för e-hälsoutvecklingen har vi noterat vid olika e-hälsokonferenser. Där har vi lyssnat på olika talare som raljerat över ”integritetsivrare”, vilket vi uppfattar som mycket problematiskt då det appliceras svepande på bland annat läkare och patientföreningar som representerar särskilt sårbara patientgrupper.

Potentiellt negativa effekter för integriteten tonas dock ner.

Detta är en kultur jag känner igen sedan åtminstone början av nittiotalet. Som verksam inom informationshanteringen i vården blev jag vittne till ett tydligt perspektivskifte.  Från att tystnadsplikt och integritet hade varit kärnvärden i läkarkåren och vården i stort skedde en snabb relativisering (ja, jag vet att allt inte var idealiskt tidigare heller men pratar här om de uttalade etiska ståndpunkterna). Relativiseringen av integriteten blev ett förhållningssätt som funnits med i digitaliseringsprocessen av vården ända sedan dess begynnelse, där det har målats upp en motsatsställning mellan patientsäkerhet och integritet. Bakgrunden till detta är att det har funnits en motvilja hos sjukvårdshuvudmän, vårdgivare och systemleverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt. Min uppfattning är att denna relativisering främst bottnade i att sjukvårdshuvudmännen m.fl. inte prioriterade att ta fram organisatoriska beskrivningar av hur ”vårdrelation” ska definieras, d.v.s. vilka medarbetare som verkligen har anledning att ta del av den enskilda patientens vårdinformationen. Detta kompletterat med att systemleverantörerna inte klarade av att leverera digitala lösningar med en för ändamålet avpassad behörighetshantering gjorde att den personliga integriteten framställdes som ett hinder för verksamheten och ett hot för patienten. Ett tydligt tecken var den ständigt återkommande bilden på konferenser och andra sammanhang där det beskrevs hur en medvetslös patient kommer in på akuten och personalen p.g.a. att patienten kan ge samtycke inte kommer åt information som överkänslighet eller annan medicinsk bakgrund med följd av att patienten avlider. Att flertalet patienter inte är medvetslösa, inte på akuten och att behörighetsstyrningen kan ske situationsanpassat försvann i detta scenario som gjorde det överväldigande tydligt för många att integritet är av ondo. En rådande doktrin var också att behörighetsstyrning var onödigt och att loggning var lösningen på kontroll av åtkomst. Att loggning i detta syfte skulle kräva att det är mycket tydligt vem som har åtkomsträtt, d.v.s. i princip samma förutsättning som för den behörighetshantering som man sa sig inte kunna åstadkomma, förträngdes. Effekten blev usel informationssäkerhet samt att etiken och i förlängningen lagstiftning anpassades efter organisatoriska och tekniska brister. Detta vore ytterst intressant att läsa om i en forskningsstudie.

Den inneboende paradoxen med självstyrd integritet samtidigt som individen inte har det egentliga valet eller möjligheten att styra begränsningen av användningen av personuppgifter är inte unik för Hälsa för mig. Den möjlighet att spärra uppgifter som patienten fick i patientdatalagen (PDL) 2008 har i praktiken inte realiserats utan på många sätt motarbetats av vårdgivare. Bidraget om Hälsa för mig och den bristande integritetsanalysen i det projektet illustrerar en historisk utveckling formad genom tekniska ofullkomligheter men därefter stödd av en säkerhetskultur som legitimerar den bristande säkerheten, ja rent av gör den till en dygd. Den bristande analysen i fråga om integritet i Hälsa för mig har lett till att Datainspektionen listat ett antal förelägganden som måste åtgärdas innan tjänsten kan tas i bruk. E-hälsomyndigheten har överklagat detta till förvaltningsrätten men i dagsläget verkar det oklart om tjänsten kommer att kunna tas i bruk.

För mig är detta antologins absolut viktigaste bidrag när det gäller att vissa betydelsen av en positiv respektive negativ informationssäkerhetskultur. Dessutom att den kulturella påverkan på intet sätt är begränsad till en enskild organisation utan kan omfatta en hel sektor. Här finns verkligen möjlighet till vidare forskning. I dessa dataskyddsförordningstider är det också av stor betydelse att visa att integritet inte handlar om teknikaliteter utan om kultur och värderingar.

 

Sammantaget illustrerar antologin ett spretigt kunskapsområde med oklar teori och en ganska lång väg kvar att gå. Svaret på frågan i rubriken tycker jag mig kunna se som: ja, det finns både positiv och negativ informationssäkerhetskultur och vi måste förstå mer för att kunna stärka den positiva kulturen.