Mycket skrik för litet ull?

Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten). Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?

Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter. Själv känner jag mig mer ambivalent. Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta. Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det. Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer:

Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på). Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.

Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet. I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg. För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k. Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA. I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller. Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s. åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten. Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap. När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs. Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.

Vad kommer man då fram till i rapporterna?  För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter:

Läs mer

Sluta obfuskera och gå vidare

Att lyckas med sitt informationssäkerhetsarbete handlar i hög grad om att kommunicera. Att kommunicera handlar i sin tur i hög grad om att skapa förståelse och samsyn. Detta är nödvändigt för att få människor och organisationer att agera. Banala sanningar kan tyckas men tyvärr är dålig kommunikation en ständig ledsagare för de som arbetar med informationssäkerhet. Ibland känns det som folk i branschen oavsiktligt använder obfuscation som sin normala kommunikationsform, här i Wikipedias definition:

Obfuscation is the obscuring of the intended meaning of communication by making the message difficult to understand, usually with confusing and ambiguous language. The obfuscation might be either unintentional or intentional (although intent usually is connoted), and is accomplished with circumlocution (talking around the subject), the use of jargon (technical language of a profession), and the use of an argot (ingroup language) of limited communicative value to outsiders.

Själva begreppet informationssäkerhet saknar en tydlig och accepterad uttolkning. Detta leder till problem både för dem som anser sig arbeta med ”informationssäkerhet” och för dem som avser att anställa eller anlita vad de tror är en definierad kompetens. Det blir inte enklare då man slänger in nya spännande beteckningar som ”cybersäkerhet”.

Jag tror att det finns en olycklig tendens att de som arbetar med informationssäkerhet (i någon form) är mer intresserade av att bekräfta varandra i gruppen än att skapa en relation med omvärlden, d.v.s. en relation byggd på ömsesidig förståelse. Därav obfuscation.

Ta exemplet med titeln ”CISO” som fått en snabb spridning i svenska myndigheter inklusive regioner och kommuner. Uttytt står CISO för chief information security officer vilket låter flott men titeln leder enligt min mening till mer oförståelse och förvirring än klarhet. När  informationssäkerhet  i sig ännu inte är ett hushållsbegrepp så min fråga är varför man i Söpple kommun väljer att höja svårighetsnivån ytterligare och införa en titel som är helt ogenomtränglig för alla utanför skrået.Vad man chiefar över är även det höljt i dunkel.

Särskilt märkligt blir detta titulerande sett i ljuset av den svenska språklagen som uttryckligen skriver:

Språkanvändningen i offentlig verksamhet

10 §   Språket i domstolar, förvaltningsmyndigheter och andra organ som fullgör uppgifter i offentlig verksamhet är svenska.

I annan lag finns särskilda bestämmelser om rätt att använda nationella minoritetsspråk och annat nordiskt språk.

När det gäller skyldigheten för domstolar och förvaltningsmyndigheter att anlita tolk och att översätta handlingar finns det särskilda bestämmelser.

11 §   Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.

12 §   Myndigheter har ett särskilt ansvar för att svensk terminologi inom deras olika fackområden finns tillgänglig, används och utvecklas.

Detta har alltså svenska myndigheter att följa vilket jag finner som ett rimligt krav. Jag har funderat över varför så många väljer att bryta mot detta när det gäller CISO-begreppet, vad vill man uppnå på bekostnad av att varken den egna organisationen eller de invånare man är satt att tjäna begriper vad man sysslar med? CISO är ju inte heller på något sätt en skyddad yrkestitel eller resultatet av en specifik utbildning utan kan stå för litet vad som helst. Jag är den första att förespråka en klassisk professionalisering av vår yrkesgrupp, vilket jag skrivit om bland annat här, men då är det helt andra och mer seriösa åtgärder som krävs än en flashig titel. Vi borde vilja nå ut, inte spinna in oss i en allt tätare skråkokong.

Återigen; CISO-begreppet är bara ett exempel men jag tycker det är signifikativt för en attityd som jag menar är till nackdel både för professionen och för uppdragsgivare. En episod som ofta återkommer i mitt minne är när en medarbetare för ett antal år sedan argumenterade för sin linje (som inte var min) med fritt citerat:” well, det är så vi i communitiet ser det.”. Tyvärr fann jag mig inte tillräckligt snabbt för att fråga exakt vad ”communitiet” egentligen var och vilka som ingick i det men jag misstänker att det var någon slags informell och självutnämnd kommitté av människor som såg sig som ägare av informationssäkerhetsfrågan i Sverige. Eftersom jag själv alltid skytt den här typen av gemenskaper är jag partisk. Ändå vill jag säga jag uppfattar den här kårandan som ett problem som gestaltas bland annat genom lanserandet av CISO-titeln.  Istället för att rikta blicken på den egentliga målgruppen, det vill säga de som inte arbetar med informationssäkerhet, spelar vi för vårt eget galleri. Den skapar också osunda lojalitetsband eftersom det saknas objektiva och accepterade krav på den som ska ses som en kompetent yrkesutövare.

Låt oss skingra dimman och inrikta oss på att nå ut till de som vi egentligen ska tjäna och skapa förutsättningarna för en seriös utveckling mot en profession. Detta kan också en etablerad titel med ett tydligt kompetenskrav som på sikt till och med skulle kunna bli en skyddad.

Vårt behov av autenticitet

Jag fortsätter succékonceptet att blogga om obskyra ämnen med en mycket begränsad grupp av intresserade. Förra gången utredningsväsendet, nu behovet av autenticitet. Upprinnelsen till detta inlägg är att jag fick uppdraget att prata om äkthet på en konferens och då började fundera mer intensivt på frågan – tack för det FALK! Detta blogginlägg ska ses som en bråkdel av vad jag anser behöver belysas gällande autenticitet.

Utgångspunkten var att både ur ett arkiv- och ett informationssäkerhetsperspektiv finns ett grundläggande intresse av att kunna skapa och upprätthålla autenticitet på olika nivå i informationshanteringen. Att notera är att autenticitet vid sidan om skydd mot obehörig åtkomst också är det historiskt sett mest konsistenta intresset både för arkivverksamhet och för informationssäkerhetsområdet. Dessutom är vissa tekniska åtgärder för att på olika sätt skapa autenticitet så grundläggande att vi inte ens reflekterar över dem, från underskrift på pappersdokument till olika digitala autentiseringslösningar. Detta till trots är autenticitet som begrepp och tillämpning påfallande sällan diskuterat. Slagningar i Libris och Diva antyder att när autenticitet explicit diskuteras gäller det i allra flesta fall kulturminnesvård, konst eller möjligen kvalitet. Inte ens som autenticitetens betydelse i relation till juridiskt bevisvärde har skapat några större textmängder vilket påpekas i en av de få avhandlingar från senare år som har detta tema (Om informationstekniskt bevis av Jonas Ekfeldt). De många utredningar som genomförts rörande digitalisering har inte fördjupat sig autenticiteten utan den nämns endast flyktigt som i SOU 2018:25 Juridik som stöd för förvaltningens digitalisering där ordet autenticitet finns med två (!) gånger på 562 sidor. Visserligen diskuteras signaturer i ett avsnitt men som jag ser det är det enbart en delmängd av frågan och här presenterad helt utan större kontext. Det enda glädjeämnet är en tio år gammal text av Kenneth Hänström, numera landsarkivarie i Härnösand.

Ett första steg för många för att förstå begreppet autenticitet är att gå till de standarder som ofta tillmäts kvaliteten att kunna ge definitioner. Jag har här valt två centrala standarder för området som även fått förleden SS för att ange att de ska ses som svenska standarder. Den första är SS-ISO 15489_1 2016 som är en standard för hantering av verksamhetsinformation till vilken allt oftare arkivarier hänvisar. Ur ett arkivperspektiv är möjligheten att bedöma graden av autenticitet en nödvändig förutsättning för i princip alla moment i hanteringen och det är därför av intresse att se vilket stöd standarden ger för att närma sig frågan. Trots att den alltså är en svensk standard finns den ännu inte, såvitt jag kan se, översatt till svenska. Inga förändringar har dock gjorts från en tidigare version av standarden som hade följande svenska definition:

  • Att handlingen visar att den är vad den utger sig för att vara,

  • Att den är skapad eller skickad av personen som uppgett sig för att ha skapat eller skickat in handlingen

  • Att handlingen blivit skapad eller inskickad i den angivna tiden

Även bortsett från den förvirrande användningen av begreppet ”handling” som skapar så mycket språkförbistring när arkivarier ska kommunicera den övriga mänskligheten (det är liksom både bärare och informationsinnehåll på en gång) så är denna definition fertil grogrund för ett antal frågor. Som det första cirkelargumentet att handlingen (som bärare gissar jag) i sig demonstrerar något som ger autenticitet. Som att den tycks se autenticitet som ett binärt begrepp; antingen är handlingen autentisk eller inte. Som att autenticitet på något vagt sätt har med post att göra. Som att autenticitet är knuten till en enskild person.

Om vi istället går över till informationssäkerheten och ser vad den svenska terminologin som SIS gav ut 2015 säger blir frågorna inte färre. Där uppges följande:

autenticitet authenticity äkthet avseende uppgivna uppgifter; särskilt rörande påstådd identitet och meddelandens ursprung och innehåll

Den tekniska process vari äktheten, autenticiteten bekräftas kallas autentisering. Denna kontroll kan avse entiteter såsom användare, processer, systemkomponenter och informationsobjekt

Pluspoäng för att man nämner ordet ”äkthet” och att autentisering kan gälla olika typer av komponenter. I övrigt är det rätt svårt att förstå vad som egentligen kännetecknar autenticitet. Vad som mest intresserar mig är dock att autenticitet valts bort som en central dimension av informationssäkerheten i ISO 27000:s tolkning. Istället har riktighet upphöjts till en av de tre särskilda omnämnda värdena och då med denna betydelse (fortfarande enligt terminologin):

riktighet integrity skydd mot oönskad förändring

Definitionen ser till skyddet medan egenskapen ”riktighet” får förstås implicit som typ oförändrad information. Jag har svårt att förstå denna prioritering mellan begreppen. Hur man kommit fram till den är som eljest i standardsammanhang dolt, de diskussioner, överväganden och möjligen utredningar som lett fram till olika ställningstaganden finns inte presenterade någonstans. Bristen på den transparens och strävan efter delaktighet som finns inom exempelvis akademin saknas då standarder etablerar sina sanningar.

Riktighet kan i bästa fall ses som en delmängd av det större begreppet autenticitet. Därför bör autenticitet eftersträvas som ett huvudmål snarare än riktighet, en uppfattning som skulle varit rimlig redan innan det digitala samhälle vi nu har fötts. När information hela tiden skapas, transformeras och kommuniceras med oändliga möjligheter att avsiktligt eller oavsiktligt göra den missvisande vad det gäller upphov, kvalitet och intention borde autenticiteten vara en naturlig fokalpunkt för informationssäkerhet, digitalisering och arkiv. För att inte tala om AI och deep fake.

Informationssäkerhet och valet av riktighet framför autenticitet – varför blev det så? Bortsett från min generella hypotes om den anti-intellektuella hållning som präglar området är en spekulation att riktighet valts p.g.a. många i branschen rekryterats från it-hållet och därför känner sig bekväma med ett databassynsätt, d.v.s. att information i ett system ska skyddas mot förändring. Eftersom denna snäva beskrivning av risker är otillräcklig sett till verkliga organisationers behov har man därför behövt gå in och trixa med begreppet spårbarhet för att få någon slags relevant beskrivning. Därav det neurotiska förhållandet till spårbarhet, ett begrepp som är så tabuiserad att det inte ens går att diskutera för de rättroende. Synd tycker jag vilket jag skrivit om här.  Mitt förslag för att få en mer täckande beskrivning av förhållanden som behöver beskrivas är att använda konfidentialitet, autenticitet, spårbarhet och tillgänglighet. Riktighet kan då placeras in under paraplyet autenticitet som en nödvändig men inte på långt tillräcklig aspekt att bedöma. Dock räcker inte de definitioner som de två standarderna ger för att fylla det behov av att beskriva informationens äkthet som vi har i digitaliserad värld.

Hur ser då detta behov ut? Kärnan i frågan är att kunna säkerställa en informationsmängds kvalitet i form av ”äkthet”. För att ytterligare ringa in vad som åsyftas så består autenticiteten inte bara av att informationen är oförändrad (det som åsyftas med riktighet) utan även att den är giltig vilket också kan formuleras att den har ett bevisvärde. Som ett enkelt exempel: för att ett avtal ska kunna ha ett bevisvärde räcker det egentligen inte med en signatur även om det accepterats under lång tid. Vad som krävs är att det går att härleda vem det är som undertecknat men framför allt om denna någon hade mandat att underteckna avtalet o.s.v. Det är inte heller så att en tavla signerad med namnet Picasso övertygar alla som en äkta dyrgrip. Den kanske bästa och enklaste illustrationen av bevisvärdets betydelse för autenticiteten finns att hämta i utvecklingen av sedlarnas historia som betalningsmedel. De första sedlarna var egentligen kvitton på insatta medel hos en bank. Kvittot kunde sedan användas för att på ett smidigt sätt kunna sköta betalningar utan att behöva släpa omkring högar av metaller. För att denna effektivisering av ekonomin skulle kunna vara möjlig krävdes institutionella förutsättningar för att den enskilda sedeln skulle accepteras som autentisk och inte som vilken papperslapp som helst. Det räcker inte med att siffrorna på sedeln är ”riktiga” utan den måste också omges andra skyddsåtgärder för att kunna accepteras som äkta.

Jag laborerar med tanken att se autenticitet som en inversion av källkritikens principer. Det betyder att autenticitet inte är binärt utan en glidande skala av möjlighet att bedöma äktheten, beroenden, tendens, tidsförhållanden, närhet till händelsen o.s.v. De tekniska lösningarna kan sägas ”låsa” den organisatoriska kontext som omgett informationen i olika skeden och därmed ge ett bevisvärde. I ett långsiktigt måste de organisatoriska förhållandena som skapar autenticitet kunna återskapas på ett säkert sätt även om tekniska lösningar förändras och information migreras (kedja som ej bryts). Inom arkivområdet används begreppet proveniens för att beskriva förhållandet mellan information, organisation och i förlängningen äkthet.

Frågan om autenticitet är principiellt densamma i digitala som i analoga informationsmängder. Komplexiteten har dock växt explosionsartat från det kinderägg-tillstånd där information, bärare och autenticitetsskapande faktor var oupplösligt sammanfogade som i ett undertecknat pappersavtal. Genom digitaliseringen lever dessa tre komponenter sina egna liv där samma informationsmängd kan finnas på ett otal antal bärare och med olika nivå av autenticitet. Direkt rafflande blir det med funktioner som ”Dela dokument” i Office 365 där mottagaren får ett dokument som inte behöver vara detsamma eller ens finnas kvar när mottagaren tar fram det en andra gång i sin e-post.

Att skapa autenticitet momentant skulle i sig vara en rejäl utmaning men för att strö ytterligare salt i såren så är kravet på autenticitet utan slut eftersom trots det information over flow vi lever i så måste ansenliga mängder av den information som skapas bevaras under lång tid eller för evigt. Kraven på att kunna arkivera information på ett säkert sätt är självklart inte mindre nu än tidigare. Det betyder att tilltron till informationens autenticitet inte bara ska kunna upprätthållas i ett år utan i 100 eller 1000 år för många informationsmängder. Tänk patientjournaler, tänk urkunder i statsförvaltningen, tänk instruktioner för hanteringen av utbränt kärnbränsle, tänk mätvärden av klimatet…. Att med detta perspektiv se det mycket begränsade resonemangen om exempelvis, e-leg, e-signaturer och e-arkiv känns frustrerande.

I en tid då vi pratar så mycket om fake news och risken för negativ informationspåverkan borde verktygen för att skapa och upprätthålla autenticitet slipas. Det finns redan viss teori om proveniens och processuella värden som skapar autenticitet inom arkivdisciplinen liksom en rad techne-åtgärder inom informationssäkerhetsområdet för autentisering och validering t.ex. Dessa kunskapsområden borde dock tillåtas expandera och dessutom befrukta varandra för att vi ska komma närmare strategier för att skapa den autenticitet som krävs på både kort och lång sikt. Det som hindrar detta tror jag är den korta händelsehorisont som gör att vi plumsar in i jättelika digitaliseringsprojekt utan att se längre fram än möjligen införandeprojektets avslut. Bristande strategisk inriktning, kunskapsutveckling och samarbete mellan ansvariga myndigheter är en annan. Group think inom informationssäkerhets- respektive arkivarieskrået som skapar en oförmåga att famna de stora frågorna en tredje där standardarbetet förefaller ha fungerat som en starkt konserverande faktor framför allt för informationssäkerheten. Sist men inte minst styrningen av digitaliseringen i hög grad överlåtits till leverantörer av tekniska lösningar samt management. För att komma vidare bör vi alltså försöka undanröja ovanstående hinder för att kunna skapa en mer funktionell plattform för att skapa den nödvändiga autenticiteten. När tanken låser sig kan ett trick vara att tänka på att information är dagens hårdvaluta och jämföra med hur sedlar och andra metoder för penningtransaktioner hanteras.

E-arkiv och e-arkiv

Det är högintressanta tider då vissa frågor ställs på sin spets. I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.

Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin. Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare. Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet. En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven. I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.

Bakgrund

För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.  Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv. Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor:

  • Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år. Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
  • I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat här.
  • En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
  • Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid. För pappersbunden information har man därför ofta skapat mellanarkiv för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
  • Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut. Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner. För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter
  • En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn. I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet. Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s. myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
  • Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
  • I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet. Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.

Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation. Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske. Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra. En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne. Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.

Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.

Vad skulle då upphandlas?

Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre. Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter. En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet. I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående. Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring. Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med. Jag är inte förvånad över detta men vill ändå betona detta.

Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.

Statens servicecenter

SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns här). Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien. Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad):

Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering
· Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten. Förutsättningar för fortsatt arbete:
· Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.

Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”. Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.

Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.

Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet):

Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS). Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.

Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.

Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg. Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.

Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster. För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär. När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen. Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.

Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog. För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till en leverantör av en molntjänst, d.v.s. en tjänst där stora mängder offentlig ackumuleras.  Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information. Däremot inte hemliga handlingar:

  • den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar. Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt

  • e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet. Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället

Redan här väcks många frågor. Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta? Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån. Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda. Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden. Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.

I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).  Om detta synsätt sprids, d.v.s. att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen. Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala. Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).

Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan. Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer. Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten. Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.

Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller. Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.

Hunnen så här långt i genomgången av upphandlingen pockar två frågor på. För det första har SSC begränsat antalet möjliga leverantörer mycket starkt. Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor. Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades. Den andra frågan är varför denna upphandlingen sker över huvud taget. Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling. Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna? Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).

Till detta kommer en bilaga med ganska ordinära säkerhetskrav. Några reflektioner kan dock göras. Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns. En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet. Och som sagt: nivåer saknas. Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.

Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör. I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog. Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer. I upphandlingsunderlaget återkommer följande formulering:

Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter. Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.

Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.

SKI

SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.

Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som

I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.

Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift. I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC. SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig. Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.

Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet. Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.

Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).

Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas. Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling. Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling. Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut. Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.

Slutsatser

Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts. Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd. Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC. Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.

I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift. En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer. Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.

Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant. Det handlar om både organisation, tjänster och infrastruktur. De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag. Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster. En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas. En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.

Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt. Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar. Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.

Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan. Det gäller både operativt i rena kravställningar men också strategiskt. Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga. Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.

För att lyckas med krävs mycket stora insatser. Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan. Därefter bör ett nytt uppdrag skapas.  Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv. Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.

Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal ”Informationsförsörjning” innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön. Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering:

Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för
installation i kunds it-miljö

Naturligtvis borde jag nämnt avtalets existens. Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade). Dessutom går ramavtalet såvitt jag kan se ut den sista november i år. Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.

 

Spårbarhetens vara eller icke vara

Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.

Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet. Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas. Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen. Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.

För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.

Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre. Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga. Vare sig tillstånd eller förmåga kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis:

integrity

property of accuracy and completeness

Property kan översättas som egenskap.

Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse. I rapportens inledning står det:

Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas. Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.

Här definieras alltså konfidentialitet, riktighet och tillgänglighet som egenskaper men så även bland annat spårbarhet.

I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan. Närmast kommer man i beskrivningen av informationssäkerhetsmodell:

Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser. Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat. Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.

Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.) som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.

Riktighet definieras exempelvis som endast:

skydd mot oönskad förändring

vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en egenskap eller möjligen en funktion.

Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.

Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka. I artikeln Informations security anges som key concepts  som första punkt CIA- triaden med följande beskrivning

The CIA triad of confidentiality, integrity, and availability is at the heart of information security.(The members of the classic InfoSec triad—confidentiality, integrity and availability—are interchangeably referred to in the literature as security attributes, properties, security goals, fundamental aspects, information criteria, critical information characteristics and basic building blocks.)

Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.  Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden. Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.

Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå. Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.

Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är. Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro. Den s.k. Parkerian Hexad konstruerades redan 1998 av Donn B. Parker som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility. Även aktuella svenska exempel på kritisk diskussion om CIA triaden. Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin Informationssäkerhet och organisationskultur där ett bidrag (Vad är säker kultur av Björn Lundgren) starkt ifrågasätter CIA-triaden. Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan. ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.

Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering). I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara

  • Tillförlitlighet
  • Äkthet
  • Integritet (oförändrad)
  • Användbarhet

vilket är snubblande nära ISO 27000 men med andra definitioner. I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet. Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL. Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.

Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.

Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner. För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser. I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion. Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.  För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet:

  • avtalshantering
  • ansvarsutkrävande
  • interna kontrollsystem
  • upptäckt av avvikelser
  • teknisk övervakning
  • dataskydd
  • patientsäkerhet
  • medarbetares integritet
  • medarbetares rättssäkerhet
  • brottsutredning
  • forensik
  • fysiskt skydd

Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster. Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar. I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande. Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.

För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: Information Security Goals in a Swedish Hospital (tillgängligt via DIVA). Angående spårbarhet skriver man bland annat:

However ‘Traceability’ found in the hospital document has much broader meaning than accountability. ‘Traceability’ emphasizes the importance of tracing information, and not only trace the individuals that produce the information. This goal Page 16–9 contributes to business goals: ‘correct healthcare’ and ‘effective healthcare’ and in the end is related to organisations responsibilities to its stakeholders.

Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten. Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen. Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.

Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad. Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig. Autenticitet inte detsamma som riktighet, inte heller oavvislighet täcks av riktighet. Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan. I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.

Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd. Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information. Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer. För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet. Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser. En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var. När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet. En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.

För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att egenskap skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000. Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga. För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder. CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet. I detta sammanhang vill jag understryka att en portalprincip i ISO 27000 är att informationssäkerheten ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar. Om en uppfattning är att standarden inte kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet. Det finns ju liksom inget egenintresse i att följa en standard.

Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige. Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning. Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.

Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m. för föreskrifter. Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om här. 

Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får. Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.  Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död. I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få? Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag). Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar. För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna. Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet. Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.

Nu ser jag fram emot en mängd kloka motargument!

Vad betyder egentligen cybersäkerhet?

En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation. Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt. Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.

Ett begrepp som gjort en raketkarriär är cyber. Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf:

I många sammanhang, även från regeringen, lyfts betydelsen av s.k. cybersäkerhet fram som en central fråga för det svenska samhället. Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett anförande men då krävdes det också stycken som det här för att lyckas:

Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet. Den trenden har varit tydlig under en tid. Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen. Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser. Vi kan se att ett flertal länder i världen har gjort just det. Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.

Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m. det korta citatet ovan. Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken. Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.

I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras:

Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information. Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen. Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt. Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder. För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet. I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext.

Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”. Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.

För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.

Hej!

Begreppet ”cyber” används flitigt för tillfället. Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.

Samma dag fick jag svar från Försvarsmakten med en hel ordlista (Begrepp med definitioner för cyber) med sammansättningar med ”cyber”, däribland cybersäkerhet:

Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.

En stor eloge till FM för denna goda service! Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem. Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är:

Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information. Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.

Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.

Från SÄPO kom efter en knapp vecka det något förvånande svaret:

Hej,

Säkerhetspolisen har ingen egen definition av begreppet cyber. Det är inte ett begrepp som används primärt i vår verksamhet.

 

Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats,  i olika rapporter  och utåtriktad verksamhet som här och här för  att bara ta ett par exempel.

Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad:

Hej!

Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”. Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse:

  1. Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr. 2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”. För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedriva informationssäkerhetsarbete på organisatorisk nivå, främst för information som hanteras digitalt.
  2. Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
  3. I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.

MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a. SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet. MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet. De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a. från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato. Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k. cybersäkerhetsakten, COM(2017) 477 final).

Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi. Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna. Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig):

bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden

Cyberrymden;telerymden har i sin tur definitionen:

abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig

Med den förtydligande kommentaren:

Cyberrymden innefattar all kommunikation via internet samt telekommunikation. Cyberattacker sker per definition via cyberrymden. En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.

Jag är inte alldeles säker på att jag förstår vad detta exakt betyder. Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet:

Varje dag utsätts svenska myndigheter och företag för cyberattacker. Detta har bidragit till att bl.a. frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher. Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild. Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.

Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.

Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande. Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .

Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.). I en lustig cirkelrörelse hänvisar man i  en fotnot till  SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40:

En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”. På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår. I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur. Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva. Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang. Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk. Därmed har cybersäkerhet en större internationell räckvidd med t.ex. folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet. Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering. Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella organ.

Detta är ju ett  märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!). Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.

Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.

Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret. Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot. I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.

Är denna otydlighet då egentligen ett problem? Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst? Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning. Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare). Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet. Betänk språklagens krav på myndigheterna:

Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.

Att svära i kyrkan

I mina funderingar om en tänkbar nationell styrmodell för informationssäkerhet slås jag av vilket i mitt tycke oproportionerligt intresse incidentrapportering fått som säkerhetsåtgärd.

För att ge en snabb bild av nuläget så har MSB sedan snart två år en särskild föreskrift angående obligatorisk it-incidentrapportering för statliga myndigheter. Till detta kommer dataskyddsförordningens krav och förslaget på NIS-direktivets tillämpning i Sverige som båda framför starka krav på incidentrapportering. Dataskyddsförordningen kommer att träda i kraft i maj 2018, samma månad som även utredningens förslag rörande NIS-direktivet sannolikt kommer att sjösättas.

MSB:s incidentrapportering är alltså inriktad enbart på statliga myndigheter och gäller uttryckligen endast it-incidenter. MSB:s definition handlar inte om störning på verksamhetens processer utan vilken typ av, framförallt teknisk, orsak som lett till störningen samt i vissa fall konsekvenser för informationshantering:

  1. störning i mjuk- eller hårdvara,

  2. störning i driftmiljö,

  3. informationsförlust eller informationsläckage,

  4. informationsförvanskning,

  5. hindrad tillgång till information,

  6. säkerhetsbrist i en produkt,

  7. angrepp,

  8. handhavandefel

  9. oönskad eller oplanerad störning i kritisk infrastruktur, eller

  10. annan plötslig oförutsedd händelse som lett till skada (3 §).

Det är alltså ett tämligen icke-stringent incidentbegrepp (lägg märke till att begreppet ”plötslig” överraskande kommer in under punkt 10) som används. Att notera är också att bristande spårbarhet inte nämns som en incidenttyp.

Dataskyddsförordningen, som i princip kommer att gälla i alla offentliga och privata organisationer som hanterar personuppgifter, har ett incidentbegrepp som är helt inriktat på personuppgifter:

personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

Det är framför allt obehörig åtkomst (konfidentialitet) men även förlust eller förvanskning (riktighet) av personuppgifter som ska ses som incidenter i detta perspektiv. Det bör dock understrykas att för att kunna efterleva dataskyddsförordningens övriga krav är både positiv och negativ spårbarhet en central faktor. Däremot kan en personuppgiftsincident lika gärna ske i icke-digitala som digitala medier – det är alltså inte enbart it-incidenter som är aktuella (vilket särskilt bör beaktas med tanke på att den s.k. missbruksregeln i PuL försvinner).

I författningsförslaget gällande NIS-direktivet slutligen är definitionen av incident:

incident: en händelse med en faktisk negativ inverkan på säkerheten i nätverk eller informationssystem

Precis som i MSB:s och Dataskyddsförordningens definitioner lyser verksamhetspåverkan med sin frånvaro, det är nätverken och informationssystemen som är objektet för regleringen som gäller både offentliga och privata aktörer i följande samhällsviktiga branscher:

  • Energi (elektricitet, olja, gas)
  • Transporter (lufttransporter, järnvägstransporter, sjöfart, vägtransport)
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård (hälso- och sjukvårdsmiljöer [inklusive sjukhus och privata kliniker])
  • Leverans och distribution av dricksvatten
  • Digital infrastruktur

En självklar fråga är om den bristande samordning som av de tre olika regleringarna är acceptabel. Det förefaller inte finnas några planer för att förenkla för de som kommer att behöva rapportera samma incident i två eller i värsta fall tre olika stuprör. Gissningsvis måste MSB:s befintliga inrapportering och den som följer av NIS samordnas eftersom de båda ska ske i MSB:s regi men då kvarstår ändå personuppgiftsincidenterna. Och i författningsförslaget för NIS-direktivet finns det en antydan om att är bra om tillsynsmyndigheterna samarbetar:

med Datainspektionen när den handlägger incidenter som medfört personuppgiftsincidenter och innan ett åtgärdsföreläggande meddelas,

så det finns kanske hopp om en praktisk samverkan.

Jag ska inte fördjupa mig ytterligare i samordningsproblemen även om de är nog så intressanta för alla som kommer att drabbas av dem. Istället tänker jag svära litet i den nationella säkerhetskyrkan och ifrågasätta om det verkligen är rimligt att satsa så mycket intresse och resurser på just incidentrapportering. Man kan göra den inte helt rimliga analogin till en enskild organisation som ska förbättra sin informationssäkerhet och då satsar större delen av sitt krut på incidentrapportering – skulle vi då tycka att det är en ändamålsenlig satsning? Den kritiske kan här invända att författningsförslaget för informationssäkerhet i samhällsviktiga och digitala tjänster innehåller litet vaga krav på säkerhetsåtgärder:

14 § Leverantörer av digitala tjänster ska utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster inom unionen. Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning och 5. efterlevnad av internationella standarder.

Samt även ett system för tillsyn med ett antal tillsynsmyndigheter (varav ett par redan tackat nej till uppdraget i sina remissvar). Huvudpunkten är ändå incidentrapportering vill jag hävda. Är detta då den mest effektiva åtgärden för att förbättra säkerheten?

Låt oss då först titta på syftet med incidentrapportering. I en organisation är incidentrapportering inte en lösryckt aktivitet utan del i en incidenthantering där den fyller flera olika syften:

  • Initiera akut felavhjälpning
  • Inleda återställelsearbete (kontinuitetshantering)
  • Ge underlag för långsiktig förbättring
  • Rapportering internt och externt
  • Indirekt: försörja riskanalys och informationssäkerhetsarbetet i stort

Behovet av informationskvalitet i rapporteringen är olika för de olika syftena. För att inleda akut felavhjälpning krävs mycket snabb kommunikation, däremot kan inte den som anmäler felet förväntas kunna redogöra för orsaken. För att inleda kontinuitetshanteringen måste en koppling kunna göras mellan de drabbade informationsbärarna och verksamhetsprocesser för att rätt prioriteringar av återställelse respektive reservrutiner ska kunna göras. Underlaget för långsiktig förbättring måste vara av mer analytisk karaktär men också bygga på en konsistent tillämpning av begrepp för att mönsterigenkänning ska kunna göras. Kravet på god informationskvalitet gäller även för rapportering, riskanalysen och för informationssäkerhetsarbetet i mer vida termer.

Hur har man då resonerat i dessa frågor när det gäller den nationella rapporteringen. Inte alls vad jag kan se, det är till och med svårt att utläsa vad syftet med den befintliga incidentrapporteringen egentligen är även om den dåvarande inrikesministern Ygeman 2015 så följande då beslutet att införa rapporteringen togs:

Syftet med ett sådant system är att möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning. Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre. Sådana it-incidenter kan röra exempelvis störningar i mjukvara, hårdvara eller driftmiljö eller förlust av data i olika sammanhang. It-incidenter kan orsakas av bland annat externa attacker, säkerhetsbrister i it-produkter eller felaktigt handhavande.

Det är alltså inte incidenthantering som eftersträvas utan ”en förbättrad lägesbild”. För mig förefaller det torftigt att ha en lägesbild som består av tekniska incidentbeskrivningar men jag tror också att inrapporteringsmoralen påverkas i starkt negativ riktning med tanke på att den svaga möjligheten till payoff eftersom det inte handlar om incidenthantering. Egentligen inte ens om rapportering utan endast om incidentanmälan eftersom meddelande om att något hänt ska ske innan någon djupare analys har hunnit ske. Samma oklarhet gäller även rapporteringen av personuppgiftsincidenter och rapportering enligt NIS-direktivet – det enda som kan hända är att man får ett besök av tillsynsmyndigheten för att uttrycka sig raljant. Att både MSB och Datainspektionen hävdar att det finns ett starkt behov av att sekretessbelägga rapporteringen gör att den lägesbild som uppges vara huvudsyftet för åtminstone MSB kommer att vara tillgänglig i mycket begränsade kretsar. Erafarenhetsåtervinningen på nationell nivå är därmed inget som kan locka fler att rapportera.

Att det sannolikt kommer att saknas ett starkt driv att rapportera incidenter påverkar kvaliteten i lägesbilden. Ytterligare en aspekt som påverkar kvaliteten är den svaga begreppsmodelleringen av vad som ska inrapporteras samt att det saknas kriterier för verksamhetspåverkan i rapporteringen. Här hade stora lärdomar kunnat hämtas från exempelvis smittskyddsområdet och överhuvudtaget från ett mer vetenskapligt förhållningssätt. Att resonemang i denna riktning helt saknas både i dataskyddsförordning och i NIS-direktivet talar för sig själv.

Att incidentrapporteringen ändå fått ett så stort genomslag som universalmedel beror förmodligen på att den har en USP. Det går nämligen att förklara vad incidentrapportering är för politiker och andra makthavare medan många andra säkerhetsåtgärder på systemnivå kräver betydligt mer i pedagogik. Incidenter kan också kopplas till mer actioninriktad kommunikation som kan leda fram till snabba beslut än en diskussion om hur informationssäkerhet ska bli en normal del av förvaltningen. Men, som alla vet, är det inte alltid det som är lätt att sälja som är det vi bäst behöver.

Sammantaget tror jag följande. Den nationella incidentrapporteringen kommer inte att ge de enskilda organisationerna något stöd i det egna informationssäkerhetsarbetet och kvaliteten i de rapporter som faktiskt sker kommer att vara låg. Den gemensamma lägesbilden som summa kommer inte ha högre kvalitet än de ingående delarna och kommer därför att ha ett värde som inte är i paritet med fokus och de resurser som läggs på incidentrapporteringen. Vore det då inte bättre att försöka göra en något djupare analys och försöka reda ut vilka åtgärder som skulle ha en reellt säkerhetshöjande effekt på nationell nivå? Eller åtminstone sätta in incidentrapporteringen i ett sammanhang som redovisas och som kan vara del av en större styrmodell?

 

 

Strategi från bunkern

30 juni kom alltså äntligen strategi. Två dagar före Almedalen och samma dag som de i det offentliga Sverige som inte är och tycker på Gotland förhoppningsvis sjunker in i sommardvala alldeles oavsett vilka strategier som lanseras.

Det är nästan svårt att veta var jag ska börja eftersom det trettiotal sidor som utgör strategin väcker så många frågor. Att försöka redogöra för dem skulle kräva ett utrymme som vida överstiger strategins sidantal. Bara användningen av begrepp gör läsaren konfys. Exempel ett: strategin heter En samlad strategi för samhällets informations- och cybersäkerhet. Vi som sedan ”cybersäkerhet” började användas för att hotta upp konferenspunkter undrat vad det egentligen betyder är inte så få. En förklaring som varit återkommande är att det är ”säkerhet i domänen cyber”, alltså något kopplat till försvarets indelningar och något ”internationellt”. Strategin släpper dock redan på sidan 4 alla ambitioner att försöka utreda denna fråga:

För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet. I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext.

Ska man tolka det som ”informationssäkerhet” är aningen mer inriktad på icke-digital information? Och på vilket sätt skulle en sådan uppdelning tillföra något klargörande? Och om det egentligen är samma sak varför skulle man då i svenska texter ta hänsyn till vilket begrepp som används internationellt om det egentligen inte har någon annan innebörd än informationssäkerhet? Det är som författarna på ett tidigt stadium gett upp men ändå velat ha med det litet läckrare ”cybersäkerhet”, tänkt ”wtf” och bara gått vidare.

Exempel två är definitionen av ”tillgänglighet”:

Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.

Här har strategins författare ändrat innebörden av begreppet på ett fatalt sätt. I den terminologi som reviderades 2015 (och som man visserligen kan ha synpunkter på) SIS handbok Terminologi för Informationssäkerhet (SIS HB 550 utgåva 3) är definitionen:

Åtkomlighet för behörig person vid rätt tillfälle.

Strategin har alltså gjort det märkliga tillägget som tjänsterna erbjuder vilket jag finner både missvisande och i någon mån obegripligt. Vilka tjänster är det som avses? Någon typ av it-tjänster sannolikt men eftersom strategin i övrigt har en stark förkärlek för ”system” vandrar tankarna iväg mot de samhällsviktiga tjänster som beskrivs i NIS-direktivet som är verksamhet och inte it-lösningar. Dessutom leder beskrivningen tanken mot ett synsätt att det är tjänsterna – inte informationen- som är i centrum vilket för den som vill planera för att upprätthålla kontinuitet inte är bra. Den som vill ha en fungerande kontinuitetshantering måste ha alternativa sätt för sin informationsförsörjning och då räcker det inte att titta på enskilda ”tjänster”. Mest svårtolkat uppfattar jag ”som tjänsterna erbjuder”. Det är som det smygs in ett konfidentialitetsperspektiv i tillgänglighetsbegreppet, att tillgänglighet skulle betyda att endast behöriga ska tillgång till tjänsterna när de erbjuds.

Det finns ett antal andra begrepp som förtjänar en diskussion men som vila tills vidare. Jag tänkte istället ta upp några utgångspunkter för strategins författare. Dessa ligger till grund för de prioriteringar som görs och som jag menar i många stycken gör strategin irrelevant.

I mycket känns strategins inriktning igen från Infosäkutredningen som lämnade sin rapport med förslag om en informationssäkerhetspolitik 2005 Säker information. Gemensamt att både utredningen 2005 och den nya strategin är skrivna helt sett ur statens intressen trots att man i båda fallen säger sig behandla samhällets informationssäkerhet. Det behövs knappast några poäng i statsvetenskap för att inse att staten inte är synonym med samhället och det känns därför intellektuellt torftigt att strategin inte på något ställe erkänner och problematiserar de intressekonflikter inryms i samhällets informationssäkerhet. Det gäller relationen stat-individ, stat-privata företag och stat-kommuner/landsting för att ta de mest uppenbara ytorna för konvergerande intressen. Istället utgår strategin okommenterat från att alla samhällets aktörer är villiga att underkasta de åtgärder som strategin föreslår som till stor del motiveras ur ett nationellt försvarsperspektiv. Genomgående är förslagen inriktade på att staten talar om hur saker ligger till, föreskriver och sedan genom tillsyn kontrollerar att ”samhället” lyder. Jag tror att den här ”far vet bäst”-mentaliteten är omotiverad i så måtto att pappa staten faktiskt inte vet bäst på det här området utan har all anledning att ta till sig andra samhällsaktörers kunskap och intressen. Att peka med hela handen fungerar kanske bra inom den gröna sektorn. De kommunpolitiker som måste göra intresseavvägningar mellan insatser inom äldreomsorgen och att satsa på säkerhetsåtgärder som inte kan motiveras är nog däremot betydligt mindre villiga att utan protester röra sig i handens riktning. Kanske är det också detta förhållningssätt som gjort att så litet av de förslag av de som Säker information presenterade har realiserats – en insikt som möjligen skulle kunnat ge strategin en annan inriktning och ton.

Den implicita föreställningen att statens intressen per automatik sammanfaller med allas (förutom brottslingars och fientliga nationers) intressen får egenartade konsekvenser då strategin tar sig an integritetsfrågan. Det enda sammanhang där strategin utvecklar sig om den personliga integriteten är när den är hotad av privatpersoner i form av näthat och grooming. Närmast ohederligt blir det när man inte ens nämner den kritik som framkommit gällande konsekvenserna på den personliga integriteten i remissvar rörande förslaget att MSB ska få installera sensorsystem. Istället framställs sensorsystemen som i princip redan beslutade:

Regeringen har under våren 2017 remitterat en promemoria om tekniska sensorsystem (Ju2017/02002/L4) med förslag att MSB får stödja verksamhetsutövare inom samhällsviktig verksamhet med informationssäkerheten genom att tillhandahålla sensorsystem som kan stärka samhällets möjlighet att upptäcka och hantera it-incidenter. MSB:s sensorsystem ska inte tillhandahållas till de verksamheter som erbjuds TDV.

Därmed var relationen mellan staten och individen överstökad. Dataskyddsförordningen känns mycket avlägsen i strategin.

En annan genomgående tendens är att strategin i princip endast intresserar sig för de antagonistiska hoten. Andra typer av risker diskas av i två förströdda meningar:

Olika former av störningar i mjuk- eller hårdvara eller störningar i driftmiljö är vanligt förekommande. Yttre fysiska händelser som t.ex. bränder, avgrävda kablar, översvämningar eller solstormar utgör också en del av hotbilden.

Resten av hotavsnittet beskriver en leviathan-liknande situation där framför allt statens intressen måste tillvaratas. Utan upphovsman för riskbedömningen meddelas:

Det möjliga agerandet av stater, statsunderstödda aktörer eller andra aktörer med liknande förmåga utgör det allvarligaste informations- och cybersäkerhetshotet mot Sverige.

Självklart kan inte dessa hot underskattas – de är verkliga och omfattande. Men enligt min erfarenhet äventyras de flesta organisationers verksamhet i lika hög grad av t.ex. bristande rutiner som leder till uppdateringsfel. Ett stort antal av de större incidenter som inträffat under senare år har också haft icke-antagonistisk bakgrund. För landsting och kommuner skulle jag vilja påstå att den absolut största utmaningen ligger i att kunna efterleva dataskyddsförordningen när den träder i kraft. Oavsett om jag har rätt i denna bedömning eller inte vågar jag hävda att strategins oförmåga att se att olika organisationer lever med olika risker och med olika behov av säkerhetsåtgärder är en av dess mest påtagliga brister. På ett flertal ställen presenteras lösningar som blickar tillbaka till BITS och andra försök att skapa samma säkerhet i alla organisationer. Detta strider inte bara mot grundtanken i ISO 27000 som säger att ledningen i varje organisation måste ta ställning till risker och därefter göra sina prioriteringar. Det strider också mot de verkliga behov som finns i olika organisationer eftersom olika verksamhetsprocesser kan använda samma information på helt olika sätt. I strategins anses detta dock fel:

Samma information kan få olika skydd i olika organisationer och kunskapen om vilket skydd som är lämpligt och tillgängligt för en viss typ av information är hos många aktörer ofullständig.

Jag tror att man här omedvetet endast utgår från konfidentialitetsaspekten och inte har reflekterat tillräckligt över behovet av riktighet, spårbarhet och tillgänglighet kan skifta starkt mellan olika organisationer. Under ett par arbetade jag på MSB med att tillsammans med bland annat representanter från hälso- och sjukvårdsområdet med att fram ett koncept för nationell styrmodell. Tanken var inte att alla organisationer skulle ha samma säkerhet utan att modellen skulle utgöra ett stöd för kommunikation mellan olika verksamheter så att varje organisation skulle kunna få den nivå av säkerhet som dess ledning ansåg lämpligt. Konkret skulle det innebära att det t.ex. fanns gemensamma metoder för processkartläggning, informationsklassning och skyddsnivåer. Att nu strategin ser det som ett problem att olika informationsmängder värderas olika av olika organisationer uppfattar jag som att man tankemässigt är tillbaka till det one size fits all-koncept som BITS byggde på.

Det mest anmärkningsvärda med strategin är att den inte beskriver en relevant framtid, inte ens ger en relevant bild av dagens situation. Det som utgör strategins existensberättigande redovisas i avsnittet Vad ska skyddas?. Det sidlånga avsnittet börjar tämligen stillsamt med:

Det innebär att både informationen i sig och de system som används för att förvara och överföra informationen måste skyddas.

Men därefter bryter ett sammelsurium av demokrati och andra värden, ting, system, kommunikation och i någon mån information ut. Ungefär på mitten dyker följande märkliga passage upp:

I dag bygger systemen för att hantera information huvudsakligen på digital informations- och kommunikationsteknologi. Detta gäller inte minst de system Sverige är beroende av för att kunna styra och leda riket under omfattande påfrestningar som kan följa av kris eller krig.

Jag biter mig  hårt i tungan för att inte ställa ironiska frågor som om det tidigare fanns system som inte byggde på digital teknik och om det är så att just de system som Sverige är beroende av för att kunna styra och leda riket o.s.v. (vilka de nu kan vara) är ännu mer digitala än övriga it-system. Även om stycket vidlåds med en ofrivillig komik är det dock inte särskilt lustigt att läsa denna flacka och redan inaktuella beskrivning av beroenden. Det är som strategins upphovsmän (för övrigt precis som utredarna av NIS-direktivet) fortfarande tänker sig en situation där verksamheter är beroende av tydligt avgränsade ”system” som man själv driftar och förvaltar.

Jag menar att vi redan idag är långt ifrån en sådan situation. Istället går allt fler organisationer helt eller delvis över till molntjänster som dessutom är intrikat integrerade så att det är svårt att urskilja enskilda tjänster eller komponenter. Detta är ju också något som uppmuntras i andra inriktningar från regeringen. För att ta ett konkret exempel vågar jag utan större talang som sierska ändå påstå att en stor del av den svenska förvaltningens dagliga informationshantering kommer att ske i Office 365 som molntjänst inom 5 år. Att jag vågar sticka ut hakan beror inte enbart på egna observationer i verkligheten utan också på att Microsoft låtit förutskicka att de kommer att sluta att tillhandahålla sina Office-programvaror för installation i egen miljö. De kommer att gå all in molntjänster. Denna nya situation behandlas överhuvudtaget inte i strategin. I 2.2. Öka säkerheten i nätverk, produkter och system där det rimligen borde inrymmas en sådan diskussion och förslag på lämpliga säkerhetsåtgärder nämns detta överhuvudtaget inte. Lika litet intresse ägnas åt välfärdsteknologin som är i stark framväxt och som innebär nya intressanta frågeställningar inom en stor samhällsviktig verksamhet.

Strategins bristande omvärldsbevakning påverkar även de säkerhetsåtgärder som presenteras. Mycket är uppstekta tidigare förslag alternativt bekräftelser på redan existerande lösningar även om jag fortfarande när ett visst hopp om den så kallade nationella modellen för systematiskt informationssäkerhetsarbete. Ett axplock på aktiviteter där regeringen ska enligt strategin fortsätta att verka för det man redan verkat för eller inte kan undvika att verka för:

  • öka tydligheten i myndighetsstyrningen och lyfta betydelsen av ett tillfredsställande informationssäkerhetsarbete internt på myndigheterna
  • samverkan mellan myndigheter med särskilda uppgifter på informations- och cybersäkerhetsområdet stärks
  • NIS-direktivet genomförs effektivt och att det etableras en adekvat styrning och tillsyn av säkerheten i nätverk och informationssystem i samhällsviktig verksamhet för vissa aktörer inom de utpekade sektorerna
  • företag och myndigheter som äger eller arbetar med samhällsviktig verksamhet där industriella informations- och styrsystem ingår får stöd i sitt arbete med att stärka informationssäkerheten,
  • berörda myndigheter utvecklar arbetet med att genomföra och stödja kartläggningar och utredningar om sårbarheter och lämpliga säkerhetsåtgärder i samhället
  • förmågan att hantera allvarliga it-incidenter upprätthålls genom en samordnad övningsverksamhet.

Inte särskilt kraftfullt eller nydanande. I ärlighetens namn ska väl sägas att det även ingår att regeringen ska verka för en strategi för kryptosystem, mer övervakning i olika hänseenden och mer brottsbekämpning.

Om Sverige ska bli, som regeringen proklamerat, världsbäst inom digitalisering och e-hälsa behövs det en storsatsning på proaktiv informationssäkerhet som stödjer denna inriktning. Förutom att stärka säkerheten i nätverk och kommunikationer är svårt att se vad den liggande strategin bidrar med i det hänseendet. Efter att ha begrundat åtgärdsförslagen uppfattar jag att huvuddragen är ett perimeterskydd på nationell nivå, incidentrapportering och tillsyn.  Detta menar jag inte är särskilt verkningsfullt i förhållande till dagens molntjänstsamhälle.  System i egen drift och förvaltningen som staten fysiskt kan kontrollera är inte den framtid som strategin ska fungera i. Att staten skapar säkerhetslösningar för (forntida teknik höll jag på att skriva) tekniska lösningar på utgående är inte unikt för den här strategin; som en klok kollega påpekade häromdagen är det konstigt att det nu görs så stort nummer av säker e-post. Redan nu sker kommunikationen ofta i andra former än e-post och om fem år kommer sannolikt dess betydelse vara i starkt avtagande.

Bristen på ambition att skapa bättre möjligheter att hantera de nya frågeställningar som digitaliseringen medför präglar också strategins kunskapssyn. Istället för en offensiv hållning där man utgår från ett läge som jag bedömer som tämligen ovedersägligt, nämligen att vi idag hög grad saknar kunskap om även grundläggande kunskap om hur vi ska bygga en fungerande informationssäkerhet, är strategin även här konserverande.  Den kunskap som strategins författare anser behövs är att kartlägga brister och sedan öka medvetenheten om dessa till olika aktörer.

Det är enligt regeringens bedömning viktigt att arbetet med att analysera sårbarheter, brister och behov med koppling till Sveriges informations- och cybersäkerhet fortsätter att utvecklas och fördjupas i syfte att stödja och öka medvetenheten om långsiktigt informationssäkerhetsarbete på alla nivåer i samhället

När man sedan kommer in på högre utbildning, forskning och utveckling räknas ett antal redan pågående projekt upp samt en avslutande lam inriktning:

Lärosäten, industriforskningsinstitut, näringsliv och offentlig sektor samverkar för att öka nyttiggörande och innovation inom informations- och cybersäkerhetsområdet.

Min uppfattning är att om en större förändring (i positiv riktning är det väl bäst att säga) av samhällets informationssäkerhet så förutsätter det en utvecklad kunskapsstyrning. Mer effektivt än att använda retroaktivt inriktade och repressiva åtgärder som incidentrapportering och tillsyn är att kunna beskriva för olika typer av aktörer hur de kan använda belagt effektiva säkerhetsåtgärder. Detta förutsätter dock i sin tur att det finns kunskap som kan utgöra underlag för en relevant styrning. Ett område som alldeles särskilt borde lyftas fram är det informatik och hur en styrd informationshantering kan ge ökad säkerhet i de tjänster som alltmer kommer att ersätta de traditionella systemen. Jag bedömer att tekniskt perimeterskydd kommer att vara något som måste fortsätta att utvecklas men att dess relativa betydelse kommer att minskas i förhållande till hur säkerhet kan byggas in i informationshanteringen. Därmed anser jag att detta borde vara ett strategiskt kunskapsområde för framtiden, en uppfattning som inte förefaller delas av strategins upphovsmän som på ett ytterst vagt sätt sveper över en mängd teknikområden.

Ett annat kunskapsområde som hänger ihop med själva definitionen av informationssäkerhet är betydelsen av spårbarhet i informationshanteringen. En långvarig men icke-uttryckt schism inom det svenska informationssäkerhetsskrået är begreppet spårbarhet som för många varit tabubelagt utan närmare förklaring. I de verksamheter som länge varit transaktionstäta och komplexa som exempelvis hälso- och sjukvården har kravet på spårbarhet varit självklart. För ”purister” har det dock varit en styggelse. Nu menar jag att det borde vara uppenbart för de flesta praktiskt verksamma att begreppet måste tillämpas aktivt i informationsklassningar och riskanalyser. Enbart dataskyddsförordningens krav förutsätter åtgärder för spårbarhet som idag inte tillämpas men användningen av integrerade tjänster kommer också att innebära behov av att kunna rekonstruera sammanställd information där alla ingående datamängder har rätt version o.s.v. Hur detta ska kunna gå till är även det ett område där forskning är nödvändig men denna typ av kunskap ligger långt utanför det område som strategin rör sig inom.

Trots denna orimligt långa text innehåller den bara ett litet antal nedslag i de frågeställningar som väcks. Min kritik kan sammanfattas i tre punkter. För det första är det väldigt uppenbart att det är en strategi för staten – inte för samhället. De stora frågor och intresseavvägningar som de flesta av samhällets aktörer måste hantera lyser med sin frånvaro – inifrån- och ut-perspektivet är så överväldigande att jag får känslan av att man suttit i en bunker och skrivit strategin för att försäkra sig om att inga ovälkomna intryck från verkligheten ska smyga sig in. Genomgående så förläggs också fel och brister hos aktörerna i samhället; de har dålig kunskap och de gör fel. Däremot så håller den del av staten som skrivit strategin inte upp en spegel och frågar sig vad man själv kunnat göra bättre. Trots att staten skottar in omfattande resurser centralt till de myndigheter som ska samordna informationssäkerhetsarbetet har resultatet inte blivit det önskade. Det är därför märkligt att strategins angreppssätt är att framförallt resten av samhället ska skärpa sig. Kanske måste man, istället för att fortsätta göra mer av samma sak, våga rikta blicken inåt och försöka analysera varför det hittills inte funkat så bra trots resurserna. Det vill säga en gammaldags hederlig utvärdering av en fristående part.

För det andra beskriver strategin inte ens dagens digitala situation utan en snart förgången tid. Jag har ju närt vissa förhoppningar rörande strategin men måste nu redan inledningsvis medge att det kommit helt på skam. Istället för att vara framåtblickande vilket är ett slags grundkrav på en strategi är den produkt som presenteras häpnadsväckande inaktuell även för dagens situation. Jag förstår att de som skrivit dokumentet varit snärjda och begränsade av bland annat det fem år gamla NIS-direktivet. Detta ”ursäktar” dock inte den enligt min bedömning föråldrade bild av verkligheten som är strategins utgångsläge. Faktiskt är det svårt att se den nya strategin som mer aktuell än den som togs fram 2010 och som dessutom var betydligt mer kortfattad och välstrukturerad Strategi för samhällets informationssäkerhet  2010 – 2015.

För det tredje levererar strategin få eller inga konkreta inriktningar – man lyckas inte ens beskriva hur de områden som staten faktiskt kontrollerar ska styras. Hur ska exempelvis säkerhetsskydd, samhällsviktig verksamhet och normal verksamhet förhålla sig till varandra? Och de olika incidentrapporteringskrav som staten nu riktar mot olika aktörer, hur ska de integreras till en effektiv och rimlig helhet? Om exempelvis eHälsomyndigheten råkar ut för en incident där personuppgifter ingår ska man då rapportera till MSB (enligt MSB:s föreskrift), till IVO (enligt NIS-direktivet) och till Datainspektionen (enligt dataskyddsförordningen). Eftersom incidentrapportering under en längre tid lyfts fram som den mest prioriterade säkerhetsåtgärden vore det rimligt att en strategi gav besked om hur den långsiktigt ska hanteras.  Och om nu en stor del av den samhällsviktiga verksamheten och den offentliga förvaltningen i övrigt kommer att hantera sin information i ett fåtal internationella molntjänster? Är det då inte en central strategisk säkerhetsfråga för staten att ha en inriktning för relationen till dessa molntjänstleverantörer. Det är ju knappast ett alternativ att köra ett DDR-lösning och utveckla egna statliga lösningar.

En strategi borde fungera som mer än talepunkter för en minister i Almedalen men här tycks beskedet ganska klart:  Fråga inte vad staten kan göra för dig utan vad du kan göra för staten. För oss andra verksamma i skrået är det viktigt att inte dras in i bunkern utan att vi arbetar med de frågor som är relevanta i dag och i framtiden.

 

Standarder i föreskrifter

Oavsett vilken roll jag haft inom informationssäkerhetsområdet, informationssäkerhetschef, konsult eller byråkrat på nationell nivå, har ett behov varit lika uppenbart: behovet av ökad samordning och styrning. Slutsatsen att det inte är möjligt för en enskild organisation att utveckla ett helt eget koncept för informationssäkerhet behöver knappast motiveras, särskilt när utvecklingen gått mot allt mer gränslösa integrationer av informationshanteringen.

En självklar grundsten för många av oss som arbetat länge med informationssäkerhet har varit ISO 27000 och dess föregångare och det har därför varit naturligt att peka på den som en naturlig utgångspunkt i den nationella styrningen. Däremot har jag alltid uppfattat det som en mycket stor nackdel att standarden liksom terminologin trots att syftet är så stor spridning som möjligt är omgivna av avsevärda ekonomiska hinder. För en stor statlig myndighet kan några tusenlappar tyckas vara småpengar men för en liten kommun eller mindre företag är det summor som inte är lika enkla att motivera.

Att rekommendera organisationer att införa ledningssystem för informationssäkerhet enligt standarden har därför innehållit en inneboende svårighet som kanske ändå går att överse med. Jag har däremot varit betydligt mer tveksam till den direkta hänvisning som funnits till standarden i MSB:s föreskrift sedan 2009 . Här sägs att myndigheter ska följa en föreskrift som inte är fritt tillgänglig vare sig för myndigheten eller för exempelvis medborgare som vill kunna ha insyn i myndighetens arbete. Att inte kunna sprida innehållet i en av grundförutsättningarna för myndighetens arbete försvårar naturligtvis kommunikationen. Ytterligare ett problem är att en myndighet med föreskriftsrätt föreskriver andra myndigheter att följa regler som man själv inte har kontroll över och dessutom snabbt kan göra föreskriften obsolet när de ändras.

Tyvärr följde detta krav med när föreskriften uppdaterades 2016 i form av krav på ISO/IEC 27001:2014 och ISO/IEC 27002:2014 ska ”beaktas”.

I dagarna har jag fått tips om ett beslut i Högsta domstolen (tack Carl-Arne!) som ger mig stöd i min uppfattning. Här skrivs explicit:

En grundläggande del av legalitetsprincipen får därför anses vara att författningar ska finnas tillgängliga för var och en i läsbar form utan något krav på betalning, och att detta gäller också för en standard som det hänvisas till i en författning.

Att myndigheten kostnadsfritt kan informera om vad som står i standarden anses inte upphäva denna bedömning. Med Högsta domstolens beslut, om det befinns tillämpligt även i detta sammanhang, finns nu en möjlighet att utveckla  den nationella styrningen så att den blir mer transparent och tillgänglig för alla.

 

Informations(säkerhets)skydd

Förslaget till ny säkerhetsskyddslag ger ett intryck av att inte vara fullt genomarbetat i de mer generella avsnitten. I avsnitten om informationssäkerhet förstärks detta intryck. När jag läser om informationssäkerhet känns det redan från början som om jag fått på mig ett par helt annorlunda glasögon som får min vanliga informationssäkerhetsverklighet i ett helt nytt perspektiv. Nya perspektiv brukar vara uppfriskande och klarläggande. Tyvärr kan jag inte säga att det är min upplevelse av utredningens verklighetsbeskrivning. Istället känns det litet som när medeltida munkar beskrev djur de aldrig sett men hört talas om, en vag likhet men ganska långt från förlagan. Man ser liksom att det är en elefant men det liknar inte de elefanter man känner till. ”Informationssäkerhet” är beskrivet från en annan kontinent än min, gissningsvis är den kontinenten Försvarsmakten .

Informationssäkerhet pekas liksom i den gällande säkerhetsskyddslagen ut som en av tre säkerhetsskyddsåtgärder tillsammans med fysisk säkerhet och personalsäkerhet.  Utredningen vill samtidigt utvidga säkerhetsskyddets tillämpning till helt nya verksamheter där det redan finns ett pågående informationssäkerhetsarbete som fyller en mycket viktig funktion bland annat för samhällets robusthet. Dessa två faktorer borde sammantaget lett till att utredningen förhållit sig till den redan existerande verkligheten, försökt ta vara på det redan inarbetade och tillfört endast det som är nödvändigt ur säkerhetssynpunkt.

Utredningen väljer istället en radikalt annorlunda väg och skapar sin egen kontinent utan mer än en tunn landbrygga till det etablerade säkerhetsarbetet, uppfinner sina egna begrepp och metoder. På denna kontinent betyder ”den vedertagna definitionen av informationssäkerhet” den, sett ur det civila perspektivet, stympade definition som används inom Försvarsmakten och säkerhetsskyddsområdet och som fokuserar på sekretess. Jag skriver avsiktligt sekretess och inte konfidentialitet eftersom den utgår från vad som är sekretessbelagt enligt OSL. Den aktivitet som motsvarar informationsklassning är också helt inriktad på sekretessaspekten (mer om detta nedan). Samtidigt skriver utredningen att man vill utvidga säkerhetsskyddslagens informationssäkerhet till att även omfatta riktighet och spårbarhet, i alla fall i någon mening.

Samma ambivalens till lagens tillämpningsområde finns när det gäller hotbilden. Medan man, liksom i gällande lag, avgränsar hoten till att främst gälla antagonistiska hot ska nu informationssäkerheten skydda mot hela hotspektrat s 329:

Säkerhetsskyddet har också en viktig funktion i att ge ett skydd för säkerhetsskyddsklassificerade uppgifter mot andra risker än sådana som beror på brott. Exempel på sådana åtgärder är skydd mot avlyssning och åtgärder för att minska utrymmet för misstag, tekniska brister eller annat som kan medföra oavsiktlig skadlig påverkan på informationen.

Här är visserligen definitionen av informationssäkerhet den samma som för det som beskrivs i en civil verksamhet men då uppstår å andra sidan problemet att sett i den här kontexten skulle det innebära att allt normalt förebyggande informationssäkerhetsarbete kan/ska ses som något som bör styras ur ett säkerhetsskyddsperspektiv.

Över huvud taget är relationen mellan den ordinarie informationssäkerheten och de åtgärder som ska påföras en verksamhet utifrån krav på säkerhetsskydd svårförståelig i utredningens resonemang. Som på sidan 347 t.ex.:

Åtgärder som är förknippade med informationssäkerheten enligt säkerhetsskyddslagen kan inte särskiljas från informationssäkerhet i en vidare bemärkelse. Exempel på detta är skydd mot skadlig kod och användarautentisering som är relevanta åtgärder även för it-system som inte är av betydelse för Sveriges säkerhet. Föreskrifter som meddelas med stöd av lagstiftningen, måste kunna avse informationssäkerheten i stort för de verksamheter som omfattas av säkerhetsskyddslagens krav. Detsamma gäller för tillsyn. En helhetssyn krävs inom detta område och såväl föreskrifter som tillsyn måste kunna omfatta samtliga de relevanta åtgärder som syftar till att ge ett skydd för information.

Detta är ett motsägelsefullt påstående eftersom man i det följande gång på gång visar att den informationssäkerhet som utredningen avser väsentligen skiljer sig från den som tillämpas av t.ex. de organisationer som följer ISO-standarden eller andra etablerade metoder. Betyder det att SÄPO:s alternativt Försvarsmaktens föreskrifter om säkerhetsskydd hegemoniskt ska breda ut sig och tillämpas även i informationshantering som inte faller under lagstiftningen?

Med tanke på att en av utredningens huvudnummer är ett tyngre verksamhetsansvar, det vill säga att offentliga och privata verksamheter ska utföra ganska avancerade manövrar inom säkerhetsskyddsområdet på egen hand, är tydlighet a och o. Myndigheter, kommuner, landsting och privata företag har också ett alltmer krävande verksamhetsstyrt informationssäkerhetsarbete som för den absoluta merparten organisationer är helt dominerande jämfört med säkerhetsskyddet. Dessa två delar måste därför gå att integreras på ett smidigt sätt. Det kräver både tydliga avgränsningar av vad som är vad och samordning av begrepp och metoder där så är möjligt. Som jag tidigare skrivit måste premissen av flera skäl också vara att säkerhetsskyddet ska tillämpas endast där så är nödvändigt och berättigat. Jag ska därför att i det följande se närmare på den centrala aktiviteten klassning och analysera de praktiska konsekvenserna av utredningens förslag.

Informationsklassificering

Tillämpningsområdet av säkerhetsskyddslagen har alltså enligt min mening glidit iväg och blivit otydligt.  Ur informationssäkerhetssynpunkt är det intressant att begrunda utredningens förslag på en tudelad uppdelning hur behovet av skydd ska bestämmas (s 22):

Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter. Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess. Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från begreppet hemliga uppgifter.

Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet). Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs. i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd. Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex. hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex. vissa verksamheter inom det kärntekniska området.

Man överger alltså begreppet ”hemlig” och övergår till den övergripande beteckningen ”säkerhetsskyddsklassificerade uppgifter”. Bakgrunden är att släppa kopplingen till offentlighets- och sekretesslagen (OSL) som ju endast är tillämplig på offentliga organisationer.

I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter. Kopplingen till offentlighets- och sekretesslagen kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig. Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m. som enligt skyddslagen är skyddsobjekt. Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex. verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet. Ett första steg är en ändrad systematik som bl.a. tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda.

Att kunna identifiera och klassa information är alltså avgörande för att kunna bedöma vad som ska falla under säkerhetsskyddslagen. Förutom att ringa in vilka uppgifter som är av betydelse för Sveriges säkerhet m.m.också för att definiera ”i övrigt säkerhetskänslig verksamhet” vilket är en utvidgad ersättning för det som skulle skyddas mot terrorism. Som exempel nämns alltså ”hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle”.  

Utredningen utlovar en beskrivning av hur säkerhetsskyddet ska utvecklas för de två verksamhetstyperna ( verksamheter som innebär hantering av säkerhetsskyddsklassificerade uppgifter och  verksamheter som av annan anledning är säkerhetskänslig (i övrigt säkerhetskänslig verksamhet).). Redan här börjar ett metodologiskt problem. Eftersom begreppet ”verksamhet” aldrig diskuteras så det är svårt att avgöra om en verksamhet avser en organisation, en del av en organisation, en process eller en aktivitet. Jag satsar på att det är en del av en organisation men inte en specificerad funktion utan något mer flytande.

I sina beskrivningar hur det konkreta säkerhetsskyddsarbetet ska utföras beskrivs visserligen en elefant kallad informationssäkerhet som vagt liknar de elefanter som jag känner till men spretar rejält i resonemangen. Jag skulle inte åta mig att ställa upp en logisk sanningstabell över utredningens utsagor.

En central poäng för utredningen är att säkerhetsskyddet som traditionellt varit inriktat på att skydda konfidentialitet nu ska vidgas till att även motverka brister i tillgänglighet och riktighet. Detta sägs samtidigt som man vill göra en internationell anpassning och ha fyra ”informationssäkerhetsklasser”. Vad man säger är alltså att man ska anpassa sig internationellt men samtidigt inte, att man ska ta med skydd för information även i förhållande till riktighet och tillgänglighet men samtidigt inte ta med de aspekterna i informationsklassningen. Även begreppen är motstridiga: man säger att informationen ska ”informationsklassificeras” trots att det enda som avses är en bedömning av behovet av konfidentialitet. Dessutom är de uppgifter som genomgått informationsklassificeringen inte informationsklassificerade som man skulle kunna tro utan säkerhetsskyddsklassificerade. Detta betyder att de ska hanteras i någon av de fyra informationssäkerhetsklasser som utgör säkerhetsskyddet…

För att gå vidare med klassificeringen så vill alltså utredningen att det ska införas fyra informationssäkerhetsklasser av internationell modell. Jag vill resa en stark invändning mot begreppet informationssäkerhetsklasser eftersom det inte är informationssäkerhet som klassificeras utan endast skydd mot obehörig åtkomst. Informationssäkerhet har, som utredningen i ett senare avsnitt framhåller, en etablerad definition där även aspekterna riktighet, tillgänglighet och allt oftare även spårbarhet ingår. Det är direkt vilseledande att använda ”informationssäkerhet” när man endast avser en delmängd. Jag kan faktiskt inte förstå varför man med berått mod vill skapa en källa till ständiga missförstånd och därmed väsentligen försvåra säkerhetsarbetet i de verksamheter där det ska bedrivas. Oansvarigt skulle jag vilja säga och en arrogans mot alla de som i sin dagliga gärning har att reda ut begreppen i sina respektive organisationer för att få litet praktisk verkstad.

Överhuvudtaget är synen på informationssäkerhet och klassning märklig och, jag ber om ursäkt, litet slapp. På sidan 346 slås aspekterna riktighet och tillgänglighet ihop som om de vore jämförbara entiteter trots att alla som arbetat med informationssäkerhet vet att det här högst olika åtgärder som är nödvändiga för de två aspekterna. Man hävdar också:

Riktighets- och tillgänglighetskrav är svårare att indela i nivåer än när det gäller konfidentialitetskrav. Detta på grund av att kraven kan vara mycket varierande i olika verksamheter och system och svårare att uttrycka i generella termer.

Med tanke på att SLA för tillgänglighet är de mest etablerade nivåkraven är första meningen svår att tolka. Att tillgänglighetskraven också styr en verksamhets prioriteringar vid en kris borde göra det än mer angeläget att ha en nivåindelning. För mig med ett osunt intresse för klassning och skyddsnivåer är andra meningen minst lika obegriplig – att kraven är varierande mellan verksamheter borde göra standardisering nödvändig. Enligt förslaget ser den praktiska hanteringen ut så här (s 344):

Vi föreslår därför att säkerhetsskyddsåtgärden informationssäkerhet delas upp i två delmoment. Det första tar sikte på skyddet av säkerhetsskyddsklassificerade uppgifter från det perspektivet att åtgärderna ska förebygga att uppgifterna röjs, ändras, görs otillgängliga eller förstörs. I informationssäkerhetssammanhang brukar man tala om skydd för konfidentialitet, riktighet och tillgänglighet. I denna del är det konfidentialitetsperspektivet som är det framträdande.

I det andra momentet anges att åtgärderna ska förebygga skadlig påverkan på informationstillgångar som annars är av betydelse för säkerhetskänslig verksamhet. I detta fall är det därför enbart riktighets- och tillgänglighetshänsyn som gör sig gällande. Med informationstillgångar avses information och informationssystem i vid bemärkelse, dvs. uppgifter, handlingar och tekniska system som används för att i olika avseenden elektroniskt kommunicera och i övrigt behandla uppgifter. Observera att begreppet har en delvis annan och mer långtgående betydelse i den internationella standarden för ledning av informationssäkerhet (LIS) där även människor ingår i begreppet.

Bortsett från skönhetsfläckar som benämningen av ISO-standarden (”ledning av informationssäkerhet”) är det andra momenten en egendomlig övning. Det handlar om någon slags friåkning och vars konsekvens är lika oklar som grunden för bedömningen. Där värderingen av negativa konsekvenser ur konfidentalitetssynpunkt ska ske i fyra nivåer saknas här helt nivåer, vad som ska bedömas är enbart ”betydelse”. Hur riktighet och tillgänglighet ska hanteras beskrivs ingenstans mer än i en indirekt hänvisning till säkerhetsskyddsanalysen samt här (s. 287):

Överlag ger säkerhetsskyddslagstiftningen i dag intryck av att den del av säkerhetsskyddet som inte handlar om hemliga uppgifter närmast ses som ett kompletterande skydd. En sådan ordning bör inte behållas. Som framgår av våra förslag i avsnitt 16.1, 17.1 och 18.1 föreslås syftet med de olika åtgärdsområdena (informationssäkerhet, fysisk säkerhet och personalsäkerhet) beskrivas med utgångspunkt från såväl de skyddsbehov som finns när en verksamhet hanterar säkerhetsskyddsklassificerade uppgifter som de skyddsbehov som finns i verksamheter som av annan anledning är säkerhetskänsliga. Några skillnader i fråga om åtgärder och förfarandet för de två inriktningarna anser vi inte vara motiverade.

Detta är så konstigt att jag inte riktigt vet hur jag ska reagera, särskilt som just denna utvidgning lyfts fram som en av de centrala förändringarna jämfört med gällande lag.  Frågor som vad detta innebär i praktiken hopar sig. Hur ska man avgöra vilken information  det gäller och i förlängningen vilken utrustning, kommunikationer m.m.  som ska användas? Vilka typer av åtgärder ska vidtas? Kommer staten att kräva att särskilda rutiner, viss utrustning och särskilda tjänster ska användas på samma sätt som när det gäller den säkerhetsklassificerade informationen? Kommer staten att ta på sig att utveckla eller certifiera utrustning? En vital fråga är också om information som bedöms som väsentlig av säkerhetsskyddskäl men enbart sett till krav på tillgänglighet och/eller riktighet (vet inte vad denna typ av information och andra informationstillgångar ska kallas för de är väl inte säkerhetsskyddsklassificerade?) också ska påtvingas säkerhetsskyddsåtgärder som gäller sekretessaspekten. Dessa frågors svar kommer att ha stor påverkan på både offentliga och enskilda organisationer.  Att då inte ägna energi åt att verkligen utreda vad förändringen består i och hur den ska tillämpas är ganska avgörande för hur utredningens kvalitet bör betygsättas.

När man kommer in på välkänd terräng (klassning ur sekretessynpunkt) är man desto mer mångordig. Här vill man främst med hänvisning till Försvarsmaktens förhållanden samt internationell anpassning införa 4 nivåer. Nackdelen är att man hela tiden utgår från att resten av världen fungerar som Försvarsmakten där hantering av säkerhetsskydd kan räknas som en kärnverksamhet. Exempelvis ids man inte ens ta upp frågan om hur verksamheter ska förhålla sig till först de fyra nivåer för informationsklassning som MSB rekommenderar och sedan ytterligare fyra konfidentialitet. Ska information bedömas på en totalt åttagradig skala eller hur tänker man?

Läs mer