Spårbarhetens vara eller icke vara

Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.

Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet. Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas. Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen. Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.

För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.

Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre. Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga. Vare sig tillstånd eller förmåga kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis:

integrity

property of accuracy and completeness

Property kan översättas som egenskap.

Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse. I rapportens inledning står det:

Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas. Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.

Här definieras alltså konfidentialitet, riktighet och tillgänglighet som egenskaper men så även bland annat spårbarhet.

I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan. Närmast kommer man i beskrivningen av informationssäkerhetsmodell:

Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser. Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat. Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.

Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.) som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.

Riktighet definieras exempelvis som endast:

skydd mot oönskad förändring

vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en egenskap eller möjligen en funktion.

Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.

Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka. I artikeln Informations security anges som key concepts  som första punkt CIA- triaden med följande beskrivning

The CIA triad of confidentiality, integrity, and availability is at the heart of information security.(The members of the classic InfoSec triad—confidentiality, integrity and availability—are interchangeably referred to in the literature as security attributes, properties, security goals, fundamental aspects, information criteria, critical information characteristics and basic building blocks.)

Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.  Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden. Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.

Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå. Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.

Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är. Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro. Den s.k. Parkerian Hexad konstruerades redan 1998 av Donn B. Parker som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility. Även aktuella svenska exempel på kritisk diskussion om CIA triaden. Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin Informationssäkerhet och organisationskultur där ett bidrag (Vad är säker kultur av Björn Lundgren) starkt ifrågasätter CIA-triaden. Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan. ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.

Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering). I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara

  • Tillförlitlighet
  • Äkthet
  • Integritet (oförändrad)
  • Användbarhet

vilket är snubblande nära ISO 27000 men med andra definitioner. I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet. Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL. Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.

Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.

Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner. För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser. I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion. Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.  För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet:

  • avtalshantering
  • ansvarsutkrävande
  • interna kontrollsystem
  • upptäckt av avvikelser
  • teknisk övervakning
  • dataskydd
  • patientsäkerhet
  • medarbetares integritet
  • medarbetares rättssäkerhet
  • brottsutredning
  • forensik
  • fysiskt skydd

Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster. Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar. I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande. Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.

För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: Information Security Goals in a Swedish Hospital (tillgängligt via DIVA). Angående spårbarhet skriver man bland annat:

However ‘Traceability’ found in the hospital document has much broader meaning than accountability. ‘Traceability’ emphasizes the importance of tracing information, and not only trace the individuals that produce the information. This goal Page 16–9 contributes to business goals: ‘correct healthcare’ and ‘effective healthcare’ and in the end is related to organisations responsibilities to its stakeholders.

Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten. Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen. Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.

Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad. Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig. Autenticitet inte detsamma som riktighet, inte heller oavvislighet täcks av riktighet. Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan. I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.

Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd. Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information. Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer. För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet. Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser. En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var. När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet. En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.

För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att egenskap skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000. Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga. För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder. CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet. I detta sammanhang vill jag understryka att en portalprincip i ISO 27000 är att informationssäkerheten ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar. Om en uppfattning är att standarden inte kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet. Det finns ju liksom inget egenintresse i att följa en standard.

Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige. Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning. Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.

Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m. för föreskrifter. Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om här. 

Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får. Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.  Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död. I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få? Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag). Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar. För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna. Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet. Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.

Nu ser jag fram emot en mängd kloka motargument!

Vad betyder egentligen cybersäkerhet?

En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation. Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt. Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.

Ett begrepp som gjort en raketkarriär är cyber. Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf:

I många sammanhang, även från regeringen, lyfts betydelsen av s.k. cybersäkerhet fram som en central fråga för det svenska samhället. Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett anförande men då krävdes det också stycken som det här för att lyckas:

Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet. Den trenden har varit tydlig under en tid. Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen. Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser. Vi kan se att ett flertal länder i världen har gjort just det. Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.

Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m. det korta citatet ovan. Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken. Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.

I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras:

Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information. Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen. Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt. Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder. För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet. I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext.

Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”. Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.

För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.

Hej!

Begreppet ”cyber” används flitigt för tillfället. Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.

Samma dag fick jag svar från Försvarsmakten med en hel ordlista (Begrepp med definitioner för cyber) med sammansättningar med ”cyber”, däribland cybersäkerhet:

Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.

En stor eloge till FM för denna goda service! Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem. Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är:

Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information. Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.

Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.

Från SÄPO kom efter en knapp vecka det något förvånande svaret:

Hej,

Säkerhetspolisen har ingen egen definition av begreppet cyber. Det är inte ett begrepp som används primärt i vår verksamhet.

 

Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats,  i olika rapporter  och utåtriktad verksamhet som här och här för  att bara ta ett par exempel.

Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad:

Hej!

Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”. Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse:

  1. Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr. 2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”. För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedriva informationssäkerhetsarbete på organisatorisk nivå, främst för information som hanteras digitalt.
  2. Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
  3. I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.

MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a. SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet. MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet. De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a. från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato. Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k. cybersäkerhetsakten, COM(2017) 477 final).

Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi. Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna. Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig):

bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden

Cyberrymden;telerymden har i sin tur definitionen:

abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig

Med den förtydligande kommentaren:

Cyberrymden innefattar all kommunikation via internet samt telekommunikation. Cyberattacker sker per definition via cyberrymden. En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.

Jag är inte alldeles säker på att jag förstår vad detta exakt betyder. Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet:

Varje dag utsätts svenska myndigheter och företag för cyberattacker. Detta har bidragit till att bl.a. frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher. Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild. Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.

Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.

Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande. Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .

Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.). I en lustig cirkelrörelse hänvisar man i  en fotnot till  SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40:

En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”. På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår. I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur. Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva. Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang. Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk. Därmed har cybersäkerhet en större internationell räckvidd med t.ex. folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet. Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering. Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella organ.

Detta är ju ett  märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!). Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.

Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.

Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret. Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot. I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.

Är denna otydlighet då egentligen ett problem? Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst? Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning. Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare). Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet. Betänk språklagens krav på myndigheterna:

Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.

Att svära i kyrkan

I mina funderingar om en tänkbar nationell styrmodell för informationssäkerhet slås jag av vilket i mitt tycke oproportionerligt intresse incidentrapportering fått som säkerhetsåtgärd.

För att ge en snabb bild av nuläget så har MSB sedan snart två år en särskild föreskrift angående obligatorisk it-incidentrapportering för statliga myndigheter. Till detta kommer dataskyddsförordningens krav och förslaget på NIS-direktivets tillämpning i Sverige som båda framför starka krav på incidentrapportering. Dataskyddsförordningen kommer att träda i kraft i maj 2018, samma månad som även utredningens förslag rörande NIS-direktivet sannolikt kommer att sjösättas.

MSB:s incidentrapportering är alltså inriktad enbart på statliga myndigheter och gäller uttryckligen endast it-incidenter. MSB:s definition handlar inte om störning på verksamhetens processer utan vilken typ av, framförallt teknisk, orsak som lett till störningen samt i vissa fall konsekvenser för informationshantering:

  1. störning i mjuk- eller hårdvara,

  2. störning i driftmiljö,

  3. informationsförlust eller informationsläckage,

  4. informationsförvanskning,

  5. hindrad tillgång till information,

  6. säkerhetsbrist i en produkt,

  7. angrepp,

  8. handhavandefel

  9. oönskad eller oplanerad störning i kritisk infrastruktur, eller

  10. annan plötslig oförutsedd händelse som lett till skada (3 §).

Det är alltså ett tämligen icke-stringent incidentbegrepp (lägg märke till att begreppet ”plötslig” överraskande kommer in under punkt 10) som används. Att notera är också att bristande spårbarhet inte nämns som en incidenttyp.

Dataskyddsförordningen, som i princip kommer att gälla i alla offentliga och privata organisationer som hanterar personuppgifter, har ett incidentbegrepp som är helt inriktat på personuppgifter:

personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

Det är framför allt obehörig åtkomst (konfidentialitet) men även förlust eller förvanskning (riktighet) av personuppgifter som ska ses som incidenter i detta perspektiv. Det bör dock understrykas att för att kunna efterleva dataskyddsförordningens övriga krav är både positiv och negativ spårbarhet en central faktor. Däremot kan en personuppgiftsincident lika gärna ske i icke-digitala som digitala medier – det är alltså inte enbart it-incidenter som är aktuella (vilket särskilt bör beaktas med tanke på att den s.k. missbruksregeln i PuL försvinner).

I författningsförslaget gällande NIS-direktivet slutligen är definitionen av incident:

incident: en händelse med en faktisk negativ inverkan på säkerheten i nätverk eller informationssystem

Precis som i MSB:s och Dataskyddsförordningens definitioner lyser verksamhetspåverkan med sin frånvaro, det är nätverken och informationssystemen som är objektet för regleringen som gäller både offentliga och privata aktörer i följande samhällsviktiga branscher:

  • Energi (elektricitet, olja, gas)
  • Transporter (lufttransporter, järnvägstransporter, sjöfart, vägtransport)
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård (hälso- och sjukvårdsmiljöer [inklusive sjukhus och privata kliniker])
  • Leverans och distribution av dricksvatten
  • Digital infrastruktur

En självklar fråga är om den bristande samordning som av de tre olika regleringarna är acceptabel. Det förefaller inte finnas några planer för att förenkla för de som kommer att behöva rapportera samma incident i två eller i värsta fall tre olika stuprör. Gissningsvis måste MSB:s befintliga inrapportering och den som följer av NIS samordnas eftersom de båda ska ske i MSB:s regi men då kvarstår ändå personuppgiftsincidenterna. Och i författningsförslaget för NIS-direktivet finns det en antydan om att är bra om tillsynsmyndigheterna samarbetar:

med Datainspektionen när den handlägger incidenter som medfört personuppgiftsincidenter och innan ett åtgärdsföreläggande meddelas,

så det finns kanske hopp om en praktisk samverkan.

Jag ska inte fördjupa mig ytterligare i samordningsproblemen även om de är nog så intressanta för alla som kommer att drabbas av dem. Istället tänker jag svära litet i den nationella säkerhetskyrkan och ifrågasätta om det verkligen är rimligt att satsa så mycket intresse och resurser på just incidentrapportering. Man kan göra den inte helt rimliga analogin till en enskild organisation som ska förbättra sin informationssäkerhet och då satsar större delen av sitt krut på incidentrapportering – skulle vi då tycka att det är en ändamålsenlig satsning? Den kritiske kan här invända att författningsförslaget för informationssäkerhet i samhällsviktiga och digitala tjänster innehåller litet vaga krav på säkerhetsåtgärder:

14 § Leverantörer av digitala tjänster ska utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster inom unionen. Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning och 5. efterlevnad av internationella standarder.

Samt även ett system för tillsyn med ett antal tillsynsmyndigheter (varav ett par redan tackat nej till uppdraget i sina remissvar). Huvudpunkten är ändå incidentrapportering vill jag hävda. Är detta då den mest effektiva åtgärden för att förbättra säkerheten?

Låt oss då först titta på syftet med incidentrapportering. I en organisation är incidentrapportering inte en lösryckt aktivitet utan del i en incidenthantering där den fyller flera olika syften:

  • Initiera akut felavhjälpning
  • Inleda återställelsearbete (kontinuitetshantering)
  • Ge underlag för långsiktig förbättring
  • Rapportering internt och externt
  • Indirekt: försörja riskanalys och informationssäkerhetsarbetet i stort

Behovet av informationskvalitet i rapporteringen är olika för de olika syftena. För att inleda akut felavhjälpning krävs mycket snabb kommunikation, däremot kan inte den som anmäler felet förväntas kunna redogöra för orsaken. För att inleda kontinuitetshanteringen måste en koppling kunna göras mellan de drabbade informationsbärarna och verksamhetsprocesser för att rätt prioriteringar av återställelse respektive reservrutiner ska kunna göras. Underlaget för långsiktig förbättring måste vara av mer analytisk karaktär men också bygga på en konsistent tillämpning av begrepp för att mönsterigenkänning ska kunna göras. Kravet på god informationskvalitet gäller även för rapportering, riskanalysen och för informationssäkerhetsarbetet i mer vida termer.

Hur har man då resonerat i dessa frågor när det gäller den nationella rapporteringen. Inte alls vad jag kan se, det är till och med svårt att utläsa vad syftet med den befintliga incidentrapporteringen egentligen är även om den dåvarande inrikesministern Ygeman 2015 så följande då beslutet att införa rapporteringen togs:

Syftet med ett sådant system är att möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning. Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre. Sådana it-incidenter kan röra exempelvis störningar i mjukvara, hårdvara eller driftmiljö eller förlust av data i olika sammanhang. It-incidenter kan orsakas av bland annat externa attacker, säkerhetsbrister i it-produkter eller felaktigt handhavande.

Det är alltså inte incidenthantering som eftersträvas utan ”en förbättrad lägesbild”. För mig förefaller det torftigt att ha en lägesbild som består av tekniska incidentbeskrivningar men jag tror också att inrapporteringsmoralen påverkas i starkt negativ riktning med tanke på att den svaga möjligheten till payoff eftersom det inte handlar om incidenthantering. Egentligen inte ens om rapportering utan endast om incidentanmälan eftersom meddelande om att något hänt ska ske innan någon djupare analys har hunnit ske. Samma oklarhet gäller även rapporteringen av personuppgiftsincidenter och rapportering enligt NIS-direktivet – det enda som kan hända är att man får ett besök av tillsynsmyndigheten för att uttrycka sig raljant. Att både MSB och Datainspektionen hävdar att det finns ett starkt behov av att sekretessbelägga rapporteringen gör att den lägesbild som uppges vara huvudsyftet för åtminstone MSB kommer att vara tillgänglig i mycket begränsade kretsar. Erafarenhetsåtervinningen på nationell nivå är därmed inget som kan locka fler att rapportera.

Att det sannolikt kommer att saknas ett starkt driv att rapportera incidenter påverkar kvaliteten i lägesbilden. Ytterligare en aspekt som påverkar kvaliteten är den svaga begreppsmodelleringen av vad som ska inrapporteras samt att det saknas kriterier för verksamhetspåverkan i rapporteringen. Här hade stora lärdomar kunnat hämtas från exempelvis smittskyddsområdet och överhuvudtaget från ett mer vetenskapligt förhållningssätt. Att resonemang i denna riktning helt saknas både i dataskyddsförordning och i NIS-direktivet talar för sig själv.

Att incidentrapporteringen ändå fått ett så stort genomslag som universalmedel beror förmodligen på att den har en USP. Det går nämligen att förklara vad incidentrapportering är för politiker och andra makthavare medan många andra säkerhetsåtgärder på systemnivå kräver betydligt mer i pedagogik. Incidenter kan också kopplas till mer actioninriktad kommunikation som kan leda fram till snabba beslut än en diskussion om hur informationssäkerhet ska bli en normal del av förvaltningen. Men, som alla vet, är det inte alltid det som är lätt att sälja som är det vi bäst behöver.

Sammantaget tror jag följande. Den nationella incidentrapporteringen kommer inte att ge de enskilda organisationerna något stöd i det egna informationssäkerhetsarbetet och kvaliteten i de rapporter som faktiskt sker kommer att vara låg. Den gemensamma lägesbilden som summa kommer inte ha högre kvalitet än de ingående delarna och kommer därför att ha ett värde som inte är i paritet med fokus och de resurser som läggs på incidentrapporteringen. Vore det då inte bättre att försöka göra en något djupare analys och försöka reda ut vilka åtgärder som skulle ha en reellt säkerhetshöjande effekt på nationell nivå? Eller åtminstone sätta in incidentrapporteringen i ett sammanhang som redovisas och som kan vara del av en större styrmodell?

 

 

Strategi från bunkern

30 juni kom alltså äntligen strategi. Två dagar före Almedalen och samma dag som de i det offentliga Sverige som inte är och tycker på Gotland förhoppningsvis sjunker in i sommardvala alldeles oavsett vilka strategier som lanseras.

Det är nästan svårt att veta var jag ska börja eftersom det trettiotal sidor som utgör strategin väcker så många frågor. Att försöka redogöra för dem skulle kräva ett utrymme som vida överstiger strategins sidantal. Bara användningen av begrepp gör läsaren konfys. Exempel ett: strategin heter En samlad strategi för samhällets informations- och cybersäkerhet. Vi som sedan ”cybersäkerhet” började användas för att hotta upp konferenspunkter undrat vad det egentligen betyder är inte så få. En förklaring som varit återkommande är att det är ”säkerhet i domänen cyber”, alltså något kopplat till försvarets indelningar och något ”internationellt”. Strategin släpper dock redan på sidan 4 alla ambitioner att försöka utreda denna fråga:

För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet. I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext.

Ska man tolka det som ”informationssäkerhet” är aningen mer inriktad på icke-digital information? Och på vilket sätt skulle en sådan uppdelning tillföra något klargörande? Och om det egentligen är samma sak varför skulle man då i svenska texter ta hänsyn till vilket begrepp som används internationellt om det egentligen inte har någon annan innebörd än informationssäkerhet? Det är som författarna på ett tidigt stadium gett upp men ändå velat ha med det litet läckrare ”cybersäkerhet”, tänkt ”wtf” och bara gått vidare.

Exempel två är definitionen av ”tillgänglighet”:

Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.

Här har strategins författare ändrat innebörden av begreppet på ett fatalt sätt. I den terminologi som reviderades 2015 (och som man visserligen kan ha synpunkter på) SIS handbok Terminologi för Informationssäkerhet (SIS HB 550 utgåva 3) är definitionen:

Åtkomlighet för behörig person vid rätt tillfälle.

Strategin har alltså gjort det märkliga tillägget som tjänsterna erbjuder vilket jag finner både missvisande och i någon mån obegripligt. Vilka tjänster är det som avses? Någon typ av it-tjänster sannolikt men eftersom strategin i övrigt har en stark förkärlek för ”system” vandrar tankarna iväg mot de samhällsviktiga tjänster som beskrivs i NIS-direktivet som är verksamhet och inte it-lösningar. Dessutom leder beskrivningen tanken mot ett synsätt att det är tjänsterna – inte informationen- som är i centrum vilket för den som vill planera för att upprätthålla kontinuitet inte är bra. Den som vill ha en fungerande kontinuitetshantering måste ha alternativa sätt för sin informationsförsörjning och då räcker det inte att titta på enskilda ”tjänster”. Mest svårtolkat uppfattar jag ”som tjänsterna erbjuder”. Det är som det smygs in ett konfidentialitetsperspektiv i tillgänglighetsbegreppet, att tillgänglighet skulle betyda att endast behöriga ska tillgång till tjänsterna när de erbjuds.

Det finns ett antal andra begrepp som förtjänar en diskussion men som vila tills vidare. Jag tänkte istället ta upp några utgångspunkter för strategins författare. Dessa ligger till grund för de prioriteringar som görs och som jag menar i många stycken gör strategin irrelevant.

I mycket känns strategins inriktning igen från Infosäkutredningen som lämnade sin rapport med förslag om en informationssäkerhetspolitik 2005 Säker information. Gemensamt att både utredningen 2005 och den nya strategin är skrivna helt sett ur statens intressen trots att man i båda fallen säger sig behandla samhällets informationssäkerhet. Det behövs knappast några poäng i statsvetenskap för att inse att staten inte är synonym med samhället och det känns därför intellektuellt torftigt att strategin inte på något ställe erkänner och problematiserar de intressekonflikter inryms i samhällets informationssäkerhet. Det gäller relationen stat-individ, stat-privata företag och stat-kommuner/landsting för att ta de mest uppenbara ytorna för konvergerande intressen. Istället utgår strategin okommenterat från att alla samhällets aktörer är villiga att underkasta de åtgärder som strategin föreslår som till stor del motiveras ur ett nationellt försvarsperspektiv. Genomgående är förslagen inriktade på att staten talar om hur saker ligger till, föreskriver och sedan genom tillsyn kontrollerar att ”samhället” lyder. Jag tror att den här ”far vet bäst”-mentaliteten är omotiverad i så måtto att pappa staten faktiskt inte vet bäst på det här området utan har all anledning att ta till sig andra samhällsaktörers kunskap och intressen. Att peka med hela handen fungerar kanske bra inom den gröna sektorn. De kommunpolitiker som måste göra intresseavvägningar mellan insatser inom äldreomsorgen och att satsa på säkerhetsåtgärder som inte kan motiveras är nog däremot betydligt mindre villiga att utan protester röra sig i handens riktning. Kanske är det också detta förhållningssätt som gjort att så litet av de förslag av de som Säker information presenterade har realiserats – en insikt som möjligen skulle kunnat ge strategin en annan inriktning och ton.

Den implicita föreställningen att statens intressen per automatik sammanfaller med allas (förutom brottslingars och fientliga nationers) intressen får egenartade konsekvenser då strategin tar sig an integritetsfrågan. Det enda sammanhang där strategin utvecklar sig om den personliga integriteten är när den är hotad av privatpersoner i form av näthat och grooming. Närmast ohederligt blir det när man inte ens nämner den kritik som framkommit gällande konsekvenserna på den personliga integriteten i remissvar rörande förslaget att MSB ska få installera sensorsystem. Istället framställs sensorsystemen som i princip redan beslutade:

Regeringen har under våren 2017 remitterat en promemoria om tekniska sensorsystem (Ju2017/02002/L4) med förslag att MSB får stödja verksamhetsutövare inom samhällsviktig verksamhet med informationssäkerheten genom att tillhandahålla sensorsystem som kan stärka samhällets möjlighet att upptäcka och hantera it-incidenter. MSB:s sensorsystem ska inte tillhandahållas till de verksamheter som erbjuds TDV.

Därmed var relationen mellan staten och individen överstökad. Dataskyddsförordningen känns mycket avlägsen i strategin.

En annan genomgående tendens är att strategin i princip endast intresserar sig för de antagonistiska hoten. Andra typer av risker diskas av i två förströdda meningar:

Olika former av störningar i mjuk- eller hårdvara eller störningar i driftmiljö är vanligt förekommande. Yttre fysiska händelser som t.ex. bränder, avgrävda kablar, översvämningar eller solstormar utgör också en del av hotbilden.

Resten av hotavsnittet beskriver en leviathan-liknande situation där framför allt statens intressen måste tillvaratas. Utan upphovsman för riskbedömningen meddelas:

Det möjliga agerandet av stater, statsunderstödda aktörer eller andra aktörer med liknande förmåga utgör det allvarligaste informations- och cybersäkerhetshotet mot Sverige.

Självklart kan inte dessa hot underskattas – de är verkliga och omfattande. Men enligt min erfarenhet äventyras de flesta organisationers verksamhet i lika hög grad av t.ex. bristande rutiner som leder till uppdateringsfel. Ett stort antal av de större incidenter som inträffat under senare år har också haft icke-antagonistisk bakgrund. För landsting och kommuner skulle jag vilja påstå att den absolut största utmaningen ligger i att kunna efterleva dataskyddsförordningen när den träder i kraft. Oavsett om jag har rätt i denna bedömning eller inte vågar jag hävda att strategins oförmåga att se att olika organisationer lever med olika risker och med olika behov av säkerhetsåtgärder är en av dess mest påtagliga brister. På ett flertal ställen presenteras lösningar som blickar tillbaka till BITS och andra försök att skapa samma säkerhet i alla organisationer. Detta strider inte bara mot grundtanken i ISO 27000 som säger att ledningen i varje organisation måste ta ställning till risker och därefter göra sina prioriteringar. Det strider också mot de verkliga behov som finns i olika organisationer eftersom olika verksamhetsprocesser kan använda samma information på helt olika sätt. I strategins anses detta dock fel:

Samma information kan få olika skydd i olika organisationer och kunskapen om vilket skydd som är lämpligt och tillgängligt för en viss typ av information är hos många aktörer ofullständig.

Jag tror att man här omedvetet endast utgår från konfidentialitetsaspekten och inte har reflekterat tillräckligt över behovet av riktighet, spårbarhet och tillgänglighet kan skifta starkt mellan olika organisationer. Under ett par arbetade jag på MSB med att tillsammans med bland annat representanter från hälso- och sjukvårdsområdet med att fram ett koncept för nationell styrmodell. Tanken var inte att alla organisationer skulle ha samma säkerhet utan att modellen skulle utgöra ett stöd för kommunikation mellan olika verksamheter så att varje organisation skulle kunna få den nivå av säkerhet som dess ledning ansåg lämpligt. Konkret skulle det innebära att det t.ex. fanns gemensamma metoder för processkartläggning, informationsklassning och skyddsnivåer. Att nu strategin ser det som ett problem att olika informationsmängder värderas olika av olika organisationer uppfattar jag som att man tankemässigt är tillbaka till det one size fits all-koncept som BITS byggde på.

Det mest anmärkningsvärda med strategin är att den inte beskriver en relevant framtid, inte ens ger en relevant bild av dagens situation. Det som utgör strategins existensberättigande redovisas i avsnittet Vad ska skyddas?. Det sidlånga avsnittet börjar tämligen stillsamt med:

Det innebär att både informationen i sig och de system som används för att förvara och överföra informationen måste skyddas.

Men därefter bryter ett sammelsurium av demokrati och andra värden, ting, system, kommunikation och i någon mån information ut. Ungefär på mitten dyker följande märkliga passage upp:

I dag bygger systemen för att hantera information huvudsakligen på digital informations- och kommunikationsteknologi. Detta gäller inte minst de system Sverige är beroende av för att kunna styra och leda riket under omfattande påfrestningar som kan följa av kris eller krig.

Jag biter mig  hårt i tungan för att inte ställa ironiska frågor som om det tidigare fanns system som inte byggde på digital teknik och om det är så att just de system som Sverige är beroende av för att kunna styra och leda riket o.s.v. (vilka de nu kan vara) är ännu mer digitala än övriga it-system. Även om stycket vidlåds med en ofrivillig komik är det dock inte särskilt lustigt att läsa denna flacka och redan inaktuella beskrivning av beroenden. Det är som strategins upphovsmän (för övrigt precis som utredarna av NIS-direktivet) fortfarande tänker sig en situation där verksamheter är beroende av tydligt avgränsade ”system” som man själv driftar och förvaltar.

Jag menar att vi redan idag är långt ifrån en sådan situation. Istället går allt fler organisationer helt eller delvis över till molntjänster som dessutom är intrikat integrerade så att det är svårt att urskilja enskilda tjänster eller komponenter. Detta är ju också något som uppmuntras i andra inriktningar från regeringen. För att ta ett konkret exempel vågar jag utan större talang som sierska ändå påstå att en stor del av den svenska förvaltningens dagliga informationshantering kommer att ske i Office 365 som molntjänst inom 5 år. Att jag vågar sticka ut hakan beror inte enbart på egna observationer i verkligheten utan också på att Microsoft låtit förutskicka att de kommer att sluta att tillhandahålla sina Office-programvaror för installation i egen miljö. De kommer att gå all in molntjänster. Denna nya situation behandlas överhuvudtaget inte i strategin. I 2.2. Öka säkerheten i nätverk, produkter och system där det rimligen borde inrymmas en sådan diskussion och förslag på lämpliga säkerhetsåtgärder nämns detta överhuvudtaget inte. Lika litet intresse ägnas åt välfärdsteknologin som är i stark framväxt och som innebär nya intressanta frågeställningar inom en stor samhällsviktig verksamhet.

Strategins bristande omvärldsbevakning påverkar även de säkerhetsåtgärder som presenteras. Mycket är uppstekta tidigare förslag alternativt bekräftelser på redan existerande lösningar även om jag fortfarande när ett visst hopp om den så kallade nationella modellen för systematiskt informationssäkerhetsarbete. Ett axplock på aktiviteter där regeringen ska enligt strategin fortsätta att verka för det man redan verkat för eller inte kan undvika att verka för:

  • öka tydligheten i myndighetsstyrningen och lyfta betydelsen av ett tillfredsställande informationssäkerhetsarbete internt på myndigheterna
  • samverkan mellan myndigheter med särskilda uppgifter på informations- och cybersäkerhetsområdet stärks
  • NIS-direktivet genomförs effektivt och att det etableras en adekvat styrning och tillsyn av säkerheten i nätverk och informationssystem i samhällsviktig verksamhet för vissa aktörer inom de utpekade sektorerna
  • företag och myndigheter som äger eller arbetar med samhällsviktig verksamhet där industriella informations- och styrsystem ingår får stöd i sitt arbete med att stärka informationssäkerheten,
  • berörda myndigheter utvecklar arbetet med att genomföra och stödja kartläggningar och utredningar om sårbarheter och lämpliga säkerhetsåtgärder i samhället
  • förmågan att hantera allvarliga it-incidenter upprätthålls genom en samordnad övningsverksamhet.

Inte särskilt kraftfullt eller nydanande. I ärlighetens namn ska väl sägas att det även ingår att regeringen ska verka för en strategi för kryptosystem, mer övervakning i olika hänseenden och mer brottsbekämpning.

Om Sverige ska bli, som regeringen proklamerat, världsbäst inom digitalisering och e-hälsa behövs det en storsatsning på proaktiv informationssäkerhet som stödjer denna inriktning. Förutom att stärka säkerheten i nätverk och kommunikationer är svårt att se vad den liggande strategin bidrar med i det hänseendet. Efter att ha begrundat åtgärdsförslagen uppfattar jag att huvuddragen är ett perimeterskydd på nationell nivå, incidentrapportering och tillsyn.  Detta menar jag inte är särskilt verkningsfullt i förhållande till dagens molntjänstsamhälle.  System i egen drift och förvaltningen som staten fysiskt kan kontrollera är inte den framtid som strategin ska fungera i. Att staten skapar säkerhetslösningar för (forntida teknik höll jag på att skriva) tekniska lösningar på utgående är inte unikt för den här strategin; som en klok kollega påpekade häromdagen är det konstigt att det nu görs så stort nummer av säker e-post. Redan nu sker kommunikationen ofta i andra former än e-post och om fem år kommer sannolikt dess betydelse vara i starkt avtagande.

Bristen på ambition att skapa bättre möjligheter att hantera de nya frågeställningar som digitaliseringen medför präglar också strategins kunskapssyn. Istället för en offensiv hållning där man utgår från ett läge som jag bedömer som tämligen ovedersägligt, nämligen att vi idag hög grad saknar kunskap om även grundläggande kunskap om hur vi ska bygga en fungerande informationssäkerhet, är strategin även här konserverande.  Den kunskap som strategins författare anser behövs är att kartlägga brister och sedan öka medvetenheten om dessa till olika aktörer.

Det är enligt regeringens bedömning viktigt att arbetet med att analysera sårbarheter, brister och behov med koppling till Sveriges informations- och cybersäkerhet fortsätter att utvecklas och fördjupas i syfte att stödja och öka medvetenheten om långsiktigt informationssäkerhetsarbete på alla nivåer i samhället

När man sedan kommer in på högre utbildning, forskning och utveckling räknas ett antal redan pågående projekt upp samt en avslutande lam inriktning:

Lärosäten, industriforskningsinstitut, näringsliv och offentlig sektor samverkar för att öka nyttiggörande och innovation inom informations- och cybersäkerhetsområdet.

Min uppfattning är att om en större förändring (i positiv riktning är det väl bäst att säga) av samhällets informationssäkerhet så förutsätter det en utvecklad kunskapsstyrning. Mer effektivt än att använda retroaktivt inriktade och repressiva åtgärder som incidentrapportering och tillsyn är att kunna beskriva för olika typer av aktörer hur de kan använda belagt effektiva säkerhetsåtgärder. Detta förutsätter dock i sin tur att det finns kunskap som kan utgöra underlag för en relevant styrning. Ett område som alldeles särskilt borde lyftas fram är det informatik och hur en styrd informationshantering kan ge ökad säkerhet i de tjänster som alltmer kommer att ersätta de traditionella systemen. Jag bedömer att tekniskt perimeterskydd kommer att vara något som måste fortsätta att utvecklas men att dess relativa betydelse kommer att minskas i förhållande till hur säkerhet kan byggas in i informationshanteringen. Därmed anser jag att detta borde vara ett strategiskt kunskapsområde för framtiden, en uppfattning som inte förefaller delas av strategins upphovsmän som på ett ytterst vagt sätt sveper över en mängd teknikområden.

Ett annat kunskapsområde som hänger ihop med själva definitionen av informationssäkerhet är betydelsen av spårbarhet i informationshanteringen. En långvarig men icke-uttryckt schism inom det svenska informationssäkerhetsskrået är begreppet spårbarhet som för många varit tabubelagt utan närmare förklaring. I de verksamheter som länge varit transaktionstäta och komplexa som exempelvis hälso- och sjukvården har kravet på spårbarhet varit självklart. För ”purister” har det dock varit en styggelse. Nu menar jag att det borde vara uppenbart för de flesta praktiskt verksamma att begreppet måste tillämpas aktivt i informationsklassningar och riskanalyser. Enbart dataskyddsförordningens krav förutsätter åtgärder för spårbarhet som idag inte tillämpas men användningen av integrerade tjänster kommer också att innebära behov av att kunna rekonstruera sammanställd information där alla ingående datamängder har rätt version o.s.v. Hur detta ska kunna gå till är även det ett område där forskning är nödvändig men denna typ av kunskap ligger långt utanför det område som strategin rör sig inom.

Trots denna orimligt långa text innehåller den bara ett litet antal nedslag i de frågeställningar som väcks. Min kritik kan sammanfattas i tre punkter. För det första är det väldigt uppenbart att det är en strategi för staten – inte för samhället. De stora frågor och intresseavvägningar som de flesta av samhällets aktörer måste hantera lyser med sin frånvaro – inifrån- och ut-perspektivet är så överväldigande att jag får känslan av att man suttit i en bunker och skrivit strategin för att försäkra sig om att inga ovälkomna intryck från verkligheten ska smyga sig in. Genomgående så förläggs också fel och brister hos aktörerna i samhället; de har dålig kunskap och de gör fel. Däremot så håller den del av staten som skrivit strategin inte upp en spegel och frågar sig vad man själv kunnat göra bättre. Trots att staten skottar in omfattande resurser centralt till de myndigheter som ska samordna informationssäkerhetsarbetet har resultatet inte blivit det önskade. Det är därför märkligt att strategins angreppssätt är att framförallt resten av samhället ska skärpa sig. Kanske måste man, istället för att fortsätta göra mer av samma sak, våga rikta blicken inåt och försöka analysera varför det hittills inte funkat så bra trots resurserna. Det vill säga en gammaldags hederlig utvärdering av en fristående part.

För det andra beskriver strategin inte ens dagens digitala situation utan en snart förgången tid. Jag har ju närt vissa förhoppningar rörande strategin men måste nu redan inledningsvis medge att det kommit helt på skam. Istället för att vara framåtblickande vilket är ett slags grundkrav på en strategi är den produkt som presenteras häpnadsväckande inaktuell även för dagens situation. Jag förstår att de som skrivit dokumentet varit snärjda och begränsade av bland annat det fem år gamla NIS-direktivet. Detta ”ursäktar” dock inte den enligt min bedömning föråldrade bild av verkligheten som är strategins utgångsläge. Faktiskt är det svårt att se den nya strategin som mer aktuell än den som togs fram 2010 och som dessutom var betydligt mer kortfattad och välstrukturerad Strategi för samhällets informationssäkerhet  2010 – 2015.

För det tredje levererar strategin få eller inga konkreta inriktningar – man lyckas inte ens beskriva hur de områden som staten faktiskt kontrollerar ska styras. Hur ska exempelvis säkerhetsskydd, samhällsviktig verksamhet och normal verksamhet förhålla sig till varandra? Och de olika incidentrapporteringskrav som staten nu riktar mot olika aktörer, hur ska de integreras till en effektiv och rimlig helhet? Om exempelvis eHälsomyndigheten råkar ut för en incident där personuppgifter ingår ska man då rapportera till MSB (enligt MSB:s föreskrift), till IVO (enligt NIS-direktivet) och till Datainspektionen (enligt dataskyddsförordningen). Eftersom incidentrapportering under en längre tid lyfts fram som den mest prioriterade säkerhetsåtgärden vore det rimligt att en strategi gav besked om hur den långsiktigt ska hanteras.  Och om nu en stor del av den samhällsviktiga verksamheten och den offentliga förvaltningen i övrigt kommer att hantera sin information i ett fåtal internationella molntjänster? Är det då inte en central strategisk säkerhetsfråga för staten att ha en inriktning för relationen till dessa molntjänstleverantörer. Det är ju knappast ett alternativ att köra ett DDR-lösning och utveckla egna statliga lösningar.

En strategi borde fungera som mer än talepunkter för en minister i Almedalen men här tycks beskedet ganska klart:  Fråga inte vad staten kan göra för dig utan vad du kan göra för staten. För oss andra verksamma i skrået är det viktigt att inte dras in i bunkern utan att vi arbetar med de frågor som är relevanta i dag och i framtiden.

 

Standarder i föreskrifter

Oavsett vilken roll jag haft inom informationssäkerhetsområdet, informationssäkerhetschef, konsult eller byråkrat på nationell nivå, har ett behov varit lika uppenbart: behovet av ökad samordning och styrning. Slutsatsen att det inte är möjligt för en enskild organisation att utveckla ett helt eget koncept för informationssäkerhet behöver knappast motiveras, särskilt när utvecklingen gått mot allt mer gränslösa integrationer av informationshanteringen.

En självklar grundsten för många av oss som arbetat länge med informationssäkerhet har varit ISO 27000 och dess föregångare och det har därför varit naturligt att peka på den som en naturlig utgångspunkt i den nationella styrningen. Däremot har jag alltid uppfattat det som en mycket stor nackdel att standarden liksom terminologin trots att syftet är så stor spridning som möjligt är omgivna av avsevärda ekonomiska hinder. För en stor statlig myndighet kan några tusenlappar tyckas vara småpengar men för en liten kommun eller mindre företag är det summor som inte är lika enkla att motivera.

Att rekommendera organisationer att införa ledningssystem för informationssäkerhet enligt standarden har därför innehållit en inneboende svårighet som kanske ändå går att överse med. Jag har däremot varit betydligt mer tveksam till den direkta hänvisning som funnits till standarden i MSB:s föreskrift sedan 2009 . Här sägs att myndigheter ska följa en föreskrift som inte är fritt tillgänglig vare sig för myndigheten eller för exempelvis medborgare som vill kunna ha insyn i myndighetens arbete. Att inte kunna sprida innehållet i en av grundförutsättningarna för myndighetens arbete försvårar naturligtvis kommunikationen. Ytterligare ett problem är att en myndighet med föreskriftsrätt föreskriver andra myndigheter att följa regler som man själv inte har kontroll över och dessutom snabbt kan göra föreskriften obsolet när de ändras.

Tyvärr följde detta krav med när föreskriften uppdaterades 2016 i form av krav på ISO/IEC 27001:2014 och ISO/IEC 27002:2014 ska ”beaktas”.

I dagarna har jag fått tips om ett beslut i Högsta domstolen (tack Carl-Arne!) som ger mig stöd i min uppfattning. Här skrivs explicit:

En grundläggande del av legalitetsprincipen får därför anses vara att författningar ska finnas tillgängliga för var och en i läsbar form utan något krav på betalning, och att detta gäller också för en standard som det hänvisas till i en författning.

Att myndigheten kostnadsfritt kan informera om vad som står i standarden anses inte upphäva denna bedömning. Med Högsta domstolens beslut, om det befinns tillämpligt även i detta sammanhang, finns nu en möjlighet att utveckla  den nationella styrningen så att den blir mer transparent och tillgänglig för alla.

 

Informations(säkerhets)skydd

Förslaget till ny säkerhetsskyddslag ger ett intryck av att inte vara fullt genomarbetat i de mer generella avsnitten. I avsnitten om informationssäkerhet förstärks detta intryck. När jag läser om informationssäkerhet känns det redan från början som om jag fått på mig ett par helt annorlunda glasögon som får min vanliga informationssäkerhetsverklighet i ett helt nytt perspektiv. Nya perspektiv brukar vara uppfriskande och klarläggande. Tyvärr kan jag inte säga att det är min upplevelse av utredningens verklighetsbeskrivning. Istället känns det litet som när medeltida munkar beskrev djur de aldrig sett men hört talas om, en vag likhet men ganska långt från förlagan. Man ser liksom att det är en elefant men det liknar inte de elefanter man känner till. ”Informationssäkerhet” är beskrivet från en annan kontinent än min, gissningsvis är den kontinenten Försvarsmakten .

Informationssäkerhet pekas liksom i den gällande säkerhetsskyddslagen ut som en av tre säkerhetsskyddsåtgärder tillsammans med fysisk säkerhet och personalsäkerhet.  Utredningen vill samtidigt utvidga säkerhetsskyddets tillämpning till helt nya verksamheter där det redan finns ett pågående informationssäkerhetsarbete som fyller en mycket viktig funktion bland annat för samhällets robusthet. Dessa två faktorer borde sammantaget lett till att utredningen förhållit sig till den redan existerande verkligheten, försökt ta vara på det redan inarbetade och tillfört endast det som är nödvändigt ur säkerhetssynpunkt.

Utredningen väljer istället en radikalt annorlunda väg och skapar sin egen kontinent utan mer än en tunn landbrygga till det etablerade säkerhetsarbetet, uppfinner sina egna begrepp och metoder. På denna kontinent betyder ”den vedertagna definitionen av informationssäkerhet” den, sett ur det civila perspektivet, stympade definition som används inom Försvarsmakten och säkerhetsskyddsområdet och som fokuserar på sekretess. Jag skriver avsiktligt sekretess och inte konfidentialitet eftersom den utgår från vad som är sekretessbelagt enligt OSL. Den aktivitet som motsvarar informationsklassning är också helt inriktad på sekretessaspekten (mer om detta nedan). Samtidigt skriver utredningen att man vill utvidga säkerhetsskyddslagens informationssäkerhet till att även omfatta riktighet och spårbarhet, i alla fall i någon mening.

Samma ambivalens till lagens tillämpningsområde finns när det gäller hotbilden. Medan man, liksom i gällande lag, avgränsar hoten till att främst gälla antagonistiska hot ska nu informationssäkerheten skydda mot hela hotspektrat s 329:

Säkerhetsskyddet har också en viktig funktion i att ge ett skydd för säkerhetsskyddsklassificerade uppgifter mot andra risker än sådana som beror på brott. Exempel på sådana åtgärder är skydd mot avlyssning och åtgärder för att minska utrymmet för misstag, tekniska brister eller annat som kan medföra oavsiktlig skadlig påverkan på informationen.

Här är visserligen definitionen av informationssäkerhet den samma som för det som beskrivs i en civil verksamhet men då uppstår å andra sidan problemet att sett i den här kontexten skulle det innebära att allt normalt förebyggande informationssäkerhetsarbete kan/ska ses som något som bör styras ur ett säkerhetsskyddsperspektiv.

Över huvud taget är relationen mellan den ordinarie informationssäkerheten och de åtgärder som ska påföras en verksamhet utifrån krav på säkerhetsskydd svårförståelig i utredningens resonemang. Som på sidan 347 t.ex.:

Åtgärder som är förknippade med informationssäkerheten enligt säkerhetsskyddslagen kan inte särskiljas från informationssäkerhet i en vidare bemärkelse. Exempel på detta är skydd mot skadlig kod och användarautentisering som är relevanta åtgärder även för it-system som inte är av betydelse för Sveriges säkerhet. Föreskrifter som meddelas med stöd av lagstiftningen, måste kunna avse informationssäkerheten i stort för de verksamheter som omfattas av säkerhetsskyddslagens krav. Detsamma gäller för tillsyn. En helhetssyn krävs inom detta område och såväl föreskrifter som tillsyn måste kunna omfatta samtliga de relevanta åtgärder som syftar till att ge ett skydd för information.

Detta är ett motsägelsefullt påstående eftersom man i det följande gång på gång visar att den informationssäkerhet som utredningen avser väsentligen skiljer sig från den som tillämpas av t.ex. de organisationer som följer ISO-standarden eller andra etablerade metoder. Betyder det att SÄPO:s alternativt Försvarsmaktens föreskrifter om säkerhetsskydd hegemoniskt ska breda ut sig och tillämpas även i informationshantering som inte faller under lagstiftningen?

Med tanke på att en av utredningens huvudnummer är ett tyngre verksamhetsansvar, det vill säga att offentliga och privata verksamheter ska utföra ganska avancerade manövrar inom säkerhetsskyddsområdet på egen hand, är tydlighet a och o. Myndigheter, kommuner, landsting och privata företag har också ett alltmer krävande verksamhetsstyrt informationssäkerhetsarbete som för den absoluta merparten organisationer är helt dominerande jämfört med säkerhetsskyddet. Dessa två delar måste därför gå att integreras på ett smidigt sätt. Det kräver både tydliga avgränsningar av vad som är vad och samordning av begrepp och metoder där så är möjligt. Som jag tidigare skrivit måste premissen av flera skäl också vara att säkerhetsskyddet ska tillämpas endast där så är nödvändigt och berättigat. Jag ska därför att i det följande se närmare på den centrala aktiviteten klassning och analysera de praktiska konsekvenserna av utredningens förslag.

Informationsklassificering

Tillämpningsområdet av säkerhetsskyddslagen har alltså enligt min mening glidit iväg och blivit otydligt.  Ur informationssäkerhetssynpunkt är det intressant att begrunda utredningens förslag på en tudelad uppdelning hur behovet av skydd ska bestämmas (s 22):

Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter. Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess. Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från begreppet hemliga uppgifter.

Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet). Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs. i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd. Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex. hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex. vissa verksamheter inom det kärntekniska området.

Man överger alltså begreppet ”hemlig” och övergår till den övergripande beteckningen ”säkerhetsskyddsklassificerade uppgifter”. Bakgrunden är att släppa kopplingen till offentlighets- och sekretesslagen (OSL) som ju endast är tillämplig på offentliga organisationer.

I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter. Kopplingen till offentlighets- och sekretesslagen kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig. Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m. som enligt skyddslagen är skyddsobjekt. Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex. verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet. Ett första steg är en ändrad systematik som bl.a. tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda.

Att kunna identifiera och klassa information är alltså avgörande för att kunna bedöma vad som ska falla under säkerhetsskyddslagen. Förutom att ringa in vilka uppgifter som är av betydelse för Sveriges säkerhet m.m.också för att definiera ”i övrigt säkerhetskänslig verksamhet” vilket är en utvidgad ersättning för det som skulle skyddas mot terrorism. Som exempel nämns alltså ”hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle”.  

Utredningen utlovar en beskrivning av hur säkerhetsskyddet ska utvecklas för de två verksamhetstyperna ( verksamheter som innebär hantering av säkerhetsskyddsklassificerade uppgifter och  verksamheter som av annan anledning är säkerhetskänslig (i övrigt säkerhetskänslig verksamhet).). Redan här börjar ett metodologiskt problem. Eftersom begreppet ”verksamhet” aldrig diskuteras så det är svårt att avgöra om en verksamhet avser en organisation, en del av en organisation, en process eller en aktivitet. Jag satsar på att det är en del av en organisation men inte en specificerad funktion utan något mer flytande.

I sina beskrivningar hur det konkreta säkerhetsskyddsarbetet ska utföras beskrivs visserligen en elefant kallad informationssäkerhet som vagt liknar de elefanter som jag känner till men spretar rejält i resonemangen. Jag skulle inte åta mig att ställa upp en logisk sanningstabell över utredningens utsagor.

En central poäng för utredningen är att säkerhetsskyddet som traditionellt varit inriktat på att skydda konfidentialitet nu ska vidgas till att även motverka brister i tillgänglighet och riktighet. Detta sägs samtidigt som man vill göra en internationell anpassning och ha fyra ”informationssäkerhetsklasser”. Vad man säger är alltså att man ska anpassa sig internationellt men samtidigt inte, att man ska ta med skydd för information även i förhållande till riktighet och tillgänglighet men samtidigt inte ta med de aspekterna i informationsklassningen. Även begreppen är motstridiga: man säger att informationen ska ”informationsklassificeras” trots att det enda som avses är en bedömning av behovet av konfidentialitet. Dessutom är de uppgifter som genomgått informationsklassificeringen inte informationsklassificerade som man skulle kunna tro utan säkerhetsskyddsklassificerade. Detta betyder att de ska hanteras i någon av de fyra informationssäkerhetsklasser som utgör säkerhetsskyddet…

För att gå vidare med klassificeringen så vill alltså utredningen att det ska införas fyra informationssäkerhetsklasser av internationell modell. Jag vill resa en stark invändning mot begreppet informationssäkerhetsklasser eftersom det inte är informationssäkerhet som klassificeras utan endast skydd mot obehörig åtkomst. Informationssäkerhet har, som utredningen i ett senare avsnitt framhåller, en etablerad definition där även aspekterna riktighet, tillgänglighet och allt oftare även spårbarhet ingår. Det är direkt vilseledande att använda ”informationssäkerhet” när man endast avser en delmängd. Jag kan faktiskt inte förstå varför man med berått mod vill skapa en källa till ständiga missförstånd och därmed väsentligen försvåra säkerhetsarbetet i de verksamheter där det ska bedrivas. Oansvarigt skulle jag vilja säga och en arrogans mot alla de som i sin dagliga gärning har att reda ut begreppen i sina respektive organisationer för att få litet praktisk verkstad.

Överhuvudtaget är synen på informationssäkerhet och klassning märklig och, jag ber om ursäkt, litet slapp. På sidan 346 slås aspekterna riktighet och tillgänglighet ihop som om de vore jämförbara entiteter trots att alla som arbetat med informationssäkerhet vet att det här högst olika åtgärder som är nödvändiga för de två aspekterna. Man hävdar också:

Riktighets- och tillgänglighetskrav är svårare att indela i nivåer än när det gäller konfidentialitetskrav. Detta på grund av att kraven kan vara mycket varierande i olika verksamheter och system och svårare att uttrycka i generella termer.

Med tanke på att SLA för tillgänglighet är de mest etablerade nivåkraven är första meningen svår att tolka. Att tillgänglighetskraven också styr en verksamhets prioriteringar vid en kris borde göra det än mer angeläget att ha en nivåindelning. För mig med ett osunt intresse för klassning och skyddsnivåer är andra meningen minst lika obegriplig – att kraven är varierande mellan verksamheter borde göra standardisering nödvändig. Enligt förslaget ser den praktiska hanteringen ut så här (s 344):

Vi föreslår därför att säkerhetsskyddsåtgärden informationssäkerhet delas upp i två delmoment. Det första tar sikte på skyddet av säkerhetsskyddsklassificerade uppgifter från det perspektivet att åtgärderna ska förebygga att uppgifterna röjs, ändras, görs otillgängliga eller förstörs. I informationssäkerhetssammanhang brukar man tala om skydd för konfidentialitet, riktighet och tillgänglighet. I denna del är det konfidentialitetsperspektivet som är det framträdande.

I det andra momentet anges att åtgärderna ska förebygga skadlig påverkan på informationstillgångar som annars är av betydelse för säkerhetskänslig verksamhet. I detta fall är det därför enbart riktighets- och tillgänglighetshänsyn som gör sig gällande. Med informationstillgångar avses information och informationssystem i vid bemärkelse, dvs. uppgifter, handlingar och tekniska system som används för att i olika avseenden elektroniskt kommunicera och i övrigt behandla uppgifter. Observera att begreppet har en delvis annan och mer långtgående betydelse i den internationella standarden för ledning av informationssäkerhet (LIS) där även människor ingår i begreppet.

Bortsett från skönhetsfläckar som benämningen av ISO-standarden (”ledning av informationssäkerhet”) är det andra momenten en egendomlig övning. Det handlar om någon slags friåkning och vars konsekvens är lika oklar som grunden för bedömningen. Där värderingen av negativa konsekvenser ur konfidentalitetssynpunkt ska ske i fyra nivåer saknas här helt nivåer, vad som ska bedömas är enbart ”betydelse”. Hur riktighet och tillgänglighet ska hanteras beskrivs ingenstans mer än i en indirekt hänvisning till säkerhetsskyddsanalysen samt här (s. 287):

Överlag ger säkerhetsskyddslagstiftningen i dag intryck av att den del av säkerhetsskyddet som inte handlar om hemliga uppgifter närmast ses som ett kompletterande skydd. En sådan ordning bör inte behållas. Som framgår av våra förslag i avsnitt 16.1, 17.1 och 18.1 föreslås syftet med de olika åtgärdsområdena (informationssäkerhet, fysisk säkerhet och personalsäkerhet) beskrivas med utgångspunkt från såväl de skyddsbehov som finns när en verksamhet hanterar säkerhetsskyddsklassificerade uppgifter som de skyddsbehov som finns i verksamheter som av annan anledning är säkerhetskänsliga. Några skillnader i fråga om åtgärder och förfarandet för de två inriktningarna anser vi inte vara motiverade.

Detta är så konstigt att jag inte riktigt vet hur jag ska reagera, särskilt som just denna utvidgning lyfts fram som en av de centrala förändringarna jämfört med gällande lag.  Frågor som vad detta innebär i praktiken hopar sig. Hur ska man avgöra vilken information  det gäller och i förlängningen vilken utrustning, kommunikationer m.m.  som ska användas? Vilka typer av åtgärder ska vidtas? Kommer staten att kräva att särskilda rutiner, viss utrustning och särskilda tjänster ska användas på samma sätt som när det gäller den säkerhetsklassificerade informationen? Kommer staten att ta på sig att utveckla eller certifiera utrustning? En vital fråga är också om information som bedöms som väsentlig av säkerhetsskyddskäl men enbart sett till krav på tillgänglighet och/eller riktighet (vet inte vad denna typ av information och andra informationstillgångar ska kallas för de är väl inte säkerhetsskyddsklassificerade?) också ska påtvingas säkerhetsskyddsåtgärder som gäller sekretessaspekten. Dessa frågors svar kommer att ha stor påverkan på både offentliga och enskilda organisationer.  Att då inte ägna energi åt att verkligen utreda vad förändringen består i och hur den ska tillämpas är ganska avgörande för hur utredningens kvalitet bör betygsättas.

När man kommer in på välkänd terräng (klassning ur sekretessynpunkt) är man desto mer mångordig. Här vill man främst med hänvisning till Försvarsmaktens förhållanden samt internationell anpassning införa 4 nivåer. Nackdelen är att man hela tiden utgår från att resten av världen fungerar som Försvarsmakten där hantering av säkerhetsskydd kan räknas som en kärnverksamhet. Exempelvis ids man inte ens ta upp frågan om hur verksamheter ska förhålla sig till först de fyra nivåer för informationsklassning som MSB rekommenderar och sedan ytterligare fyra konfidentialitet. Ska information bedömas på en totalt åttagradig skala eller hur tänker man?

Läs mer

Snedtänkt, atomskräck och säkerhetsskydd

Jag lyssnar på det senaste avsnittet av den underbara podden Snedtänkt som handlar om atomskräcken. Programledaren Kalle Lind och historikern Marie Cronqvist pratar om stämningen under kalla kriget och särskilt om skräcken för atomkriget som föranledde omfattande mer eller mindre välbetänkta åtgärder. Det är svårt att undvika att göra jämförelser med nutiden där atomkriget blivit cyberkrig med samma ryssar med tillägget av terrorister. Förmedlade hot och ständiga konfliktbudskap ger en förkrigsatmosfär vilken i sin tur ger grogrund till fake news och låga krav på sanningshalt inte bara hos ryssarna. Som Aiskylos skrev för sisådär 2500 år sedan; krigets första offer är sanningen. Det är helt enkelt inte särskilt lätt i en sådan samhällsstämning försöka inta en rationell hållning till hotbilder och rimliga säkerhetsåtgärder.

Med detta som bakgrund läser jag utredningen SOU 2015:25 som har ett grått omslag och en titel som är helt befriad från den putslustighet som många andra utredare hängett sig åt: ”En ny säkerhetsskyddslag”. Förtroendeingivande.

Säkerhetsskydd är ett svårhanterligt område. Samtidigt som det är något som alla vill ha i någon form finns det mycket starka skäl att det ska ha en så begränsad tillämpning som möjligt. Säkerhetspolisen (och Försvarsmakten) har mycket stora befogenheter som inskränker medborgarens normala fri- och rättigheter samtidigt som de åtgärder som vidtas ska skydda bland annat dessa rättigheter. Denna balansgång är alltid svår i en demokrati genom det asymmetriska informationsövertaget där de som representerar SÄPO och Försvarsmakten alltid kan hävda att de känner till hot som de tyvärr inte kan avslöja men som motiverar mer resurser och mer inflytande för säkerhetstjänsten. Bristen på transparens omöjliggör också för utomstående att bedöma säkerhetsskyddets effektivitet, så även för uppdragsgivaren. Dialogen mellan myndigheter och uppdragsgivare blir därför annorlunda jämfört med andra myndigheter som nagelfars i fråga om effektivitet i förhållande till behov och de resurser som tillförts. Dessutom innebär mandatet att SÄPO kan ålägga organisationer att genomföra olika typer av säkerhetsåtgärder (även tekniska lösningar) som inte organisationen själv valt, något som kan ha påverkan på organisationens ekonomiska förhållanden.

Därför måste dessa inskränkningar av rättigheter minimeras och starka motiv till inskränkningarna finnas och att den transparens som saknas i genomförande måste ersättas med så offentliga och tydliga spelregler som möjligt. Beslutsfattare, medborgare och andra aktörer har rätt att förvänta sig en förutsägbarhet i myndighetsutövningen och att element av godtycklighet är bannlysta. Förutsägbarhet bör i det här fallet innebära både att det är klart när lagen är tillämplig och vad konsekvenserna blir av att lagen ska tillämpas. Ytterligare en viktig utgångspunkt är att säkerhetsskydd inte är det enda sättet att skydda för samhället viktiga resurser och att hänsyn måste tas till att myndigheter och andra organisationer bedriver ett aktivt säkerhetsarbete som utgår från andra regelverk. För att säkerhetsskydd ska bli aktuellt räcker det inte med att en verksamhet är viktig eller känslig, brister i skyddet måste leda till risker för rikets säkerhet samt de övriga skyddsvärden som finns definierade. Detta är min utgångspunkt i läsningen av förslaget där jag först kommer att titta på några principiella frågor och i ett senare inlägg mer specifikt på de delar som gäller informationssäkerhet.

För utredningen står det klart att det behövs ett utvidgat säkerhetsskydd, något som framför allt uttrycks som negation. Utrednings ledmotiv är ”för snävt” som beskrivningen av dagens säkerhetsskydd, jag räknar till drygt 30 tillfällen där ”snävt” används i olika sammansättningar – oftast med ”allt för”. Säkert är det få som inte delar utredningens uppfattning att tiderna förändras och hoten ser annorlunda ut, däremot behöver inte per definition en förändring innebära utvidgning.

Den utvidgning som utredningen föreslår är att:

  • Fler verksamheter ska kunna falla under säkerhetsskyddet
  • Flera organisationer ska kunna falla under säkerhetsskyddet
  • Inom informationssäkerhetsområdet ska inte enbart konfidentialitet utan även riktighet och tillgänglighet bedömas

Förändringen är inte bara i omfattning utan ligger även djupare, i själva definitionen av vad som ska skyddas.

Vad är det egentligen som ska skyddas?

I den nuvarande lagstiftningen används begreppet rikets säkerhet som det som är styrande för vad lagen avser att skydda. Begreppet har traditionellt innehållit tre dimensioner: verksamhet, skyddsaspekt och typ av hot. Verksamhet har framför allt avsett den centrala statsmakten och militära förhållanden. Skyddsaspekten har varit konfidentialitet; obehörig åtkomst av information. Hot har varit relaterat till brott; på senare tid antagonism och terrorism. Med dessa ganska distinkta avgränsningar har det varit möjligt att identifiera vilken verksamhet och vilken information som omfattats av lagstiftningen liksom att vidta åtgärder för att förhindra obehörig åtkomst.

I förslaget till ny säkerhetsskyddslag förskjuts samtliga dessa parametrar. När det gäller verksamhet skriver utredningen:

I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter. Kopplingen till offentlighets- och sekretesslagen kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig. Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m. som enligt skyddslagen är skyddsobjekt. Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex. verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet. Ett första steg är en ändrad systematik som bl.a. tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda. Vi föreslår att beskrivningen av säkerhetsskyddet ska utgå från två huvudsakliga inriktningar. Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter. Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess. Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från begreppet hemliga uppgifter. Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet). Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs. i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd. Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex. hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex. vissa verksamheter inom det kärntekniska området.

Att säkerhetskänslig verksamhet idag också kan vara privat är inte mycket att orda om. Däremot öppnar den sista meningen upp för en definition som liknar begreppet ”samhällsviktig verksamhet” som MSB:s definition  är:

En verksamhet som uppfyller minst ett av följande villkor:

  • Ett bortfall av, eller en svår störning i verksamheten som ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid kan leda till att en allvarlig kris inträffar i samhället.
  • Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt.

Med samhällsviktig verksamhet menas de verksamheter, anläggningar, noder, infrastrukturer och tjänster som upprätthåller den funktion som de ingår i och är verksamhet som är av avgörande betydelse för upprätthållandet av viktiga samhällsfunktioner. Samhällsviktig verksamhet kan vara av nationell, regional eller lokal betydelse. Vad som är samhällsviktigt kan variera beroende på vilka situationer vi ställs inför och i takt med att samhället utvecklas.

Var gränsen går mellan ”säkerhetskänslig” å ena sidan och ”samhällsviktig” å andra sidan framstår i alla fall inte för mig som uppenbart. I kapitel 13.1 presenteras ett försök att utreda inom vilka samhällssektorer finns särskilda skyddsvärda funktioner (som då ska omfattas av säkerhetsskyddslagen). Inte heller efter att ha studerat det blir skiljelinjen distinkt även om man här försöker ringa in mer exakt vad det är som avses. Ett rättesnöre skulle kunna ha varit att säkerhetskänslig verksamhet måste vara av nationell betydelse men inte heller detta håller när man på sidan 245 skriver:

Det bör därför krävas ett kvalificerat skyddsbehov utifrån för samhället fundamentalt viktiga funktioner för att åtgärder enligt säkerhetsskyddslagstiftningen ska vara motiverade. Dessa funktioner kan, trots kravet på nationell betydelse, finnas i en regional eller till och med i en lokal kontext.

Situationen förbättras inte heller av att utredningen föreslår på oklara grunder att begreppet ”rikets säkerhet” ska bytas ut mot ”Sveriges säkerhet”. Orsaken att frångå det inarbetade begreppet till ett med mer territoriell konnotation sägs någonstans vara en vilja att vidga begreppets tillämpning samtidigt som det i den egentliga förklaringen skrivs:

Benämningen rikets säkerhet ska ersättas med Sveriges säkerhet vilket endast är en språklig ändring.

Att det kan råda osäkerhet kring den nya lagens tillämpningsområde är olyckligt. En risk är att en allt för vid tillämpning leder till att medborgares grundlagsfästa rättigheter inskränks (information görs otillgänglig, övervakning sker, personkontroller införs, ekonomiska förhållanden påverkas, arbetsmöjligheter försvåras) i ett alltför stort antal verksamheter som  efter beslut av SÄPO börjar hanteras i extraordinära former. Denna risk förstärks av oklarheten i vem som ska avgöra om en verksamhet är säkerhetskänslig eller inte.  En intressant fråga är vad som händer om en organisation själv genom en säkerhetsskyddsanalys kommer fram till att det saknas säkerhetskänslig verksamhet medan SÄPO hävdar motsatsen. Frågan blir ännu intressantare om man betänker a) det är ett vinstdrivande företag b) säkerhetsskydd kostar avsevärda resurser.

Det är också litet svårt att se en förståelse för de beroendekedjor som finns i dagens samhälle och hur svårt det är att avgränsa enskilda verksamheter. Utan tydliga avgränsningar skulle väsentliga delar av det svenska näringslivet inom it, telekom, kraft, livsmedel, bank och finans, vård och omsorg samt underleverantörer till dessa i värsta fall kunna omfattas av säkerhetsskyddslagstiftningen. Alternativt skulle lagen kunna tillämpas på ett sätt som skulle kunna vara konkurrenspåverkande, som att i vissa sektorer skulle underleverantörer ses som säkerhetskänsliga, i andra inte.

Ytterligare en risk är att oren uppdelning mellan samhällsviktig respektive säkerhetskänslig verksamhet skulle kunna påverka krishanteringsförmågan. Om en allvarlig händelse definieras som i första hand något som ska hanteras av SÄPO kan det leda till att det återställande krisarbetet försvåras exempelvis genom att information hemligstämplas.

I nästa inlägg alltså mer om informationssäkerhet i förslaget.

 

Informationssäkerhetens paradigm

På svenska är ”säkerhet” ett begrepp medan på engelska finns både ”safety” och ”security”. Begreppen används i kunskapsområden relaterade till säkerhetsfrågor som till exempel inom trafiksäkerhet. I korthet innebär safety åtgärder för att motverka oavsiktliga fel, misstag, negativa avvikelser, produktfel o.s.v. medan security är skydd mot avsiktliga, antagonistiska hot.  Det är en avgörande skillnad mellan de risker som safety-åtgärder avser att reducera jämfört med security-relaterade risker. Information security är också ett område som traditionellt varit inriktat mot antagonistiska hot vilket i hög grad har övertagits av de svenska aktörerna inom informationssäkerhetsområdet.

Både på engelska och svenska är spåren från denna bakgrund mycket tydliga.  Jag har länge funderat över varför det rådande paradigmet inom informationssäkerhetsområdet fortfarande är så inriktat på antagonistiska hot. Det anspråkslösa empiriska material som finns kring vilken typ störningar i informationshanteringen som ger stor verksamhetspåverkan tyder ju snarare på att det stora problemet ligger i exempelvis bristande uppdateringar i it-lösningar. Om syftet med informationssäkerhetsarbetet är att reducera störningar som påverkar olika verksamheters möjlighet att upprätthålla sin leverans med acceptabel kvalitet så förefaller fokuseringen på antagonistiska hot kontraproduktiv. Trots att jag tror att de flesta som sysslat med informationssäkerhet vet att det förhåller sig på det här sättet, både när det gäller hotbilden och fokuseringen på antagonistiska hot, är det märkligt besvärligt att föra en diskussion om frågan. Orsaken till att det är svårt att diskutera frågan är att security-begreppet skapat en hegemoni som så starkt styr synsätt och de underliggande begreppen och därmed skapar ett paradigm där andra synsätt utesluts.

Att tala om paradigm i samband med informationssäkerhet kan ju tyckas både paradoxalt och onödigt teoretiserande. Paradoxalt eftersom jag tidigare hävdat att informationssäkerhetsområdet är anti-intellektuellt och paradigm kan ju tolkas som ett akademiskt genomarbetat teoribygge. Detta är dock en felsyn eftersom ett paradigm ofta helt eller i delar är ett omedvetet tolkningsmönster, integrerat i iakttagarens blick. Det är också det som gör det svårhanterligt, paradigmet ligger som ett filter över verkligheten och gör att endast det som går att passa in i tolkningsmönstret slipper in. En situation som gjorde mig brydd och som kan illustrera paradigmets kraft var när jag deltog i ett arbete på en myndighet som förutsatte att vi kunde nå fram till en definition av vad en incident är.

Med min bakgrund i verksamhetsnära informationssäkerhet var det uppenbart att begreppet incident som måste innefatta alla typer av händelser i informationshanteringen som leder till störningar i verksamheten. Eftersom både it, informationshantering och informationssäkerhet har sitt existensberättigande som stödfunktioner för kärnverksamhetens processer så är grundorsaken till en störning för verksamheten irrelevant, antagonistisk eller inte. Detta synsätt delades dock inte alls av deltagaren som skulle tillföra ett it-säkerhetsperspektiv. Hen hävdade outtröttligt att endast händelser med ett antagonistiskt ursprung kan innefattas i begreppet incidenter. Buggar, uppdateringsfel och brister i rutiner, oavsett hur dramatiska effekter på verksamheten de får, är inte incidenter enligt detta synsätt. Varje möte i vår arbetsgrupp strandade på denna fråga. När jag försökte framföra att denna definition av begreppet, bortsett från allt annat, även skulle leda till stora praktiska problem eftersom det ibland kan ta dygn eller ännu längre innan det går att hitta orsaken till en störning. Ska de då räknas som incidenter och hanteras enligt fastställd incidentrutin eller inte? Och ska en organisation ha två olika rutiner för ”negativa händelser” i informationshanteringen beroende på dess upphov trots att verksamhetspåverkan är exakt den samma? Jag kan nu se orsaken till att vi inte kunde kommunicera på ett konstruktivt sätt i denna viktiga fråga var security-paradigmet så skymde sikten att de verkliga frågeställningarna försvann.

Att det skulle vara onödigt teoretiskt att tala om paradigm är kanske ett allvarligare felslut eftersom det är just den medvetna eller omedvetna teorin som stödjer oss i att hantera de högst praktiska frågor som leder till en bättre informationssäkerhet. Jag tänker ganska ofta på en organisation i flygbranschen där jag var konsult under några månader och intervjuade ett stort antal personer. Det slående var att alla som var oinvigda i informationssäkerhetens mysterier men väl insatta i trafik och kommunikation frågade om jag avsåg security eller safety när jag pratade om informationssäkerhet. För dem var distinktionen självklar och funktionell; att ha säkerhetskontroller på flygplatser för att förhindra terrorister är en viktig uppgift men minst lika viktigt är att ta bort isen från flygplansvingar så att planet fungerar på bästa sätt. Som passagerare är jag ytterst tacksam för den vikt som läggs vid safety-frågor som sannolikt har större betydelse för att så få trots allt blir skadade i trafiken generellt. Detta gäller inte bara flyget naturligtvis. Säkerhetsbältet i bilen skyddar mig inte mot terrorister men sannolikheten för att råka ut för en oavsiktlig trafikolycka bedömer jag som betydligt större och säkerhetsbältets påverkan på dödade och skadade i trafiken kan knappast överskattas.

Jag vill därför förorda att vi börjar arbeta mot ett paradigmskifte där ”Information Safety” blir lika prioriterat som ”Information Security”. Det betyder att något överge krigsretoriken med ständiga antagonister, attacker och hot och mer inrikta sig på ett kvalitetsarbete i den gråa vardagen, att prioritera upp uppdateringar, rutiner, dokumentation, planering och utvärdering på ett systematiskt sätt. Att kunna upprätthålla två samtidiga perspektiv är nödvändigt om vi verkligen vill att viktiga verksamheter ska kunna upprätthållas med tillräcklig kvalitet.

Varför funkar det inte? Del 2

I detta inlägg ska jag inrikta mig på några mer generella frågor för området som också bör vara frågor som den som inte lever och andas informationssäkerhet borde ställa.

Vad är informationssäkerhet?

Ett ganska modest krav är att på ett hyfsat entydigt sätt kunna definiera vad informationssäkerhet är. Detta är dock svårare än vad det först kan förefalla. Inte ens om det är ett slags tillstånd eller en förmåga är klart. Jag ska här endast ta upp några av de frågor man kan ha anledning att ställa sig angående vad informationssäkerhet ska anses vara.

En definition som säkert kommer att användas av många är den som finns med i den terminologi som sammanställts inom SIS:

bevarande av konfidentialitet, riktighet och tillgänglighet hos information.

Denna definition har övertagits av MSB i den nya föreskriften MSBFS 2016:1 trots att myndigheten i andra sammanhang talar om ”förmåga” alternativt ”tillstånd” i andra sammanhang.

Jag ska inte detta sammanhang gå in på ISO 27000 och dess översättning i detta sammanhang utan här endast koncentrera mig på det sätt som terminologin definierar begreppet. I ordet ”bevara” finns en implicit föreställning om att en vald informationsmängd är en entitet som har initiala egenskaper som ska bibehållas i en kortare eller mindre hantering. Detta är ett ganska egenartat synsätt som sannolikt är hämtat från ett tidigare tekniskt utvecklingsskede, kanske en slags databastänkande, där man är upptagen av transaktioner inom ett enskilt system. Att ställa krav på informationens kvalitet före instoppandet i systemet eller vid sammanställning till nya informationsmängder ligger utanför definitionen. I värsta fall skulle informationssäkerhetsarbetet alltså leda till att felaktig information förblir felaktig eftersom då den ursprungliga riktigheten ”bevaras”. Beskrivningen indikerar också ett statiskt förhållande där informationen liksom inkapslad färdas i ett system. Detta stämmer inte heller särskilt väl med den informationsinfrastruktur som har växt fram där information hela tiden sammanställs, förändras och kommuniceras i nya strukturer. Informationssäkerheten borde då syfta till att förändras och skapa en tillräcklig nivå av skydd under informationshanteringsprocessen/erna. Personligen måste jag därför medge att ”bevarande” är en definition som inte känns relevant. ”Tillstånd” eller ”förmåga” är alternativ som skulle ge andra möjligheter men oavsett vilket begrepp som väljs borde det bygga på en mer

Trots att informationssäkerhetsområdet inte bygger på tung akademisk forskning på en ontologisk nivå, till exempel rörande vad informationssäkerhet skulle sägas vara, finns det vissa hangups där det hänvisats till akademin. Den sådan är begreppet ”spårbarhet” som av informationssäkerhetens purister inte anses ha samma autonoma värde som exempelvis riktighet och tillgänglighet. Purismen i denna fråga känns inte särskilt väl underbyggd. Mig veterligen inte finns någon begreppsmodellering genomförd över något av begreppen och inte heller är översättningen av den så kallade CIA-triaden (Confidentiality, integrity och availability) till konfidentialitet, riktighet och tillgänglighet klockren. Integrity skulle knappast översättas till ”riktighet” i något annat sammanhang, särskilt som riktighet i SIS terminologi anges som skydd mot oönskad förändring vilket återigen antyder ett synsätt som utgår från databashantering. Rent praktiskt är spårbarhet ett begrepp som är av stor betydelse i transaktionstäta verksamheter som bank, finans och sjukvård samt för att stödja integritetskrav. Spårbarhet är också mycket tydligt kopplat till konkreta åtgärder som loggning – ändå väljs det bort utan närmare förklaring. Detta är bara ett exempel på att själva grundelementen i beskrivningen av informationssäkerheten saknar verkligt definition vilket ger möjlighet till vitt skilda tolkningar och närmast trosläror om vad informationssäkerhet egentligen är.

Ett annat tolkningsproblem är skillnaden mellan informationssäkerhet å ena sidan och it-säkerhet å den andra. Att de som inte har informationssäkerhet har svårt att uppfatta skillnaden är inte så konstigt men att även de som arbetar med informationssäkerhet vacklar i distinktionen är ett tydligt tecken på osäkerheten i begreppet informationssäkerhet. För mig framstår det som att informationssäkerhet i i första hand är en organisatorisk stödfunktion som ska ge ledningen stöd i att styra sin verksamhets resurser så att de skyddar informationen på ett sätt som stöder verksamhetens mål. Detta uppfattar jag också som kärnan i ISO 27000 som ju är helt inriktad på att skapa ett ledningssystem som ska ge en organisatorisk förmåga till styrning av informationshanteringen. It-säkerhet är i detta perspektiv de tekniska åtgärder som ska vidtas för att svara på de krav som ledningssystemet ställer. Många verksamma inom informationssäkerhetsområdet tycks inte dela denna uppfattning utan ser informationssäkerhet som synonymt med it-säkerhet. Även denna basala fråga skulle behöva analyseras och få en mer allmänt accepterad förklaring.

Detta är bara några frågor där det enligt min uppfattning råder oklarhet och där utrymmet för analys och vidareutveckling är mycket stort. I nästa inlägg ska jag ge mig på målet för arbetet med informationssäkerhet.