Riskmenageriet

Det är lätt att bli tidsblind men jag tror att vi även efterhand kommer att uppfatta våren 2020 som den värsta krisperioden i Sverige sedan andra världskriget. Skadad av historiska studier är jag väl medveten om hur svårt det är att bedöma nutiden medan den pågår men har ändå blivit fascinerad av hur den nationella beredskapen fungerar när det som alla pratar om men ingen sett inträffar. Det vill säga den stora samhällskrisen.

En termometer på hur väl det svenska krissystemet mår är den centrala myndigheten för dessa frågor Myndigheten för samhällsskydd och beredskap, MSB. Jag hade egentligen, efter att ha studerat ett ganska stort antal allmänna handlingar, tänkt fortsätta skriva om hur myndigheten hanterat det beryktade enkätverktyget. Det är i sig en intressant historia som i delar redan skildrats av flera medier, kanske mest heltäckande av Arbetaren bland annat här. När man läser handlingarna är det så många överraskande steg allt sedan regeringen den 19 mars ger MSB ett uppdrag (Ju2020/01165/SSK) :

Regeringen uppdrar åt Myndigheten för samhällsskydd och beredskap (MSB) att säkerställa att myndigheternas information med anledning av utbrottet av det nya coronaviruset är samordnad och tydlig samt att det finns effektiva kanaler för att föra ut informationen. I uppdraget ingår att skyndsamt utarbeta ett nationellt informationsmaterial som på ett effektivt sätt ska kommuniceras till så många som möjligt.

MSB får 75 miljoner (!) för att genomföra uppdraget under 2020, ett uppdrag som till synes inte på något sätt innehåller smittspårning eller insamlande av uppgifter. Kanske är det de 75 miljonerna som snedvrider uppdraget från början, kanske lockar de 75 miljonerna till sig aktörer som ger myndigheten tips om vad de skulle kunna hitta på för att sätta sprätt på pengarna. I vilket fall så är det inte MSB:s professionella kommunikatörer som får lead i detta jättelika kommunikationsuppdrag utan Avdelningen för cybersäkerhet och säkra kommunikationer. Det formella beslutet på denna interna delning kommer den 26 mars, dagen efter att MSB bjudit in Folkhälsomyndigheten till ett möte där den förra myndigheten erbjuder den senare ett digitalt verktyg, allt enligt minnesanteckning från mötet:

Kort möte med GD Folkhälsomyndigheten (FHM) sen em 25/3.

MSB tar upp initiativ kring digitalt verktyg för digital självskattning.

GD FHM positiv, betonar att ett sådant här verktyg inte ska driva fysisk testning i fel riktning. Viktigt att anpassa svar på självskattning så respondenten inte förväntar sig att bara för att man gör digitalt test så får man fysiskt test.

Vad som händer under veckan där MSB:s samordningsuppdrag för myndigheters kommunikation angående corona övergår till att handla om ett digitalt verktyg för självskattning av smitta är för mig okänt men det är uppenbart att det är MSB som vill ha verktyget. Litet småaktigt vill jag poängtera det eftersom jag själv blivit åthutad på sociala medier av en i utvecklingsarbetet involverad konsult när jag hävdade att det var så det låg till. Några dagar efter åthutningen gick MSB officiellt ut och sa att det var på deras initiativ som verktyget tagits fram. Note to self som konsult: undvik att agera som dina kunders talesperson om du inte formellt blivit ombedd. Enligt den juridiska utredning som MSB låter en extern byrå genomföra framgår det att det inte ingår i MSB:s uppdrag att bedriva smittspårning. Därför måste man ha med sig expertmyndigheten FHM för att kunna genomföra projektet med digital självskattning. Redan här går det se de problem som snart kommer att göra att projektet blir en återvändsgränd. Rollen som samordnande myndighet kräver respekt för olika aktörers uppdrag och mandat och detta särskilt i trängda lägen, inte att man försöker ta över andra myndigheters uppgifter.

Sedan följer en närmast smärtsam historia fram till slutlig nedläggning via ett antal anhalter där det blir allt tydligare att ingen utom MSB (och leverantör samt konsulter) är intresserade av verktyget. Kontentan blir x antal miljoner i sjön (konsultkostnaderna är inte medräknade i de 6,4 miljoner som MSB ska betala till leverantören), en granskning av Konkurrensverket och ett rejält tapp i anseende när MSB som bäst skulle behöva det. Sannolikt har MSB tappat i förmåga att genomföra det egentliga uppdraget från regeringen: att samordna myndigheters information angående corona vilket knappast kan glädja uppdragsgivaren. Det går att föreställa sig mindre trivsamma samtal på regeringskansliet.

Som en slutkommentar till Arbetaren säger MSB:s pressekreterare:

Vi tar hellre kritik för att vi skyndar på att ta fram en lösning som på något sätt kan vara till hjälp när människor dör, än att få kritik för att vi sitter på händerna och inte gör något. Vi ansåg att vi var, och är, i ett läge där det var viktigt att agera när det handlar om människoliv.

MSB reagerar alltså exakt på det sätt som jag skrivit om i ett tidigare inlägg, att göra NÅGOT känns alltid bättre även om detta något är inte leder framåt eller förbättrar situationen. I krissituation är det viktiga tillit och att alla vet vem som ska göra vad. I bakhuvudet gnager en liten olustig känsla av att myndigheten kan ha reagerat på yttre påverkan vilket lett fram till haveriet. Det är lätt att glömma bort att de vanligaste påverkanskampanjerna är de ekonomiska.

Det skulle vara lätt att göra sig lustig över denna tragikomiska historia. Det är inte min intention. Istället får den mig, liksom många andra i dessa dagar, att reflektera över den svenska beredskapen och myndigheters förmåga. Framförallt funderar jag på hur MSB (och andra myndigheter) förefaller så synnerligen oförberedda på en pandemi att man är tvungen att kasta sig in i så äventyrliga och ofruktbara aktiviteter som webenkäten. Pandemi är verkligen inte en svart svan i ett riskperspektiv utan snarare vad Michele Wucker kallar en ”grå noshörning”:

A “gray rhino” is a highly probable, high impact yet neglected threat: kin to both the elephant in the room and the improbable and unforeseeable black swan. Gray rhinos are not random surprises, but occur after a series of warnings and visible evidence.

Pandemier har redan inträffat och har varit på MSB:s short list över samhällsrisker ända sedan myndigheten startade. Ändå tycks inte nödvändiga förberedelser för samordning i en pandemisituation ha gjorts. Detta ska inte MSB lastas för utan snarare de regeringar som styrt under perioden. Kanske måste djurmetaforerna gå vidare till svarta strutsar (ja, jag vet att det inte är så i verkligheten att strutsar gräver ner huvudet vid annalkande fara men det är en bra metafor).

Nu pratas det i alla politiska läger om vikten av att förbättra den civila beredskapen och kanske till och med snegla tillbaka till beredskapens guldålder i Sverige: 1970-talet. Problemet med detta är att det innebär att ett antal av dagens heliga kor måste slaktas om det ska fungera. Det är inte bara mycket stora ekonomiska resurser som behövs. Vi har under närmare 40 år demonterat den starka staten som är en förutsättning för en sammanhållen nationell beredskap och istället privatiserat och fragmentiserat ansvaret utan tanke på hur alla skärvor ska kunna skapa en helhet då det behövs. Typexemplet på detta är ansvarsprincipen som inte är inskriven i någon lag men som har haft en förödande inverkan på den gemensamma styrningen av krisberedskapen. Fragmentiseringen har inte kompenserats med en stark myndighet som nationellt nav. MSB:s roll är istället att försöka samordna utan sammanhållen nationell planering och i stort utan mandat att faktiskt styra samhällsviktiga aktörer. Fallet med webenkäten får tolkas som ett utslag av MSB:s omöjliga roll och borde vara ett exempel av många som bör leda till att ansvarsprincipen omprövas och att en verklig krisberedskapsmyndighet med fullt mandat skapas.

När krisen kommer

Kriser har den fördelen att de oftast tar slut. Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden. Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst. Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i totalen skapar större ohälsa och död än själva viruset.

Däremot når nu MSB:s insatser en sådan nivå att de t.o.m. får vara med i satirinslaget Public Service i P1, en ynnest som är få myndigheter förunnad. Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra inlägg och som nu även tagits upp i Ekot.

MSB har hintat om lanseringen av appen med en  näraliggande men okänd startpunkt. Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast  undflyende svar. Jag kan förstå det. Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst. Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen. Det är ju liksom ingen slump att eSam gjort ett uttalande om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.

Vid sidan om själva enkätappen är MSB:s kommunikation om den lika märklig. Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen. MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation. Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist. En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier. Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid. Detta leder inte till en större tillit i krisen.

Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade. Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex. gällande riskbedömningar. Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas. I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.  Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m. Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.

Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund. Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan. För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas. MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna. Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår. Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande. Har MSB lyckats knäcka den nöten så är det stora nyheter för både offentliga och privata organisationer. Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt)  och då vore det ju  bra om MSB gick ut och beskrev hur det egentligen ser ut.

Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster. Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhällets informationssäkerhetsarbete slarvar med säkerheten. Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför. MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.

MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ. Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser. När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press. Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke. Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.

Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet. Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer. Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet. Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.

Den viktigaste förebyggande åtgärden saknas

Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna. Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske. Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.

För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer. För att uppnå detta krävs både episteme, fronesis och techne. Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerande informationssäkerhetsarbete ska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras. Jag skulle vilja hävda att detta idag i allt för hög grad saknas.

Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sitt informationssäkerhetsarbete så att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär. Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.  Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag. Det gäller c.a. 350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet. En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns. Hos de som får allt tyngre ansvar för det faktiska informationssäkerhetsarbetet finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet. Till viss del fanns denna insikt även i  den strategi för samhällets informationssäkerhet som MSB tog fram tillsammans med andra myndigheter. Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.

Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen. Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.   Utredningar som SOU 2015:23 Informations- och cybersäkerhet i Sverige, SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster, SOU 2017:114 reboot – omstart för den digitala förvaltningen liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter. Den nationella strategin för informations- och cyberssäkerhet (Skr. 2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen. Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.  Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.

Jag delar inte denna tilltro till den osynliga handen. Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov. Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas. Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt). Därav ett stort fortbildningsbehov. De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning. Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning. Detta räcker naturligtvis inte långt.

Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren. Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället. Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist. Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas. Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet. Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.