Effektivisera informationssäkerhetsarbetet!

I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt. Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas. Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt. För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser. Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m. tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.

Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet. Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar. Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder. Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till. Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre. Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat men den informationssäkerhetsansvarige som initierat dem kan bocka av en ruta. För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.

Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling. Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att ha kontroll över sin information. Har man inte det så har man inte en fungerande informationssäkerhet. Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast. Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast. Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”. Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet. Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift. ”Stöd” sågs helt enkelt som synonymt med någon slags programvara. Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra. I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar. Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?

Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ. Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg. De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet. Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.

För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman. Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag. Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare. En central del i omsorgen av äldre är läkemedelshanteringen. Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång. Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig. Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst. Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.  Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.

En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.

 

Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen:

 

 

Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan. Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen. Den intresserade kan notera följande:

  1. Merparten av informationsmängderna är även de att betrakta som tämligen generiska
  2. Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen
  3. En stor del av informationen finns på flera bärare samtidigt
  4. I hela processen är spårbarheten är essentiell för patientsäkerheten

Detta är inte på något sätt unikt för den här processen utan gäller för många andra. Slutsatsen man kan dra är att om man seriöst ska arbeta med informationssäkerhet så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen. Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas. Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form. I den ovan beskrivna processen finns t.o.m. bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.

Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra. Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en normerande klassning i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda. Dagens rekommendation från myndigheter och SKR är  att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg  ska klassa system i varje förvaltning. Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.  Enligt Almegas beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg. Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden. Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.  Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen. Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat. Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar. Betänk också att detta bara är en av flera processer bara i äldreomsorgen.

Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar och skyddsnivåer. Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa. Koppling till krav i föreskrifter med mera bör även finnas. Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex. fysiskt skydd av papper. En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer. Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv. Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.

Vad skull då detta kunna innebära i praktiken? Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld):


Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens. Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.

Som en bonus kan även krav på bevarande och gallring läggas in.

Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt. Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången. Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.

Tack Calle Lilius för bilderna!

Den byråkratiska informationssäkerheten

Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap. Under sommaren har jag en forskningsantologi kallad Statlig förvaltningspolitik för 2020-talet. Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor. Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.

Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga. Tyvärr är det mycket som känns obehagligt välbekant. Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar. Vi kanske ödmjukt borde inse att informationssäkerhet alltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet. En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter. Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder. Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.

Givna frågor borde vara:

  1. Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
  2. Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet? Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
  3. Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt? Och kommer den även att fungera över tid, t.ex. när konsulten lämnat skeppet?
  4. Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?

Varför fungerar då så mycket av informationssäkerhetsarbetet så dåligt trots de avsevärda resurser som läggs på det från olika håll? Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna. NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet. Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag. Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande. Det som regleras är vad som ska göras men inte hur. Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen. Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?

NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om hur olika säkerhetsåtgärder ska utföras. Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva. Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.

Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd. Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.

Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade. Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen. Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.

Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet. Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar. Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.

Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet. Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter. Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder. I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg. Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.

En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs. att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare. I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet. Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).

Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet. Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas  i de olika aktiviteterna i processen. Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd. I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid. Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig. Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare. Och, observera, den normerande klassningen är bara ett stöd. Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.

Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.

Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet??? Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används. Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp. Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.

En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta. Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd. (Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).

Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det. Det är inte i mängden dokument säkerheten sitter.

När krisen kommer

Kriser har den fördelen att de oftast tar slut. Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden. Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst. Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i totalen skapar större ohälsa och död än själva viruset.

Däremot når nu MSB:s insatser en sådan nivå att de t.o.m. får vara med i satirinslaget Publik Service i P1, en ynnest som är få myndigheter förunnad. Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra inlägg och som nu även tagits upp i Ekot.

MSB har hintat om lanseringen av appen med en  näraliggande men okänd startpunkt. Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast  undflyende svar. Jag kan förstå det. Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst. Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen. Det är ju liksom ingen slump att eSam gjort ett uttalande om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.

Vid sidan om själva enkätappen är MSB:s kommunikation om den lika märklig. Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen. MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation. Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist. En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier. Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid. Detta leder inte till en större tillit i krisen.

Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade. Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex. gällande riskbedömningar. Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas. I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.  Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m. Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.

Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund. Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan. För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas. MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna. Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår. Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande. Har MSB lyckats knäcka den nöten så är det stora nyheter för både offentliga och privata organisationer. Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt)  och då vore det ju  bra om MSB gick ut och beskrev hur det egentligen ser ut.

Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster. Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhällets informationssäkerhetsarbete slarvar med säkerheten. Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför. MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.

MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ. Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser. När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press. Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke. Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.

Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet. Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer. Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet. Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.

Prick-till-prick-teckning på samhällsnivå

Jag läste en så fantastisk metafor i Jennifer Clements roman Gun love. Romanen handlar Pearl och hennes mamma Margot som bor i baksätet i en bil. Miljön är den där sortens misär som bara finns i USA med hemlösa människor som helt saknar riktning i sitt liv. Redan tidigt i boken finns följande passus:

Mamma och jag flyttade in i Mercuryn när hon var sjutton och jag var nyfödd. Så den bilen, som stod i utkanten av en trailerpark mitt i Florida, var det enda hem jag kände till. Livet var en prick-till-prick-teckning och vi bekymrade oss inte stort om framtiden.

Bilden av prick-till-prick-teckningen hakade fast i mig och jag fick en stark känsla av hur de här romanfigurerna levde sitt liv. Så är det ju ofta med god litteratur, den lever vidare inom en. Men hjärnan är en märklig sak och vips började jag associera metaforen med hur jag uppfattar digitalisering och informationssäkerhet på samhällsnivå, som prickar till synes utan samband. Finns det en dold teckning under prickarna så kan i alla fall inte jag se den.

Att jag började tänka på det berodde på den nya rapport som regeringens uppdrag tagits fram av sju myndigheter om säkert och effektivt informationsutbyte i offentlig förvaltning . Lustigt nog var varken MSB eller någon annan myndighet med säkerhetsprofil bland de sju myndigheterna trots att uppdraget rörde just säkert informationsutbyte. Detta var säkert en bakgrund till de slängar som slungades från MSB på sociala medier men efter en genomläsning av rapporten får det sägas att de avsnitt som skrivits om säkerhet knappast skrivits av någon med erfarenhet från detta område. Att Försäkringskassan är en av de myndigheter som ingått i arbetet med att ta fram rapporten känns aningen illavarslande när man läser budgetproppen där det står om Försäkringskassans allt större roll som intern it-leverantör i staten:

Säker och samordnad it-drift Försäkringskassan har påbörjat anslutning av sex myndigheter inom regeringsuppdraget att er- bjuda samordnad och säker statlig it-drift (Fi2017/03257/DF). Intresset är stort och flera statliga myndigheter har inlett dialog med Försäkringskassan med avsikt att ansluta sin it- drift.

Förhoppningsvis är det andra som ska stå för den leveransen än de som skrivit om säkerhet i rapporten.

Ändå är rapporten positiv i andra avseende, främst genom att man pratar om en gemensam digital infrastruktur. Detta är något jag försökt driva i olika sammanhang utan påtaglig effekt. Jag vill självklart inte framhäva min egen roll utan bara säga att detta är en inriktning som tidigare saknats på ett mer uttalat sätt och som jag tror i sig har en tydligt säkerhetshöjande effekt. Att notera detta positiva anslag känns viktigt även om den stora bilden av infrastrukturen inte kan anas och på sin höjd tre prickar sammanfogats.

Problemet är inte endast att det tycks sakna en ritning för utveckling av digitaliseringen utan även för samhällets informationssäkerhet. MSB:s handläggare (ja, jag vet att hen liksom många andra tjänstemän friskriver sig på sociala medier genom att hävda att de ”twittrar som privatperson” – ett oskick jag beskrivit här) ansåg att rapporten var ett ”hafsverk” och att rapportförfattarna inte tagit till sig MSB:s synpunkter. Nyfiken som jag efterfrågade jag då de diarieföra synpunkter som det hänvisades till och fick ut detta mail:MSB 2019-09569-1 Kommentarer på slutrapport Uppdrag om säkert och effektivt informationsutbyte

Det avslöjar inte mycket av ett eventuellt infrastrukturellt synsätt. Informationssäkerhetsområdet tycks alltså ha sin egen mycket ofullständiga prick-till-prick-teckning. Liksom arkivväsendet som även det har en stor betydelse för den offentliga informationshanteringen.

Sammantaget så är planeringen av vår gemensamma informationshanteringsinfrastruktur uppenbart fragmentiserad och där olika myndigheter ritar sina prickar oberoende av varandra trots att de åtminstone borde vara i samma teckning. I detta dystra scenario är det inspirerande att snegla österut. I Finland har nämligen antagits en ny lag med om informationshantering inom den offentliga förvaltning. I propositionen som låg till grund för lagen ges inriktningen:

Det är fråga om en allmän lag som ska reglera informationshanteringen inom den offentliga sektorn. Lagen avses gälla all informationshantering som sker inom myndigheternas verksamhet. Genom lagen säkerställs en enhetlig förvaltning och en informationssäker behandling av myndigheternas informationsmaterial i syfte att genomföra offentlighetsprincipen. Dessutom har lagen bestämmelser om elektronisk överföring av information mellan olika myndigheters informationssystem. Genom regleringen effektiveras myndigheternas informationshantering så att myndigheterna kan tillhandahålla förvaltningskunderna sina tjänster på ett kvalitativt sätt som är förenligt med god förvaltning och kan sköta sina uppgifter på ett resultatgivande sätt. Syftet med lagen är att främja också interoperabiliteten mellan informationssystemen och informationslagren.

Lagen träder i kraft vid årsskiftet och innebär också att en informationshanteringsnämnd ska säkerställa samordningen mellan informationshantering (inklusive arkiv), digitalisering och informationssäkerhet. I dagarna har även en ny cyberstrategi antagits.

För mig förefaller denna ordning mycket ändamålsenlig särskilt om det även blir ett gemensamt myndighetsansvar. I Sverige skulle det kunna kopieras så att DIGG får skärpa till sig och samtidigt överta ansvaret för samhällets informationssäkerhet och se till att det blir integrerat i hela digitaliseringensprocessen. De myndigheter som redan idag framför allt är intresserade av internationella antagonistiska hot och cyberkrig kan fortsätta med detta med gott samvete. På detta sätt skulle prickarna åtminstone fyllas i på samma teckning.

Jag vet att detta är en överdriven förenkling och att det inte går att dra snörräta linjer mellan olika säkerhetsområden men jag tror vi måste komma tillbaka till en situation där normallägets funktionalitet respekteras och där bygget av en gemensam infrastruktur kan ske med god säkerhet.

 

 

 

Är alltid vad far gör det rätta?

Vår ambivalens inför molntjänster är stor. Å ena sidan har vi risken att personuppgifter och annan känslig information kommer i orätta händer, å andra all den funktionalitet som vi så gärna vill ha. Dessutom måste det vägas in att molntjänster erbjuder många säkerhetsfördelar, inte minst för mindre organisationer. Vissa menar att vi står i ett vägskäl. Själv ser jag att många redan har gjort sitt val och tyckt att nyttan med molntjänster överstiger risken. Att många kommuner har gjort så är ingen hemlighet men jag blir ganska häpen när jag efter ett tips kollade upp Mitt försvarsmakten, en rekryteringstjänst för Försvarsmakten. Tipset var att denna tjänst ligger i Office 365, en molntjänst som driftas av Microsoft på Irland. För att få korrekt information skrev jag och frågade Försvarsmakten litet om detta.

Hej!

Jag har tre frågor om Mitt försvarsmakten:

  1. Om jag förstår det rätt ligger den här rekryteringssiten som  en molntjänst där informationen ligger på Irland?
  2. Använder siten Google Analytics?
  3. Har det gjorts en riskanalys/informationsklassning innan man valde det här sättet att hantera informationen?

Slutligen skulle jag vilja ut en lista över vilka personuppgifter som hanteras i Mitt försvarsmakten.

Tack för svar!

och fick då följande svar som jag publicerar in extenso:

Hej!

Se svar nedan på dina frågeställningar.

Mitt Försvarsmakten är byggt inom extern molntjänst (Microsoft Office 365). Försvarsmakten har ställt krav på informations- och IT-säkerhet och granskat den färdiga lösningen utifrån kraven med godkänt resultat. Inom ramen för utvecklingsarbetet har den militära underrättelse- och säkerhetstjänsten, MUST, löpande deltagit i granskningar av lösningen och har även godkänt lösningen inför driftsättningen. Försvarsmakten arbetar kontinuerligt med kontroll och förbättringar av informations- och IT-säkerheten i alla IT-tjänster inklusive denna. Försvarsmakten kommenterar inte i detalj hur säkerhetskraven är implementerade.

Personuppgifterna i Mitt Försvarsmakten behandlas med stöd av samtycke från den enskilde. Av samtycket framgår även att Microsoft behandlar personuppgifterna.

Försvarsmakten använder Google Analytics från Google som analysverktyg. Google Analytics använder cookies. Informationen som genereras av dessa (inklusive IP-adresser) kommer att vidarebefordras till och lagras av Google. Denna information används i syfte att utvärdera besöksstatistik. Google kan också överföra denna information till tredje parter om det krävs enligt lag eller i de fall en tredje part behandlar informationen för Googles räkning. Google kommer inte att koppla samman IP-adresser med annan data som Google innehar. Google Analytics anonymiserar den information som skickas till Google.

För personer utan registrerad användarprofil i Mitt Försvarsmakten som har registrerat sig för ett specifikt event behandlas endast uppgift om namn och e-postadress.

För personer med registrerad användarprofil i Mitt Försvarsmakten behandlas uppgifter om

Namn

Personnummer

Kontaktuppgifter (adress, telefonnummer och e-postadress)

Uppgift om kön

Uppgift om svenskt medborgarskap

Uppgift om nuvarande sysselsättning

Uppgift om nuvarande arbetsgivare

Uppgift om godkända betyg MA / SV / EN från gymnasiet

Uppgift om kondition och muskelstyrka

Intresse för Försvarsmakten

Medarbetarstatus, tidigare anställning inom FM

Har ansökt om Veterankort eller har Veterankort

Har sökt tjänst

Har sökt GMU

Har gjort rekryttest

Startat GMU/GU-F/GSU/Kombattantutbildning

Slutfört GMU/delkurs/GU-F

Tagit anställning inom FM

Avtal tecknat

Avtal tecknat den

Samtycker till lagring och bearbetning av information

Kandidaten vill avregistrera sig

Mvh Försvarsmakten

Det ska medges att jag ibland varit aningen tveksam till att det ofta framställs som att Försvarsmakten är säkerhetsexperterna även då det gäller det civila samhällets säkerhet. Men om vi acceptera premissen att Försvarsmakten är någon form av riktkarl för samhällets säkerhet blir detta svar intressant. Frågorna jag ställer mig är:

  1. Har Försvarsmakten gjort rätt riskbedömning när det valt den här lösningen eller har de liksom många andra fallit för frestelsen och sett all fördelar finns med molntjänsterna och låtit detta få överhanden?
  2. Om riskbedömningen är rimlig att hantera personuppgifter och andra uppgifter om exempelvis placeringar som annars uppfattas känsliga, dessutom i en omfattning som svindlar, i en molntjänst i det här sammanhanget – varför skulle det inte vara det i andra sammanhang som exempelvis i kommunal verksamhet?

Observera att jag inte har svaret på dessa frågor – jag bara funderar.

Om jag fick ställa några frågor

Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan. För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet. Rollen kräver ju en något mer nobel approach än den som småaktig bloggare. Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den. Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.

Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.

– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare. Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan. Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare. Själva vyn är osynlig genom dessa tunnlade perspektiv. När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.

I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet:

En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid. En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation. Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter. I detta ligger också omfattande utbildningsinsatser. I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer. För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet. Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning. Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk. Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.

Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet. Min fråga till statsrådet är därför var detta förslag hamnat. En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för offentliga och privata organisationer.

– Herr ordförande, två konkreta frågor angående molntjänster. I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet. Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö. Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster. Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd. En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna. Jag förstår problematiken när det gäller konkurrensfrågor m.m. men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet. Detta ställer ju  ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning. Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?

-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”. Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet. Säkerhet existerat alltid i en relation till andra värden. En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns. Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”. För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet. I digitaliseringssträvandena ligger önskan om effektivitet. Demokrati i den form vi känner den är ett centralt element insyn och delaktighet. Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter. Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.

– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige. En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer. Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter. Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer. Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga. Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området. Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog. Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism. Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier. För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.

– Herr ordförande, en sista fråga. I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram. Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser. Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet. Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer. Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?

Öppna frågor om cybersäkerhet

Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra veckan.  Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser. Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop. Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp. Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen. Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.

Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar. Först ministern, sedan myndighetscheferna i tur och ordning. Det mest förvånande är att absolut inget förvånande sägs. Det är exakt samma saker som sägs som har upprepats i 15-20 år. Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva. Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”. Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara. Axiom som att brister upptäcks när incidenter rapporteras ventileras.

Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser. Alltså i sak intet nytt. Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå. Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten. Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.

Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv. De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar. Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).

För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från SOU 2005:42 Säker information. Förslag till informationssäkerhetspolitik. För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”. Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan. Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet. Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.

  1. Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
  2. Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
  3. Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet. X konstaterar också att staten behöver egen och unik kompetens. Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
  4. Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel. I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
  5. Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.

 

 

Vad betyder egentligen cybersäkerhet?

En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation. Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt. Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.

Ett begrepp som gjort en raketkarriär är cyber. Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf:

I många sammanhang, även från regeringen, lyfts betydelsen av s.k. cybersäkerhet fram som en central fråga för det svenska samhället. Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett anförande men då krävdes det också stycken som det här för att lyckas:

Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet. Den trenden har varit tydlig under en tid. Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen. Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser. Vi kan se att ett flertal länder i världen har gjort just det. Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.

Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m. det korta citatet ovan. Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken. Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.

I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras:

Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information. Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen. Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt. Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder. För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet. I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext.

Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”. Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.

För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.

Hej!

Begreppet ”cyber” används flitigt för tillfället. Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.

Samma dag fick jag svar från Försvarsmakten med en hel ordlista (Begrepp med definitioner för cyber) med sammansättningar med ”cyber”, däribland cybersäkerhet:

Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.

En stor eloge till FM för denna goda service! Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem. Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är:

Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information. Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.

Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.

Från SÄPO kom efter en knapp vecka det något förvånande svaret:

Hej,

Säkerhetspolisen har ingen egen definition av begreppet cyber. Det är inte ett begrepp som används primärt i vår verksamhet.

 

Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats,  i olika rapporter  och utåtriktad verksamhet som här och här för  att bara ta ett par exempel.

Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad:

Hej!

Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”. Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse:

  1. Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr. 2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”. För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedriva informationssäkerhetsarbete på organisatorisk nivå, främst för information som hanteras digitalt.
  2. Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
  3. I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.

MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a. SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet. MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet. De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a. från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato. Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k. cybersäkerhetsakten, COM(2017) 477 final).

Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi. Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna. Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig):

bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden

Cyberrymden;telerymden har i sin tur definitionen:

abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig

Med den förtydligande kommentaren:

Cyberrymden innefattar all kommunikation via internet samt telekommunikation. Cyberattacker sker per definition via cyberrymden. En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.

Jag är inte alldeles säker på att jag förstår vad detta exakt betyder. Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet:

Varje dag utsätts svenska myndigheter och företag för cyberattacker. Detta har bidragit till att bl.a. frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher. Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild. Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.

Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.

Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande. Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .

Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.). I en lustig cirkelrörelse hänvisar man i  en fotnot till  SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40:

En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”. På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår. I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur. Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva. Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang. Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk. Därmed har cybersäkerhet en större internationell räckvidd med t.ex. folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet. Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering. Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella organ.

Detta är ju ett  märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!). Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.

Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.

Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret. Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot. I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.

Är denna otydlighet då egentligen ett problem? Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst? Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning. Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare). Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet. Betänk språklagens krav på myndigheterna:

Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.

Att svära i kyrkan

I mina funderingar om en tänkbar nationell styrmodell för informationssäkerhet slås jag av vilket i mitt tycke oproportionerligt intresse incidentrapportering fått som säkerhetsåtgärd.

För att ge en snabb bild av nuläget så har MSB sedan snart två år en särskild föreskrift angående obligatorisk it-incidentrapportering för statliga myndigheter. Till detta kommer dataskyddsförordningens krav och förslaget på NIS-direktivets tillämpning i Sverige som båda framför starka krav på incidentrapportering. Dataskyddsförordningen kommer att träda i kraft i maj 2018, samma månad som även utredningens förslag rörande NIS-direktivet sannolikt kommer att sjösättas.

MSB:s incidentrapportering är alltså inriktad enbart på statliga myndigheter och gäller uttryckligen endast it-incidenter. MSB:s definition handlar inte om störning på verksamhetens processer utan vilken typ av, framförallt teknisk, orsak som lett till störningen samt i vissa fall konsekvenser för informationshantering:

  1. störning i mjuk- eller hårdvara,

  2. störning i driftmiljö,

  3. informationsförlust eller informationsläckage,

  4. informationsförvanskning,

  5. hindrad tillgång till information,

  6. säkerhetsbrist i en produkt,

  7. angrepp,

  8. handhavandefel

  9. oönskad eller oplanerad störning i kritisk infrastruktur, eller

  10. annan plötslig oförutsedd händelse som lett till skada (3 §).

Det är alltså ett tämligen icke-stringent incidentbegrepp (lägg märke till att begreppet ”plötslig” överraskande kommer in under punkt 10) som används. Att notera är också att bristande spårbarhet inte nämns som en incidenttyp.

Dataskyddsförordningen, som i princip kommer att gälla i alla offentliga och privata organisationer som hanterar personuppgifter, har ett incidentbegrepp som är helt inriktat på personuppgifter:

personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

Det är framför allt obehörig åtkomst (konfidentialitet) men även förlust eller förvanskning (riktighet) av personuppgifter som ska ses som incidenter i detta perspektiv. Det bör dock understrykas att för att kunna efterleva dataskyddsförordningens övriga krav är både positiv och negativ spårbarhet en central faktor. Däremot kan en personuppgiftsincident lika gärna ske i icke-digitala som digitala medier – det är alltså inte enbart it-incidenter som är aktuella (vilket särskilt bör beaktas med tanke på att den s.k. missbruksregeln i PuL försvinner).

I författningsförslaget gällande NIS-direktivet slutligen är definitionen av incident:

incident: en händelse med en faktisk negativ inverkan på säkerheten i nätverk eller informationssystem

Precis som i MSB:s och Dataskyddsförordningens definitioner lyser verksamhetspåverkan med sin frånvaro, det är nätverken och informationssystemen som är objektet för regleringen som gäller både offentliga och privata aktörer i följande samhällsviktiga branscher:

  • Energi (elektricitet, olja, gas)
  • Transporter (lufttransporter, järnvägstransporter, sjöfart, vägtransport)
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård (hälso- och sjukvårdsmiljöer [inklusive sjukhus och privata kliniker])
  • Leverans och distribution av dricksvatten
  • Digital infrastruktur

En självklar fråga är om den bristande samordning som av de tre olika regleringarna är acceptabel. Det förefaller inte finnas några planer för att förenkla för de som kommer att behöva rapportera samma incident i två eller i värsta fall tre olika stuprör. Gissningsvis måste MSB:s befintliga inrapportering och den som följer av NIS samordnas eftersom de båda ska ske i MSB:s regi men då kvarstår ändå personuppgiftsincidenterna. Och i författningsförslaget för NIS-direktivet finns det en antydan om att är bra om tillsynsmyndigheterna samarbetar:

med Datainspektionen när den handlägger incidenter som medfört personuppgiftsincidenter och innan ett åtgärdsföreläggande meddelas,

så det finns kanske hopp om en praktisk samverkan.

Jag ska inte fördjupa mig ytterligare i samordningsproblemen även om de är nog så intressanta för alla som kommer att drabbas av dem. Istället tänker jag svära litet i den nationella säkerhetskyrkan och ifrågasätta om det verkligen är rimligt att satsa så mycket intresse och resurser på just incidentrapportering. Man kan göra den inte helt rimliga analogin till en enskild organisation som ska förbättra sin informationssäkerhet och då satsar större delen av sitt krut på incidentrapportering – skulle vi då tycka att det är en ändamålsenlig satsning? Den kritiske kan här invända att författningsförslaget för informationssäkerhet i samhällsviktiga och digitala tjänster innehåller litet vaga krav på säkerhetsåtgärder:

14 § Leverantörer av digitala tjänster ska utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster inom unionen. Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning och 5. efterlevnad av internationella standarder.

Samt även ett system för tillsyn med ett antal tillsynsmyndigheter (varav ett par redan tackat nej till uppdraget i sina remissvar). Huvudpunkten är ändå incidentrapportering vill jag hävda. Är detta då den mest effektiva åtgärden för att förbättra säkerheten?

Låt oss då först titta på syftet med incidentrapportering. I en organisation är incidentrapportering inte en lösryckt aktivitet utan del i en incidenthantering där den fyller flera olika syften:

  • Initiera akut felavhjälpning
  • Inleda återställelsearbete (kontinuitetshantering)
  • Ge underlag för långsiktig förbättring
  • Rapportering internt och externt
  • Indirekt: försörja riskanalys och informationssäkerhetsarbetet i stort

Behovet av informationskvalitet i rapporteringen är olika för de olika syftena. För att inleda akut felavhjälpning krävs mycket snabb kommunikation, däremot kan inte den som anmäler felet förväntas kunna redogöra för orsaken. För att inleda kontinuitetshanteringen måste en koppling kunna göras mellan de drabbade informationsbärarna och verksamhetsprocesser för att rätt prioriteringar av återställelse respektive reservrutiner ska kunna göras. Underlaget för långsiktig förbättring måste vara av mer analytisk karaktär men också bygga på en konsistent tillämpning av begrepp för att mönsterigenkänning ska kunna göras. Kravet på god informationskvalitet gäller även för rapportering, riskanalysen och för informationssäkerhetsarbetet i mer vida termer.

Hur har man då resonerat i dessa frågor när det gäller den nationella rapporteringen. Inte alls vad jag kan se, det är till och med svårt att utläsa vad syftet med den befintliga incidentrapporteringen egentligen är även om den dåvarande inrikesministern Ygeman 2015 så följande då beslutet att införa rapporteringen togs:

Syftet med ett sådant system är att möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning. Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre. Sådana it-incidenter kan röra exempelvis störningar i mjukvara, hårdvara eller driftmiljö eller förlust av data i olika sammanhang. It-incidenter kan orsakas av bland annat externa attacker, säkerhetsbrister i it-produkter eller felaktigt handhavande.

Det är alltså inte incidenthantering som eftersträvas utan ”en förbättrad lägesbild”. För mig förefaller det torftigt att ha en lägesbild som består av tekniska incidentbeskrivningar men jag tror också att inrapporteringsmoralen påverkas i starkt negativ riktning med tanke på att den svaga möjligheten till payoff eftersom det inte handlar om incidenthantering. Egentligen inte ens om rapportering utan endast om incidentanmälan eftersom meddelande om att något hänt ska ske innan någon djupare analys har hunnit ske. Samma oklarhet gäller även rapporteringen av personuppgiftsincidenter och rapportering enligt NIS-direktivet – det enda som kan hända är att man får ett besök av tillsynsmyndigheten för att uttrycka sig raljant. Att både MSB och Datainspektionen hävdar att det finns ett starkt behov av att sekretessbelägga rapporteringen gör att den lägesbild som uppges vara huvudsyftet för åtminstone MSB kommer att vara tillgänglig i mycket begränsade kretsar. Erafarenhetsåtervinningen på nationell nivå är därmed inget som kan locka fler att rapportera.

Att det sannolikt kommer att saknas ett starkt driv att rapportera incidenter påverkar kvaliteten i lägesbilden. Ytterligare en aspekt som påverkar kvaliteten är den svaga begreppsmodelleringen av vad som ska inrapporteras samt att det saknas kriterier för verksamhetspåverkan i rapporteringen. Här hade stora lärdomar kunnat hämtas från exempelvis smittskyddsområdet och överhuvudtaget från ett mer vetenskapligt förhållningssätt. Att resonemang i denna riktning helt saknas både i dataskyddsförordning och i NIS-direktivet talar för sig själv.

Att incidentrapporteringen ändå fått ett så stort genomslag som universalmedel beror förmodligen på att den har en USP. Det går nämligen att förklara vad incidentrapportering är för politiker och andra makthavare medan många andra säkerhetsåtgärder på systemnivå kräver betydligt mer i pedagogik. Incidenter kan också kopplas till mer actioninriktad kommunikation som kan leda fram till snabba beslut än en diskussion om hur informationssäkerhet ska bli en normal del av förvaltningen. Men, som alla vet, är det inte alltid det som är lätt att sälja som är det vi bäst behöver.

Sammantaget tror jag följande. Den nationella incidentrapporteringen kommer inte att ge de enskilda organisationerna något stöd i det egna informationssäkerhetsarbetet och kvaliteten i de rapporter som faktiskt sker kommer att vara låg. Den gemensamma lägesbilden som summa kommer inte ha högre kvalitet än de ingående delarna och kommer därför att ha ett värde som inte är i paritet med fokus och de resurser som läggs på incidentrapporteringen. Vore det då inte bättre att försöka göra en något djupare analys och försöka reda ut vilka åtgärder som skulle ha en reellt säkerhetshöjande effekt på nationell nivå? Eller åtminstone sätta in incidentrapporteringen i ett sammanhang som redovisas och som kan vara del av en större styrmodell?

 

 

En nationell styrmodell del 1

De senaste månaderna har det knappt gått en dag utan att informations- och it-säkerhet utgör en del av medias huvudnyheter. Det känns litet ovant att helt plötsligt arbeta med ett hett ämne men mediabevakningen ger också en insikt om hur området ser ut utifrån. En inte helt uppbygglig syn: det finns stora problem som varit kända sedan länge och som det satsas omfattande resurser på för att lösa men där det råder förvirring i hur de aktörer som arbetar med frågan ska koordinera sig. Vanligt förekommande reportage är en myndighetsrepresentant som presenterar hotbilder med tillägget att den egna myndigheten har förslag på lösningar som går att fixa bara man får mer pengar. En trött metafor är klassfotboll där alla sjuåringar springer på bollen samtidigt, i mitt huvud har istället titeln på en pjäs av Pirandello dykt upp: Sex roller söker en författare. Det behövs helt uppenbart ett gemensamt manus för samhällets aktörer.

Efter några inlägg av ständigt gnäll är det dags att skriva litet mer om vad som kan göras. Då menar jag inte för den enskilda organisationen utan litet mer pretentiöst på den nationella nivån.  I några inlägg ska jag resonera om den nationella styrmodell för informationssäkerhet som den enhet jag ledde på MSB började arbeta med, ett arbete som dess värre aldrig hann fullföljas. Inläggen kommer att i huvudsak utgå från offentlig sektors behov men eftersom det finns ett stort antal privata aktörer som deltar i leveransen av det gemensamma åtagandet är det inte ett helt konsekvent perspektiv.

Utgångspunkten är att trots avsevärda insatser tycks inte informationssäkerheten förbättras nämnvärt i förhållandet till den digitala utvecklingen. Gapet mellan den verkliga säkerhetsnivån och den önskvärda ständiga ökas istället för att slutas. Eftersom bilden är genomgående och den samma oavsett om det är myndigheter, landsting eller kommuner vi pratar om får det ses som ett strukturproblem som sannolikt inte går att avhjälpa i den enskilda organisationen utan kräver en gemensam styrning. Och även om det förekommit mycket fnysande kommentarer efter både skandalen vid Transportstyrelsen och nu senast om polis-debaclet av typen ”hur svårt kan det vara?” så är nog min uppfattning att det inte så himla enkelt att göra rätt som vissa vill hävda. Orsaken är både bristen på samordning och en attityd hos de myndigheter som ska ge stöd som inte skulle ge full poäng i en kundnöjdhetsundersökning.

En annan premiss är att informationssäkerhet inte är en fråga. Även om vi bortser från det semantiska kaos som rått i den senaste tidens mediabevakning där begreppen informations-, it- och cybersäkerhet flugit som konfetti i luften återstår ett behov av att se olika dimensioner. En grundläggande skillnad ligger i å ena sidan verksamhetens eget behov och å andra sidan statens krav på verksamheten. Statens krav är sig mångtydiga från att skydda rikets säkerhet till att se till samhällets funktionalitet vilket inte är riktigt samma sak och dessutom tillkommer all upptänklig lagstiftning som innebär implicita krav på säkerhet. Informationssäkerhet kan rimligen ses som en metodlåda som kan och ska användas i olika syften som är delvis motstridiga. För att ta ett aktuellt exempel fick i dagarna FRA och MUST förstärkning med närmare en halv miljard för att åtgärder inom informations- och cybersäkerhetsområdet. I kommentarer framgår det att avsikten är att utöka övervakningen med bland annat ytterligare sensorsystem. Samtidigt ställer dataskyddsförordningen krav på stärkt personlig integritet vilket föranleder ett antal informationssäkerhetsåtgärder. Att säga att ökad trafikövervakning inte direkt gynnar den personliga integriteten är väl inte att ta till överord. Och så har vi NIS-direktivet som ska införas och som inte heller har mycket att komma med i det hänseendet mer än detta:

Paragrafen genomför artikel 14.1–2 i NIS-direktivet. Valet av säkerhetsåtgärder enligt 11 och 12 §§ ska grunda sig på en riskanalys. Analysen ska kunna användas som beslutsstöd för leverantörens prioriteringar och avvägningar mellan olika typer av säkerhetsåtgärder i förhållande till tjänstens funktionalitet, finansiella och administrativa konsekvenser samt skyddet för den personliga integriteten.

Medan OECD tycker det är integritetsfrågorna är livsviktiga för den digitala ekonomin och att integritet och informationssäkerhet tillsammans måste tjäna som en plattform för diverse positiva utvecklingsfaktorer.

Security and privacy are essential for the digital economy to continue to serve as a platform for innovation, new sources of economic growth and social development. The OECD focuses on the development of better policies to ensure that security and privacy foster economic and social prosperity in an open and interconnected digital world.

Informationssäkerhet är alltså en mädchen für alles från totalförsvaret till den enskildes säkerhet vid e-handel. Många organisationer får därför hantera en mycket komplex kravbild på informationssäkerhet som idag inte är samordnad. En styrmodell för informationssäkerhet skulle fylla en väsentlig funktion genom att integrera mångfalden av delvis motstridiga krav till en helhet. Om detta inte sker på nationell nivå tvingas varje enskild organisation försöka lösa samma frågor med varierande resultat. Förutom ett gigantiskt resursslöseri leder det också till försämrad förmåga att samverka i den gemensamma informationshantering som idag redan är uppbyggd samt till kvalitetsproblem. Som så ofta vill jag här peka på kommunernas prekära situation när de med små organisationer ändå förväntas klara detta.

Utanför själva styrmodellen ligger en avgörande förutsättning: den offentliga sektorns användning av olika typer av it-resurser. Informationssäkerheten måste vara utformad så den svarar på de behov som användningen av it skapar. De säkerhetsåtgärder som behövs är av helt olika typ beroende på om den strategiska inriktningen är att man ska fortsätta på den väg mot ”cloud first” som tidigare beslutats eller om det ska ske en återgång mot mer drift och förvaltning i egen regi. Detta påverka även faktorer som långsiktiga behov av investeringar i teknik och kompetensförsörjning. Men inte bara de explicita målen för it-politiken spelar roll. Att it-politik idag fortfarande, liksom under Alliansens regeringstid, ligger kvar som en näringspolitisk fråga ger en väsentlig förklaring till avsaknaden av tydlig inriktning för offentlig sektors digitalisering. Detta är inte bara ett signalvärde utan gör att digitaliseringen ligger utanför den övriga förvaltningspolitiken. Mycket påtagligt präglar det den lätt förvirrade strategin för digitalisering.

Ryggmärgsreflexen för många i säkerhetsbranschen när man talar om styrning är ”reglering”, ett kvardröjande arv från den militär-polisiära bakgrunden. Jag tror dock att det finns stora fördelar i att försöka se på styrningen av informationssäkerhet som på styrningen av övriga områden inom staten och den offentliga sektorn. Att begrunda hur den svenska förvaltningsstyrningen generellt är tänkt att fungera är ett fruktbart spår där lärdomar kan dras till exempel från ESV:s breda uppdrag. Personligen menar jag att den inom informationssäkerhetsområdet kanske mest underutnyttjade men samtidigt mest effektiva styrformen är kunskapsstyrning.
Styrningen kan inte heller ske enbart från de myndigheter ”med särskilda uppgifter inom området informationssäkerhet”. En stor del av kraven på informationssäkerhetsåtgärder genereras från annat håll och då inte enbart från dataskyddsförordningen utan en mängd lagar, avtal och överenskommelser. Min tolkning är att den förändrade kravbilden också kommer att förskjuta styrningen mot mer proaktivitet än den i huvudsak reaktiva inriktning som hittills varit rådande där insatser som tillsyn och incidentrapportering varit prioriterade.

Som den löshäst jag numera är, utan de förpliktigande hämskor som tyvärr vidlåder den statlige tjänstepersonen idag, tänkte jag unna mig att fritt spekulera i några inlägg om förutsättningarna för en nationell styrmodell och hur den skulle kunna se ut. Inledningsvis ska jag uppmärksamma olika aktörer inom informationssäkerhetsområdet, vad de erbjuder idag samt (något förmätet) försöka bedöma en eventuell utvecklingspotential.