Regeringen måste ha en egen idé om framtidens IT

Eftersom vissa inte kunna läsa den debattartikel som publicerades 4 augusti i SvD eftersom den är låst bakom en betalvägg lägger jag ut texten här.

Det finns flera intressekonflikter när det gäller informationssäkerhet. Så länge ­regeringen är otydlig med vad som ska prioriteras, kan inte myndigheter på egen hand förväntas klara avvägningarna. Det skriver säkerhetsexperten Fia Ewald

Nu pågår en omfattande diskussion rörande Transportsstyrelsens skandal. Den diskussion som förts efter att händelsen blivit känd har kommit att handla om allt möjligt som informationssäkerheten generellt, statliga moln med mera vilket händelsen på Transportsstyrelsen inte egentligen har någon bäring på.

Jag ser istället händelsen som ett symptom på regeringens otydlighet i it-politiken där man inte lyckas skapa en strategisk inriktning som både omfattar ­effektivitet och säkerhet. Detta skapar en kognitiv dissonans* i styrningen som jag menar är den egentliga förklaringen till varför i övrigt kompetenta och förnuftiga generaldirektörer ger sig in i huvudlösa upphandlingar av it-relaterade tjänster.

Informationshantering på samhällsnivå innebär ett antal intressekonflikter; stat kontra ­individ, slutenhet kontra öppenhet, integritet kontra övervakning och så vidare. Den i det här mest intressanta är konflikten effektivitet/ekonomi/verksamhetsnytta och ”säkerhet”. Motsägelsefullheten uppstår när intressekonflikten negligeras eller i vissa fall till och med skapas. I nuläget har regeringen å ena sidan formulerat ett antal förslag rörande att informationssäkerhet och säkerhetsskydd ska stärkas och å andra sidan imperativa budskap om ökad användning av molntjänster och om att bli världsbäst på e-förvaltning kompletterat med önskemål om att statens it-kostnader generellt bör sänkas. Till detta kommer förslaget till ny säkerhetsskyddslag som är mycket otydligt om vad som egentligen ska räknas som inverkande på rikets säkerhet.

Dessa olika intressen går inte att förena fullt ut, det vill säga staten kan inte alltid välja cloud first lika litet som dåligt avvägd säkerhet kan få förhindra verksamhet att fungera på ett effektivt och någorlunda ekonomiskt försvarbart sätt. Min uppfattning är att så länge de här intressekonflikterna inte lyfts fram, diskuteras och blir föremål för en gemensam avvägning på nationell nivå kommer myndighetsledningar att vara utsatta för motstridiga signaler där det är omöjligt att avgöra hur den egna it-verksamheten ska utformas så att den tillgodoser samtliga intressen.

I år har regeringen presenterat både en ­cyber- och informationssäkerhetsstrategi och en digitaliseringsstrategi. Ingen av dessa strategier ger såvitt jag kan se något stöd för myndigheter i hur de ska möta framtiden och hur de ska hantera de olika intressekonflikter som finns. Jag menar att dessa strategier bör få sjunka in i glömskan och ersättas av en ­offentlig it-strategi där olika intressen sammanvägs på ett strukturerat sätt.

För att kunna ta fram en fungerande strategi krävs dock en helt annan nivå på utredandet än hittills och också att man försöker hitta fungerande lösningar för framtiden och inte ägnar sig åt att lösa gårdagens frågor. Det kan visserligen finnas skäl att skapa en statlig molntjänst för lagring och att säkra upp ­datorhallar där så kallad säkerhetskänslig statlig information hanteras. Detta är dock bara dellösningar. Verkligheten idag är att alltmer offentlig information hanteras i molntjänster och dessa molntjänster erbjuder inte bara lagring utan funktionalitet som inte går att erbjuda på annat sätt. När det sägs att outsourcing/molntjänster används av ekonomiska skäl är detta en sanning med stor modifikation – de används snarare i allt högre grad för att uppnå verksamhetsnytta. Dessutom kan molntjänster, rätt upphandlade och med rätt beställarkompetens, innebära en klart förbättrad säkerhet för många verksamheter.

Medan det stormar vidare på regeringsnivå hoppas jag att pendeln inte slår över för långt, att vettskrämda politiker och generaldirektörer uppfattar outsourcing i sig som problemet och fattar beslut som leder till att vi börjar backa in i framtiden. Jag är övertygad om att outsourcing och framför allt molntjänster kommer att öka i betydelse – detta är en verklighet med en mix av egna och köpta lösningar som vi måste lära oss hantera. Det går inte heller att fokusera enbart på statlig it-verksamhet. En övervägande del av samhällsviktig verksamhet ombesörjs av landsting, kommuner och privata aktörer. Informationsflödena sker också mellan alla dessa aktörer i alltmer gemensamma infrastrukturer. Om god informationssäkerhet ska uppnås på samhällsnivå måste dessa olika aktörer samverka och utgå från samma strategiska inriktning.

I ett samhälles it-strategi måste ett vägval göras: Om det är regeringens uppfattning att det är så stora risker att använda kommersiella molntjänster att merparten av offentlig information måste hanteras i lokaler, utrustning, applikationer och tjänster som ägs av myndigheter – då måste det formuleras. Det andra alternativet är att dagens mixade verklighet ska utvecklas.

Oavsett vilket val som görs måste det finnas resurser och kompetens att hantera det valda alternativet. Detta gäller inte minst informationssäkerheten där ett säkerhetsskydd av flera anledningar inte kan utgöra svaret. ­Säkerhetsskydd bör sparas som den yttersta åtgärden för att skydda rikets säkerhet. En ­vidare tillämpning leder bland annat till ­oacceptabla inskränkningar i medborgerliga rättigheter samtidigt som säkerhetsåtgärderna som ingår i säkerhetsskyddet inte svarar mot de krav på tillgänglighet och skydd av personlig integritet som ställs inom samhällsviktig verksamhet.

Tyvärr förefaller många av förslagen som framförts hittills illa genomtänkta, såsom det ofta blir när man reagerar på en akut situation och en specifik händelse. Förhoppningsvis leder inte dessa förslag till snabba åtgärder – istället behövs ett mer analytiskt skede där en helhetsbild av den nuvarande röriga argumentationen sorteras upp. Vi bör också komma överens om att det inte finns en typ av säkerhet eller en lösning. Istället måste vi inse att ”säkerhet” är ett paraplybegrepp där många intressen måste leda fram till en mängd olika lösningar som tillsammans kan leda till ett säkrare samhälle.

För mig förefaller inte lösningarna ligga främst i att styra placeringen av utrustningen utan att på olika sätt styra informationshanteringen genom avtal, tydligt ansvar, upphandlingskompetens, organisation, mjuka tekniska lösningar och kunskap. Men den viktigaste insikten är att så länge inte regeringen ger en inriktning om hur intressekonflikterna ska hanteras kan inte myndigheterna förväntas göra det.

 

Pendelrörelser

En standardscen ur mitt arbetsliv 2010-2015: ett möte angående e-förvaltning, e-hälsa eller liknande på nationell nivå. Jag sträcker upp handen och säger något i stil med ”vi måste få in informationssäkerhet”, ”riskanalys, informationsklassning, kravställning, ansvarsfördelning”, ”den personliga integriteten är en viktig säkerhetsdimension”. Mina inlägg möts som alltid antingen med invändningar med innebörden att säkerhet motverkar verksamhetens syfte eller, i de flesta fallen, tystnad. Efter något år sa jag, aningen ironiskt, ”ni vet vad jag kommer att säga och nu säger jag det så kan ni gå vidare”. På andra möten med myndigheter med så kallat särskilt ansvar för informationssäkerhet mötte jag samma oförstående reaktioner inför de verksamhetskrav som finns bland annat inom hälso- och sjukvård. Jag kände mig som ett växelrelä mellan två världar med begränsad förståelse för varandras förutsättningar med mantrat: effektivitet och säkerhet, säkerhet och effektivitet.

Händelserna på Transportstyrelsen belyser med neon de negativa konsekvenserna av oförmågan att styra den digitala utvecklingen på ett sammanhållet sätt. Jag tänker här inte den kommentera de politiska förvecklingarna även om de är dramatiska utan istället resonera om några av de förslag som framförts på lösningar för att förhindra liknande händelser. Min huvudtes är att förslagen lider av att det saknas en tydlig problemformulering – vad är det egentligen lösningarna avhjälpa?

Säkerhetsskydd och informationssäkerhet

Det som väckt mest intresse är att det i Transportstyrelsens outsourcing ingått information som faller under säkerhetsskyddslagen. Detta är naturligtvis helt huvudlöst och jag är fortfarande förvånad över att SÄPO inte lyckades förhindra det. Att det ingått hemlig information har dock gett hela den efterföljande diskussionen en olycklig slagsida mot att all outsourcing av myndigheters informationshantering är ett säkerhetsproblem (vilket också är rätt konstigt med tanke på att privata leverantörer står för rätt stor av bland annat utrustning, fordon, konsulter o.s.v. inom t.ex. Försvarsmakten). Så är inte fallet menar jag – rätt genomförd kan outsourcing och användande av molntjänster ha en säkerhetshöjande effekt för många myndigheter. Många myndigheter har problem med att få tillräckliga resurser och kompetens för att kunna upprätthålla en rimlig it-säkerhet och då har vi ändå inte talat om kommuner och landsting. Det är också något lätt verklighetsfrämmande i att hävda det skulle vara möjligt att backa bandet och hämta tillbaka all information som idag hanteras i molntjänster som är den alltmer dominerande formen av outsourcing. Skämtsamt brukade jag redan på andra sidan decennieskiftet hävda att det förvarades mer allmänna handlingar på Projektplatsen än i Riksarkivet. Idag kan myndigheter upphandla sina kontorstjänster i form av molntjänster via Kammarkollegiet vilket också allt fler gör. Kommunal verksamhet liksom hälso- och sjukvård byggs i snabb takt på allt fler molntjänster och inte bara för traditionella it-tjänster utan även för telefoni, välfärdsteknologi o.s.v.. Vad som förbigås i den nu pågående diskussionen är att molntjänsterna inte handlar om lagring av information utan de allt oftare ersätter verksamhetssystemen. De ger också helt nya integrationsmöjligheter mellan funktioner som tidigare varit inlåsta i olika system. Min inte helt originella prognos är att ”system” på det sätt vi tänker idag inom 10 år är döda och har ersatts funktionalitet som hämtas från olika tekniska lösningar som interagerar via internet. Det leder också till att den traditionella outsourcingen som nu ägnas ett så stort intresse också kommer att få en klart minskad betydelse.

Jag som ägnat mycket tid åt att skriva om teknikskiftet inom massaindustrin på 1800-talet känner igen ett teknikskifte när jag ser ett. Historien visar ganska entydigt på att båtar föga att försöka gå emot ett sådant – det är snabb anpassning till nya förutsättningar som är den viktiga framgångsfaktorn i en sådan situation. Det gäller även för informationssäkerhetsområdet menar jag.

Om att vi nu, vilket vissa tycks mena och den förslaget till säkerhetsskyddslag antyder, skulle inkludera samhällsviktig verksamhet i det som ska falla under säkerhetsskyddslagen – vad blir konsekvenserna? Det skulle visserligen kunna förhindra outsourcing i många fall men det skulle också ett antal andra negativa konsekvenser. Den gällande säkerhetsskyddslagen gäller skyddet av information som kan påverka rikets säkerhet om den blir röjd för obehöriga. Detta är tydligt avgränsade informationsmängder som ska vara identifierade och kända för organisationen som hanterar dem. Skyddsåtgärder av både organisatoriskt och teknisk karaktär finns beskrivna och ska tillämpas oavsett kostnad eller organisationens krav på effektivitet. Det är alltså ett binärt förhållande som inte är riskbaserat – en organisations ledning har egentligen ingen egen möjlighet att påverka hanteringen och äger inte risken. Detta är motsatsen till ett systematiskt informationssäkerhetsarbete som bygger på att ledningen ska styra säkerheten genom att väga säkerhetsåtgärder i förhållande till risker för verksamheten. I det systematiska informationssäkerhetsarbetet är ekonomiska avväganden en naturlig del.

Säkerhetsskyddet utgör inte ett skydd för något annat än rikets säkerhet i bemärkelsen röjande av hemlig information för obehöriga. De säkerhetsåtgärder som stipuleras är inriktade på konfidentialitetsaspekten och till viss del på någon slags robusthet. Om man ser på samhällsviktig verksamhet så är kravbilden helt annorlunda med exempelvis höga krav på tillgänglighet, spårbarhet och riktighet. I den allmänna röran har även uppgifter om skyddade personuppgifter, skydd för den personliga integriteten och säkerhetsskydd förekommit i samma andetag. Det är då viktigt att förstå att säkerhetsskyddet inte avser skydd för den personliga integriteten.

För mig förefaller det märkligt att det finns en önskan om att devalvera betydelsen av rikets säkerhet. Som SÄPO påpekar i sin vägledning angående säkerhetsskydd finns det ingen legal definition av ”rikets säkerhet” men det får ändå sägas att det får vara rätt rejäla saker för att uppfylla kraven:

Någon legaldefinition av begreppet rikets säkerhet finns inte. Rikets säkerhet kan dock sägas avse såväl den yttre säkerheten för det nationella oberoendet som den inre säkerheten för det demokratiska statsskicket.

Det är alltså det nationella oberoendet respektive det demokratiska statsskicket som är det egentliga skyddsobjektet. Merparten av samhällsviktig verksamhet kan knappast sägas nå upp till den nivån mer än i enskildheter. Däremot har man mycket stora behov av informationssäkerhet men det är en annan fråga. Jag menar att säkerhetsåtgärderna på den yttersta nivån som säkerhetsskyddet innebär måste sparas till det syfte som de är avsedda för i annat fall kommer säkerhetsskyddet i sin helhet att urholkas. Det är en generell erfarenhet att säkerhetsåtgärder som inte kan motiveras löper en stor risk att kringgås och då får man en situation med en fiktiv säkerhet vilket kanske är den mest svårhanterliga situationen av alla.

Låt oss ändå leka med tanken att säkerhetsskyddsåtgärder börjar tillämpas i en vidare omfattning, typ för information som är ”känslig” eller samhällsviktig. Det skulle ju i så fall inte bara påverka outsourcing utan även myndigheternas interna verksamhet. Yippie – bort med de kreativa flexikontoren! Men också bort med de smidiga molntjänsterna och de resefria mötena. Och hur vård och omsorg ska klara sig är en gåta, ska varje enstaka server i den nationella infrastrukturen utformas som enligt SÄPO:s krav, ska all vårdpersonal klassas? Bäva månde de redan hårt prövade patienterna.

Önskan att vilja utvidga säkerhetsskyddet så att det även ska kunna tillämpas för att skydda det som ligger utanför det som definieras som rikets säkerhet är förståelig. Har man en hammare så ser allt ut som spikar eller hur det nu brukar heta. I ny situation griper man ofta efter det man har till hands och just nu verkar tanken på ett utvidgat säkerhetsskydd vara en tröst för många. Jag menar att detta är en lösning som är en tankevurpa vilket jag skrivit ett längre blogginlägg om apropå förslaget till nu säkerhetsskyddslag . Istället bör det upprätthållas en distinkt gräns mellan säkerhetsskydd och systematiskt informationssäkerhetsarbete med verksamhetsinriktning. Likaså bör en tydlig linje gå mellan säkerhetsskydd och samhällsviktig verksamhet.

I detta fall borde problemformuleringen vara: vi har ett stort antal offentliga och privata verksamheter som har ett stort behov av att förbättra sin informationssäkerhet. Vissa av verksamheterna, exempelvis inom vård och omsorg, har kanske de mest komplexa kraven på informationssäkerhet över huvud taget i samhället.  På dessa krav är inte säkerhetsskydd en lösning. Istället måste det byggas upp stöd för att dessa verksamheter ska kunna bygga upp ett systematiskt informationssäkerhetsarbete som motsvarar deras behov. Stödet måste vara utformat så att det kan hantera den snabba tekniska och organisatoriska utvecklingen samt integrera i strukturer där många aktörer samverkar. Ansvarsförhållandena för informationshanteringen och informationssäkerheten måste vara närmast övertydliga.

Statliga molntjänster

Andra har vädrat morgonluft och fört fram den nygamla idéen att Statens servicecenter ska få uppdraget att skapa en statlig ”molntjänst” eller kanske infrastruktur. Låt mig redan här säga att jag inte är kategoriskt emot statlig samordning eller inte ser problemet med att staten outsourcar stora informationsmängder till privata aktörer. En fråga jag bevakat är exempelvis Hälsa för mig där jag senast uttalade mig i DN tidigare i år. Däremot är jag inte övertygad om att storskalig statlig datadrift är lösningen på de problem som bör prioriteras. Dessutom ser jag ett antal frågeställningar som måste hanteras om en statlig ”molntjänst” ska bli en framgång ens för statlig verksamhet.

I Statens servicecenters rapport från februari är det endast lagring och datakraft som ska erbjudas. Eller som generaldirektören säger i en DN-artikel:

– Jag sa till regeringen att: bilda tio stycken stora datacentraler där vi lägger in servrarna. Vi föreslog helt enkelt en statlig molntjänst som skulle innebära att staten äger datahallen och servrarna, säger Thomas Pålsson.

I samma artikel uttalar sig civilminister Ardalan Shekarabi på detta något enigmatiska sätt:

I stället vill Shekarabi bygga upp en gemensam struktur för de mest säkerhetskänsliga myndigheter.

– Så att vi kan insourca verksamheter. Det är det som är i pipeline just nu, säger han.

– Då handlar det om att gemensamt bygga upp en verksamhet så att man kan insourca det man har outsourcat. Så att man minskar behovet av att outsourca. Helst ska man inte outsourca.

Ministern påpekar dessutom att den rapport som Statens Servicecenter lämnat där de vill ta hand om myndigheters information ”saknar säkerhetstänk”. Precis nu (torsdag den 27 juli) ger Shekarabi ett uppdrag till PTS att ta fram en modell för säkra it-utrymmen för säkerhetskänsliga myndigheter.

Frågorna hopar sig. Att Statens Servicecenter vill utöka sitt uppdrag är tydligt men exakt vad är det man vill erbjuda? Det ministern verkar avse är någon slags gemensam datacentral för säkerhetskänsliga myndigheter vilka dessa nu är. Min bedömning är att det som i detta skulle kunna vara en vettig och framkomlig väg är att skapa en gemensam infrastruktur för information som faller under säkerhetsskyddslagen eftersom det ställer så sära tekniska och organisatoriska krav. Den skulle dock knappast vara lämplig att lägga hos Statens Servicecenter.

Jag ställer mig däremot tveksam till fördelen med att staten skulle skapa en egen molntjänstleverantör (eller om det nu är sourcing man egentligen avser) för en bredare målgrupp även om jag kan se behovet hos särskilt mindre myndigheter (egendomligt nog bygger Statens servicecenters utsagor när det gäller behov på intervjuer med de 15 största myndigheterna). I Statens servicecenters rapport framgår inte hur en statlig leverantör skulle vara konkurrenskraftig i förhållande till stora it- och molntjänstleverantörer och innehåller inte heller ekonomiska beräkningar som stödjer det caset. En inte helt oviktig faktor är den svårighet att rekrytera rätt och tillräcklig kompetens till en statlig it-leverantör. Det gäller inte bara effektivitet utan även säkerhet. Min högst subjektiva uppfattning är att kompetensen och den möjliga leveransen hos de kommersiella leverantörerna ligger rätt långt över vad statliga myndigheter kan leverera. Problemet är att staten generellt inte är bra beställare, särskilt inte inom säkerhetsområdet.  Risken är alltså att myndigheterna får sämre och dyrare lösningar. Här tror jag att det finns viktiga erfarenheter från Kommundata som var it-leverantör åt kommunerna under en period under 90-talet.

Den aspekten blir ännu mer akut när man tänker på vad som ska levereras.  Det som Statens servicecenter kallar molntjänster är lagring och datakraft men det är inte den typen av ”primitiva” molntjänster som kommer att dominera i myndighetsvärlden. Det är sammanväxta lösningar av kommunikation, samarbetsytor, planeringsstöd och ärendehantering som på sikt kan komma att ersätta ett antal verksamhetssystem. Dessa lösningar kommer endast att vara tillgängliga som molntjänster och att Statens Servicecenter ska kunna ta fram likvärdiga produkter som exempelvis Microsoft finner jag tämligen osannolikt.

Det är också välkänt att det är svårt för staten att vara leverantör åt staten – detta har varit ett återkommande tema i e-förvaltningsarbetet. Eftersom statliga myndigheter inte kan sluta avtal med varandra har kundmyndigheterna betydligt svagare ställning i förhållande till en systermyndighet än till en kommersiell leverantör. Det visade sig också under Statens Servicecenters första tid när myndigheter var skyldiga att överlåta bland annat lönehantering till servicecentret men inte hade reella möjligheter att genomdriva sina säkerhetskrav. Vilket leder över till ett annat, som jag ser det, avgörande principiellt problem, nämligen vem som har ansvar för den information som lagras hos en servicemyndighet. Jag hävdar att det är informationsägaren, det vill säga kundmyndigheten, som har ansvar för att informationen hanteras med tillräcklig säkerhet. Detta ansvar går inte att uppfylla om man inte kan skriva bindande avtal med sin leverantör. I denna oklarhet i ansvar ligger en mycket stor risk som visserligen delvis skulle kunna hanteras genom en professionell struktur av skyddsnivåer som kunden kan välja mellan, detta räcker dock inte. Sannolikheten att kärnverksamhetens säkerhet börjar styras från servicemyndigheten men att ansvaret ligger kvar hos kundmyndigheterna är överhängande. Det är verkligen att sätta vagnen framför hästen och skapar ytterligare en dimension av oklarhet i ansvar. Om det blir ett informationsläckage eller om bristande tillgänglighet i myndighetsinformationen leder till skada för tredje man vems är då ansvaret? När internationella jämförelser görs glömmer man ofta bort den svenska förvaltningsstrukturen med självständiga myndigheter med eget ansvar. Det här är en fråga som måste klarläggas även legalt liksom kundmyndigheternas möjlighet att styra så att inte samkörning görs av olika myndigheters information. Sett ur ett integritetsperspektiv förefaller idag privata leverantörer ha ett större intresse för att skydda enskildas integritet än myndigheter vilket måste ses som risk då större mängder information ska sammanföras från olika myndigheter.

Ett annat problem med den här typen av lösningar är den vertikala integrationen där staten både är kund och leverantör. Som kund vill man ha maximal output, som leverantör vill man ha maximal intäkt. I offentlig verksamhet leder detta ofta till stora svårigheter i styrningen eftersom man hamnar i ingenmansland mellan intäkts- respektive budgetfinansiering. Även här finns lärdomar från Kommundata men också Inera och dess föregångare i landstingsvärlden. Resultatet blir negativt och oförutsägbart för kunden eftersom man inte kan styra genom att välja en annan leverantör men samtidigt inte har makt över monopolleverantören.

Min mest avgörande invändning är dock att det idag inte går att avgränsa informationshanteringen till att vara ”statlig”. Myndigheter, kommuner, landsting och privata aktörer samverkar allt mer integrerat och frågan är då vad som ska hanteras i det statliga molnet. Ska även privata aktörer som utför uppdrag åt staten ingå? Ska kommuner som utbyter information med Försäkringskassan ingå? Hur stort ska det statliga molnet egentligen bli? Och, slutligen, jag tror inte de största riskerna idag ligger hos de statliga myndigheterna utan hos kommuner och landsting som både står för merparten av den samhällsviktiga verksamheten och ofta har sämst möjligheter skapa säkra lösningar. Med en dåres envishet upprepar jag att detta är vad som borde prioriteras framför allt annat.

Det var ju inte särskilt konstruktivt

Medan det stormar vidare på regeringsnivå hoppas jag att pendeln inte slår över för långt, att vettskrämda politiker och generaldirektörer uppfattar outsourcing i sig som problemet och fattar beslut som leder till att vi börjar backa in i framtiden. Jag är övertygad om att outsourcing och framför allt molntjänster kommer att öka i betydelse – detta är en verklighet med en mix av egna och köpta lösningar som vi måste lära oss hantera.

Jag kommer ihåg när jag på tidigt 1990-tal besökte en liten vårdcentral som vi kan kalla Söpple VC för att se över informationshanteringen. En läkare pekade på vårdcentralens dator som satt fastspänd under skrivbordet på det där sättet som kanske inte alla kommer ihåg. Han sa: ”Nu vill de ta datorn ifrån oss och ha vår information i distriktets datorhall, hur ska jag då kunna skydda mina patienter?” Hans fråga är lika relevant idag som då efter att informationen förflyttas från den enskilda datorn till distriktets datorhall, till landstingets datorhall, till nationell nivå och nu till molnet. Det är vår uppgift som säkerhetsmänniskor att ge svaret på den frågan. Vi har inte lyckats särskilt bra i tidigare skeden med tanke på hur det ser ut, därför bör vi mobilisera på ett konstruktivt sätt nu.

Det vore bra om vi innan vi går vidare kan enas om att avvägningen mellan effektivitet och säkerhet inte är en enkel fråga utan det finns reella intressekonflikter som måste hanteras. Vi bör också komma överens om att det inte finns en typ av säkerhet eller en lösning. Istället måste vi inse att ”säkerhet” är ett paraplybegrepp där många intressen måste leda fram till en mängd olika lösningar som tillsammans kan leda till säkrare samhälle.  Och som sagt: vi måste bli mycket duktigare på att problemformulera för att kunna hitta rätt lösningar. För mig förefaller inte lösningarna ligga främst i att styra placeringen av utrustningen utan att på olika sätt styra informationshanteringen genom avtal, upphandlingskompetens, organisation, mjuka tekniska lösningar och kunskap. Jag utlovar att i ett senare inlägg återkomma till mer konkreta förslag.

Transportstyrelsen och it-politikens kognitiva dissonans

Den unika händelsen att en GD får sparken efter att ha beslutat att outsourca information där även uppgifter som faller under säkerhetsskyddslagen ingått har skapat ett stort buzz i säkerhetsvärlden. Det är en uppseendeväckande och skandalös historia som skett på Transportstyrelsen där myndighetsledningen tycks huvudlöst ha struntat i alla varningar och uppmaningar. Mest förvånande är kanske att SÄPO enligt uppgift i media varit involverade och framfört synpunkter men inte lyckats genomdriva dem. Jag är dock inte särskilt förvånad och det är inte första gången myndighetsledningar tar medvetna beslut om att genomföra upphandlingar som om inte direkt lagvidriga innebär mycket stora risker.

I den upphetsade stämning som råder kan det vara bra att försöka konkretisera vad som faktiskt hänt (så som jag tolkar det utifrån medierapporteringen).

  • Det var känt att det fanns information som föll under säkerhetsskyddslagen i de system som skulle outsourcas
  • Ledningen och styrelsen var medvetna om detta
  • Ett aktivt beslut fattades att trots kännedom om detta fullfölja outsourcingen

Kontentan är för mig att det inte är en informationssäkerhetsfråga utan en fråga om hur regeringen styr sina myndighetschefer och säkerställer att de bland annat efterlever säkerhetsskyddslagen samt förhoppningsvis även annan lagstiftning.

Nu pågår en omfattande diskussion rörande Transportstyrelsens skandal där många inlägg är skrivna i till synes stor affekt. Inte minst debattörer med säkerhetsanknytning kommer pepprade salvor och förslag på åtgärder som sägs kunna motverka att liknande händelser skulle kunna inträffa igen. Tyvärr tycker jag många av förslagen verkar illa genomtänkta, såsom det ofta blir när man reagerar på en akut situation och en specifik händelse. Förhoppningsvis leder inte dessa förslag till snabba åtgärder – istället behövs ett mer analytiskt skede, en helhetsbild där den nuvarande röriga argumentationen något sorteras upp. Den diskussion som förts efter att händelsen blivit känd har också kommit att handla om allt möjligt som informationssäkerheten generellt, statliga moln m.m. vilket händelsen på Transportstyrelsen inte egentligen har någon bäring på. Jag ser istället händelsen som ett symptom på regeringens otydlighet i it-politiken där man inte lyckas skapa en strategisk inriktning som  omfattar både effektivitet och säkerhet. Detta skapar en kognitiv dissonans i styrningen som jag menar är avgörande förklaring till varför i övrigt kompetenta och förnuftiga generaldirektörer ger sig in i huvudlösa upphandlingar av it-relaterade tjänster.

Låt mig förtydliga. Informationshantering på samhällsnivå innebär ett antal intressekonflikter som jag skrivit om i tidigare blogginlägg; stat – indvid, integritet – övervakning o.s.v. Den i det här mest intressanta är konflikten effektivitet/ekonomi och ”säkerhet”.  Informationssäkerhet innehåller i sig motstridiga intressen som mellan tillgänglighet och konfidentialitet men det lämnar jag för tillfället åt sidan. Den kognitiva dissonansen uppstår när intressekonflikten negligeras eller i vissa fall t.o.m. skapas. I nuläget har regeringen å ena sidan formulerat ett antal förslag rörande att informationssäkerhet och säkerhetsskydd ska stärkas (jag skriver det som två punkter för jag anser inte att det är samma sak) och å ena sidan andra imperativa budskap kring ökad användning av molntjänster och om att bli världsbäst på e-förvaltning. Dessutom framförs ofta önskemål om att statens it-kostnader generellt bör sänkas. Till detta kommer dessutom att förslaget till ny säkerhetsskyddslag är så otydligt om vad som egentligen ska räknas som inverkande på rikets (OK Sveriges) säkerhet. Dessa olika intressen går inte att förena fullt ut, det vill säga staten kan inte alltid välja cloud first lika litet som att dåligt avvägd säkerhet kan få förhindra verksamhet att fungera på ett effektivt och någorlunda ekonomiskt försvarbart sätt. Min uppfattning är att så länge de här intressekonflikterna inte lyfts fram, diskuteras och blir föremål för en gemensam avvägning på nationell nivå kommer myndighetsledningar att vara utsatta för en kognitiv dissonans där det är omöjligt att avgöra hur den egna it-verksamheten ska utformas så att den tillgodoser samtliga intressen.

För att skapa en bredare bild än säkerhetsskyddsfrågan på Transportstyrelsen vill jag göra en återkoppling till för situationen för ganska exakt två år sedan då E-hälsomyndigheten skrev ett avtal med Cap Gemini om outsourcing av alla svenska patientjournaler för hantering hos Microsoft. Även denna affär innebar mycket stora säkerhetsproblem men väckte inte alls lika mycket intresse – kanske för att det främst rörde sig om risker för individer och inte för staten.  När flera med mig påpekade den bristande säkerheten i upphandlingen mottogs det inte särskilt väl (faktiskt inte ens i min egen myndighet). Orsaken till detta tror jag var just den kognitiva dissonansen: regeringen har beställt en lösning för hälsokonton där kommersiella aktörer ska kunna delta och detta snabbt. Att då ställa säkerhetskrav uppfattas lätt som grus i maskineriet vilket jag för övrigt upplevde även då Statens servicecenter bildades. Utan att på något sätt vilja ursäkta felande myndighetsledningar är det ganska uppenbart att när staten inte ens på övergripande nivå lyckas hantera dessa intressekonflikter blir det desto svårare att hantera situationen i den enskilda myndigheten.

Att ta ställning i intressekonflikterna är vad jag menar att både regeringens cyber- och informationssäkerhetsstrategi och digitaliseringsstrategi skulle ha gjort på ett samordnat sätt. Så är nu inte fallet och därför är det med största sannolikhet inte heller sista gången statliga myndigheter kommer att göra huvudlösa affärer. För att kunna ta fram en fungerande strategi kräver dock en helt annan nivå på utredandet än hittills och också att man försöker hitta fungerande lösningar för framtiden och inte ägnar sig åt att lösa gårdagens frågor. Att föreslå statliga molntjänster för ”lagring” kunde kanske varit ett alternativ vid sekelskiftet men knappast idag då molntjänsterna ersätter verksamhetssystem för att bara ta ett enstaka exempel.

Det är inte bara regeringen har en hemläxa att göra utan även vi som arbetar professionellt med säkerhetsskydd och informationssäkerhet. Jag tror vi står inför stora utmaningar både inom säkerhetsskydds- och informationssäkerhetsområdet där vi måste kunna bidra på ett bättre sätt. Låt oss därför inte banalisera frågeställningarna och utlova enkla lösningar utan erkänna att här krävs nytänkande, uthållighet och betydligt bättre kunskapsgrund för att kunna utgöra ett stöd för samhället.

Strategi från bunkern

30 juni kom alltså äntligen strategi. Två dagar före Almedalen och samma dag som de i det offentliga Sverige som inte är och tycker på Gotland förhoppningsvis sjunker in i sommardvala alldeles oavsett vilka strategier som lanseras.

Det är nästan svårt att veta var jag ska börja eftersom det trettiotal sidor som utgör strategin väcker så många frågor. Att försöka redogöra för dem skulle kräva ett utrymme som vida överstiger strategins sidantal. Bara användningen av begrepp gör läsaren konfys. Exempel ett: strategin heter En samlad strategi för samhällets informations- och cybersäkerhet. Vi som sedan ”cybersäkerhet” började användas för att hotta upp konferenspunkter undrat vad det egentligen betyder är inte så få. En förklaring som varit återkommande är att det är ”säkerhet i domänen cyber”, alltså något kopplat till försvarets indelningar och något ”internationellt”. Strategin släpper dock redan på sidan 4 alla ambitioner att försöka utreda denna fråga:

För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet. I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext.

Ska man tolka det som ”informationssäkerhet” är aningen mer inriktad på icke-digital information? Och på vilket sätt skulle en sådan uppdelning tillföra något klargörande? Och om det egentligen är samma sak varför skulle man då i svenska texter ta hänsyn till vilket begrepp som används internationellt om det egentligen inte har någon annan innebörd än informationssäkerhet? Det är som författarna på ett tidigt stadium gett upp men ändå velat ha med det litet läckrare ”cybersäkerhet”, tänkt ”wtf” och bara gått vidare.

Exempel två är definitionen av ”tillgänglighet”:

Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder.

Här har strategins författare ändrat innebörden av begreppet på ett fatalt sätt. I den terminologi som reviderades 2015 (och som man visserligen kan ha synpunkter på) SIS handbok Terminologi för Informationssäkerhet (SIS HB 550 utgåva 3) är definitionen:

Åtkomlighet för behörig person vid rätt tillfälle.

Strategin har alltså gjort det märkliga tillägget som tjänsterna erbjuder vilket jag finner både missvisande och i någon mån obegripligt. Vilka tjänster är det som avses? Någon typ av it-tjänster sannolikt men eftersom strategin i övrigt har en stark förkärlek för ”system” vandrar tankarna iväg mot de samhällsviktiga tjänster som beskrivs i NIS-direktivet som är verksamhet och inte it-lösningar. Dessutom leder beskrivningen tanken mot ett synsätt att det är tjänsterna – inte informationen- som är i centrum vilket för den som vill planera för att upprätthålla kontinuitet inte är bra. Den som vill ha en fungerande kontinuitetshantering måste ha alternativa sätt för sin informationsförsörjning och då räcker det inte att titta på enskilda ”tjänster”. Mest svårtolkat uppfattar jag ”som tjänsterna erbjuder”. Det är som det smygs in ett konfidentialitetsperspektiv i tillgänglighetsbegreppet, att tillgänglighet skulle betyda att endast behöriga ska tillgång till tjänsterna när de erbjuds.

Det finns ett antal andra begrepp som förtjänar en diskussion men som vila tills vidare. Jag tänkte istället ta upp några utgångspunkter för strategins författare. Dessa ligger till grund för de prioriteringar som görs och som jag menar i många stycken gör strategin irrelevant.

I mycket känns strategins inriktning igen från Infosäkutredningen som lämnade sin rapport med förslag om en informationssäkerhetspolitik 2005 Säker information. Gemensamt att både utredningen 2005 och den nya strategin är skrivna helt sett ur statens intressen trots att man i båda fallen säger sig behandla samhällets informationssäkerhet. Det behövs knappast några poäng i statsvetenskap för att inse att staten inte är synonym med samhället och det känns därför intellektuellt torftigt att strategin inte på något ställe erkänner och problematiserar de intressekonflikter inryms i samhällets informationssäkerhet. Det gäller relationen stat-individ, stat-privata företag och stat-kommuner/landsting för att ta de mest uppenbara ytorna för konvergerande intressen. Istället utgår strategin okommenterat från att alla samhällets aktörer är villiga att underkasta de åtgärder som strategin föreslår som till stor del motiveras ur ett nationellt försvarsperspektiv. Genomgående är förslagen inriktade på att staten talar om hur saker ligger till, föreskriver och sedan genom tillsyn kontrollerar att ”samhället” lyder. Jag tror att den här ”far vet bäst”-mentaliteten är omotiverad i så måtto att pappa staten faktiskt inte vet bäst på det här området utan har all anledning att ta till sig andra samhällsaktörers kunskap och intressen. Att peka med hela handen fungerar kanske bra inom den gröna sektorn. De kommunpolitiker som måste göra intresseavvägningar mellan insatser inom äldreomsorgen och att satsa på säkerhetsåtgärder som inte kan motiveras är nog däremot betydligt mindre villiga att utan protester röra sig i handens riktning. Kanske är det också detta förhållningssätt som gjort att så litet av de förslag av de som Säker information presenterade har realiserats – en insikt som möjligen skulle kunnat ge strategin en annan inriktning och ton.

Den implicita föreställningen att statens intressen per automatik sammanfaller med allas (förutom brottslingars och fientliga nationers) intressen får egenartade konsekvenser då strategin tar sig an integritetsfrågan. Det enda sammanhang där strategin utvecklar sig om den personliga integriteten är när den är hotad av privatpersoner i form av näthat och grooming. Närmast ohederligt blir det när man inte ens nämner den kritik som framkommit gällande konsekvenserna på den personliga integriteten i remissvar rörande förslaget att MSB ska få installera sensorsystem. Istället framställs sensorsystemen som i princip redan beslutade:

Regeringen har under våren 2017 remitterat en promemoria om tekniska sensorsystem (Ju2017/02002/L4) med förslag att MSB får stödja verksamhetsutövare inom samhällsviktig verksamhet med informationssäkerheten genom att tillhandahålla sensorsystem som kan stärka samhällets möjlighet att upptäcka och hantera it-incidenter. MSB:s sensorsystem ska inte tillhandahållas till de verksamheter som erbjuds TDV.

Därmed var relationen mellan staten och individen överstökad. Dataskyddsförordningen känns mycket avlägsen i strategin.

En annan genomgående tendens är att strategin i princip endast intresserar sig för de antagonistiska hoten. Andra typer av risker diskas av i två förströdda meningar:

Olika former av störningar i mjuk- eller hårdvara eller störningar i driftmiljö är vanligt förekommande. Yttre fysiska händelser som t.ex. bränder, avgrävda kablar, översvämningar eller solstormar utgör också en del av hotbilden.

Resten av hotavsnittet beskriver en leviathan-liknande situation där framför allt statens intressen måste tillvaratas. Utan upphovsman för riskbedömningen meddelas:

Det möjliga agerandet av stater, statsunderstödda aktörer eller andra aktörer med liknande förmåga utgör det allvarligaste informations- och cybersäkerhetshotet mot Sverige.

Självklart kan inte dessa hot underskattas – de är verkliga och omfattande. Men enligt min erfarenhet äventyras de flesta organisationers verksamhet i lika hög grad av t.ex. bristande rutiner som leder till uppdateringsfel. Ett stort antal av de större incidenter som inträffat under senare år har också haft icke-antagonistisk bakgrund. För landsting och kommuner skulle jag vilja påstå att den absolut största utmaningen ligger i att kunna efterleva dataskyddsförordningen när den träder i kraft. Oavsett om jag har rätt i denna bedömning eller inte vågar jag hävda att strategins oförmåga att se att olika organisationer lever med olika risker och med olika behov av säkerhetsåtgärder är en av dess mest påtagliga brister. På ett flertal ställen presenteras lösningar som blickar tillbaka till BITS och andra försök att skapa samma säkerhet i alla organisationer. Detta strider inte bara mot grundtanken i ISO 27000 som säger att ledningen i varje organisation måste ta ställning till risker och därefter göra sina prioriteringar. Det strider också mot de verkliga behov som finns i olika organisationer eftersom olika verksamhetsprocesser kan använda samma information på helt olika sätt. I strategins anses detta dock fel:

Samma information kan få olika skydd i olika organisationer och kunskapen om vilket skydd som är lämpligt och tillgängligt för en viss typ av information är hos många aktörer ofullständig.

Jag tror att man här omedvetet endast utgår från konfidentialitetsaspekten och inte har reflekterat tillräckligt över behovet av riktighet, spårbarhet och tillgänglighet kan skifta starkt mellan olika organisationer. Under ett par arbetade jag på MSB med att tillsammans med bland annat representanter från hälso- och sjukvårdsområdet med att fram ett koncept för nationell styrmodell. Tanken var inte att alla organisationer skulle ha samma säkerhet utan att modellen skulle utgöra ett stöd för kommunikation mellan olika verksamheter så att varje organisation skulle kunna få den nivå av säkerhet som dess ledning ansåg lämpligt. Konkret skulle det innebära att det t.ex. fanns gemensamma metoder för processkartläggning, informationsklassning och skyddsnivåer. Att nu strategin ser det som ett problem att olika informationsmängder värderas olika av olika organisationer uppfattar jag som att man tankemässigt är tillbaka till det one size fits all-koncept som BITS byggde på.

Det mest anmärkningsvärda med strategin är att den inte beskriver en relevant framtid, inte ens ger en relevant bild av dagens situation. Det som utgör strategins existensberättigande redovisas i avsnittet Vad ska skyddas?. Det sidlånga avsnittet börjar tämligen stillsamt med:

Det innebär att både informationen i sig och de system som används för att förvara och överföra informationen måste skyddas.

Men därefter bryter ett sammelsurium av demokrati och andra värden, ting, system, kommunikation och i någon mån information ut. Ungefär på mitten dyker följande märkliga passage upp:

I dag bygger systemen för att hantera information huvudsakligen på digital informations- och kommunikationsteknologi. Detta gäller inte minst de system Sverige är beroende av för att kunna styra och leda riket under omfattande påfrestningar som kan följa av kris eller krig.

Jag biter mig  hårt i tungan för att inte ställa ironiska frågor som om det tidigare fanns system som inte byggde på digital teknik och om det är så att just de system som Sverige är beroende av för att kunna styra och leda riket o.s.v. (vilka de nu kan vara) är ännu mer digitala än övriga it-system. Även om stycket vidlåds med en ofrivillig komik är det dock inte särskilt lustigt att läsa denna flacka och redan inaktuella beskrivning av beroenden. Det är som strategins upphovsmän (för övrigt precis som utredarna av NIS-direktivet) fortfarande tänker sig en situation där verksamheter är beroende av tydligt avgränsade ”system” som man själv driftar och förvaltar.

Jag menar att vi redan idag är långt ifrån en sådan situation. Istället går allt fler organisationer helt eller delvis över till molntjänster som dessutom är intrikat integrerade så att det är svårt att urskilja enskilda tjänster eller komponenter. Detta är ju också något som uppmuntras i andra inriktningar från regeringen. För att ta ett konkret exempel vågar jag utan större talang som sierska ändå påstå att en stor del av den svenska förvaltningens dagliga informationshantering kommer att ske i Office 365 som molntjänst inom 5 år. Att jag vågar sticka ut hakan beror inte enbart på egna observationer i verkligheten utan också på att Microsoft låtit förutskicka att de kommer att sluta att tillhandahålla sina Office-programvaror för installation i egen miljö. De kommer att gå all in molntjänster. Denna nya situation behandlas överhuvudtaget inte i strategin. I 2.2. Öka säkerheten i nätverk, produkter och system där det rimligen borde inrymmas en sådan diskussion och förslag på lämpliga säkerhetsåtgärder nämns detta överhuvudtaget inte. Lika litet intresse ägnas åt välfärdsteknologin som är i stark framväxt och som innebär nya intressanta frågeställningar inom en stor samhällsviktig verksamhet.

Strategins bristande omvärldsbevakning påverkar även de säkerhetsåtgärder som presenteras. Mycket är uppstekta tidigare förslag alternativt bekräftelser på redan existerande lösningar även om jag fortfarande när ett visst hopp om den så kallade nationella modellen för systematiskt informationssäkerhetsarbete. Ett axplock på aktiviteter där regeringen ska enligt strategin fortsätta att verka för det man redan verkat för eller inte kan undvika att verka för:

  • öka tydligheten i myndighetsstyrningen och lyfta betydelsen av ett tillfredsställande informationssäkerhetsarbete internt på myndigheterna
  • samverkan mellan myndigheter med särskilda uppgifter på informations- och cybersäkerhetsområdet stärks
  • NIS-direktivet genomförs effektivt och att det etableras en adekvat styrning och tillsyn av säkerheten i nätverk och informationssystem i samhällsviktig verksamhet för vissa aktörer inom de utpekade sektorerna
  • företag och myndigheter som äger eller arbetar med samhällsviktig verksamhet där industriella informations- och styrsystem ingår får stöd i sitt arbete med att stärka informationssäkerheten,
  • berörda myndigheter utvecklar arbetet med att genomföra och stödja kartläggningar och utredningar om sårbarheter och lämpliga säkerhetsåtgärder i samhället
  • förmågan att hantera allvarliga it-incidenter upprätthålls genom en samordnad övningsverksamhet.

Inte särskilt kraftfullt eller nydanande. I ärlighetens namn ska väl sägas att det även ingår att regeringen ska verka för en strategi för kryptosystem, mer övervakning i olika hänseenden och mer brottsbekämpning.

Om Sverige ska bli, som regeringen proklamerat, världsbäst inom digitalisering och e-hälsa behövs det en storsatsning på proaktiv informationssäkerhet som stödjer denna inriktning. Förutom att stärka säkerheten i nätverk och kommunikationer är svårt att se vad den liggande strategin bidrar med i det hänseendet. Efter att ha begrundat åtgärdsförslagen uppfattar jag att huvuddragen är ett perimeterskydd på nationell nivå, incidentrapportering och tillsyn.  Detta menar jag inte är särskilt verkningsfullt i förhållande till dagens molntjänstsamhälle.  System i egen drift och förvaltningen som staten fysiskt kan kontrollera är inte den framtid som strategin ska fungera i. Att staten skapar säkerhetslösningar för (forntida teknik höll jag på att skriva) tekniska lösningar på utgående är inte unikt för den här strategin; som en klok kollega påpekade häromdagen är det konstigt att det nu görs så stort nummer av säker e-post. Redan nu sker kommunikationen ofta i andra former än e-post och om fem år kommer sannolikt dess betydelse vara i starkt avtagande.

Bristen på ambition att skapa bättre möjligheter att hantera de nya frågeställningar som digitaliseringen medför präglar också strategins kunskapssyn. Istället för en offensiv hållning där man utgår från ett läge som jag bedömer som tämligen ovedersägligt, nämligen att vi idag hög grad saknar kunskap om även grundläggande kunskap om hur vi ska bygga en fungerande informationssäkerhet, är strategin även här konserverande.  Den kunskap som strategins författare anser behövs är att kartlägga brister och sedan öka medvetenheten om dessa till olika aktörer.

Det är enligt regeringens bedömning viktigt att arbetet med att analysera sårbarheter, brister och behov med koppling till Sveriges informations- och cybersäkerhet fortsätter att utvecklas och fördjupas i syfte att stödja och öka medvetenheten om långsiktigt informationssäkerhetsarbete på alla nivåer i samhället

När man sedan kommer in på högre utbildning, forskning och utveckling räknas ett antal redan pågående projekt upp samt en avslutande lam inriktning:

Lärosäten, industriforskningsinstitut, näringsliv och offentlig sektor samverkar för att öka nyttiggörande och innovation inom informations- och cybersäkerhetsområdet.

Min uppfattning är att om en större förändring (i positiv riktning är det väl bäst att säga) av samhällets informationssäkerhet så förutsätter det en utvecklad kunskapsstyrning. Mer effektivt än att använda retroaktivt inriktade och repressiva åtgärder som incidentrapportering och tillsyn är att kunna beskriva för olika typer av aktörer hur de kan använda belagt effektiva säkerhetsåtgärder. Detta förutsätter dock i sin tur att det finns kunskap som kan utgöra underlag för en relevant styrning. Ett område som alldeles särskilt borde lyftas fram är det informatik och hur en styrd informationshantering kan ge ökad säkerhet i de tjänster som alltmer kommer att ersätta de traditionella systemen. Jag bedömer att tekniskt perimeterskydd kommer att vara något som måste fortsätta att utvecklas men att dess relativa betydelse kommer att minskas i förhållande till hur säkerhet kan byggas in i informationshanteringen. Därmed anser jag att detta borde vara ett strategiskt kunskapsområde för framtiden, en uppfattning som inte förefaller delas av strategins upphovsmän som på ett ytterst vagt sätt sveper över en mängd teknikområden.

Ett annat kunskapsområde som hänger ihop med själva definitionen av informationssäkerhet är betydelsen av spårbarhet i informationshanteringen. En långvarig men icke-uttryckt schism inom det svenska informationssäkerhetsskrået är begreppet spårbarhet som för många varit tabubelagt utan närmare förklaring. I de verksamheter som länge varit transaktionstäta och komplexa som exempelvis hälso- och sjukvården har kravet på spårbarhet varit självklart. För ”purister” har det dock varit en styggelse. Nu menar jag att det borde vara uppenbart för de flesta praktiskt verksamma att begreppet måste tillämpas aktivt i informationsklassningar och riskanalyser. Enbart dataskyddsförordningens krav förutsätter åtgärder för spårbarhet som idag inte tillämpas men användningen av integrerade tjänster kommer också att innebära behov av att kunna rekonstruera sammanställd information där alla ingående datamängder har rätt version o.s.v. Hur detta ska kunna gå till är även det ett område där forskning är nödvändig men denna typ av kunskap ligger långt utanför det område som strategin rör sig inom.

Trots denna orimligt långa text innehåller den bara ett litet antal nedslag i de frågeställningar som väcks. Min kritik kan sammanfattas i tre punkter. För det första är det väldigt uppenbart att det är en strategi för staten – inte för samhället. De stora frågor och intresseavvägningar som de flesta av samhällets aktörer måste hantera lyser med sin frånvaro – inifrån- och ut-perspektivet är så överväldigande att jag får känslan av att man suttit i en bunker och skrivit strategin för att försäkra sig om att inga ovälkomna intryck från verkligheten ska smyga sig in. Genomgående så förläggs också fel och brister hos aktörerna i samhället; de har dålig kunskap och de gör fel. Däremot så håller den del av staten som skrivit strategin inte upp en spegel och frågar sig vad man själv kunnat göra bättre. Trots att staten skottar in omfattande resurser centralt till de myndigheter som ska samordna informationssäkerhetsarbetet har resultatet inte blivit det önskade. Det är därför märkligt att strategins angreppssätt är att framförallt resten av samhället ska skärpa sig. Kanske måste man, istället för att fortsätta göra mer av samma sak, våga rikta blicken inåt och försöka analysera varför det hittills inte funkat så bra trots resurserna. Det vill säga en gammaldags hederlig utvärdering av en fristående part.

För det andra beskriver strategin inte ens dagens digitala situation utan en snart förgången tid. Jag har ju närt vissa förhoppningar rörande strategin men måste nu redan inledningsvis medge att det kommit helt på skam. Istället för att vara framåtblickande vilket är ett slags grundkrav på en strategi är den produkt som presenteras häpnadsväckande inaktuell även för dagens situation. Jag förstår att de som skrivit dokumentet varit snärjda och begränsade av bland annat det fem år gamla NIS-direktivet. Detta ”ursäktar” dock inte den enligt min bedömning föråldrade bild av verkligheten som är strategins utgångsläge. Faktiskt är det svårt att se den nya strategin som mer aktuell än den som togs fram 2010 och som dessutom var betydligt mer kortfattad och välstrukturerad Strategi för samhällets informationssäkerhet  2010 – 2015.

För det tredje levererar strategin få eller inga konkreta inriktningar – man lyckas inte ens beskriva hur de områden som staten faktiskt kontrollerar ska styras. Hur ska exempelvis säkerhetsskydd, samhällsviktig verksamhet och normal verksamhet förhålla sig till varandra? Och de olika incidentrapporteringskrav som staten nu riktar mot olika aktörer, hur ska de integreras till en effektiv och rimlig helhet? Om exempelvis eHälsomyndigheten råkar ut för en incident där personuppgifter ingår ska man då rapportera till MSB (enligt MSB:s föreskrift), till IVO (enligt NIS-direktivet) och till Datainspektionen (enligt dataskyddsförordningen). Eftersom incidentrapportering under en längre tid lyfts fram som den mest prioriterade säkerhetsåtgärden vore det rimligt att en strategi gav besked om hur den långsiktigt ska hanteras.  Och om nu en stor del av den samhällsviktiga verksamheten och den offentliga förvaltningen i övrigt kommer att hantera sin information i ett fåtal internationella molntjänster? Är det då inte en central strategisk säkerhetsfråga för staten att ha en inriktning för relationen till dessa molntjänstleverantörer. Det är ju knappast ett alternativ att köra ett DDR-lösning och utveckla egna statliga lösningar.

En strategi borde fungera som mer än talepunkter för en minister i Almedalen men här tycks beskedet ganska klart:  Fråga inte vad staten kan göra för dig utan vad du kan göra för staten. För oss andra verksamma i skrået är det viktigt att inte dras in i bunkern utan att vi arbetar med de frågor som är relevanta i dag och i framtiden.

 

I väntan på en strategi

Regeringen har utlovat en cybersäkerhetsstrategi till i maj. Vad jag kan se har den ännu inte dykt upp men är kanske i antågande. I väntan på detta passar jag på att skriva ner några förhoppningar på innehållet i strategin.

I det följande kommer jag att utgå från antagandet att strategin inte enbart kommer att handla om cybersäkerhet, detta oklara men uppenbart upphetsande begrepp, utan även om informationssäkerhet.

Frågan är vad statens intresse gällande cyber- och informationssäkerhet egentligen är, det vill säga vad en strategi bör avse att styra. NISU-utredningen som rörde sig i samma härad var  spretig i detta avseende och känns så här i efterhand som en önskelista från ett antal myndigheter utan en sammanhängande tanke kring samhällets behov. Därför är en första förhoppning att strategin dels har modet att inte vara alltför influerad av NISU, dels att man istället försöker utgå från konkreta behov på samhällsnivå. För att uttrycka det något klyschigt; mer ”pull” än ”push”, mer utifrån-och-in än inifrån-och-ut.

För mig  har staten ett vitt spektrum av intressen inom informationssäkerhetsområdet från cyberkrigföring till information riktad till enskilda om säkert agerande på nätet. Förhållningssättet måste av naturliga skäl skilja sig starkt inom spektrets olika delar. När det gäller försvar och säkerhetsskydd är lagstiftning och repressiva incitament kanske lämpliga styrmedel medan i andra delar är kunskapsstyrning både det rimliga och det effektiva sättet att förbättra säkerheten. Ett alternativ är att strategin endast omfattar de delar som rör rikets säkerhet och samhällsviktig verksamhet och skippar den informationssäkerhet som gör att samhället fungerar i normalläget.

En farhåga är dock att strategin endast kommer att beröra vissa typer av informationssäkerhetskrav och utesluta andra som till exempel de krav som emanerar ur dataskyddsförordningen. Det vore olyckligt eftersom jag tror det främsta behovet just nu är att sammanfoga en helhet av styrning där staten tar ansvar för att beskriva hur de enskilda organisationerna ska förhålla sig till bland annat civil beredskap, totalförsvar, samhällsviktig verksamhet och infrastruktur samt dataskydd. Till detta kommer visioner om digitalisering och öppenhet. Staten har en viktig uppgift i att förklara hur helheten ska se ut, något som såvitt jag vet ännu inte är gjort. Istället skjuts frågeställningen ner till den enskilda kommunen, myndigheten, landstinget eller företaget att lösa. Förbryllande signaler kommer i de många utredningarna som var och en tycks undersöka sitt eget slutna rum. Själv har jag ägnat omotiverat stort intresse för bilden i säkerhetsskyddsutredningen där säkerhetsskyddet tycks gälla för en fjärdedel (ja, jag har beräknat det) av all samhällets regleringar, av samhället eller av myndigheternas informationshantering eller av något annat odefinierat. Egentligen säger väl bilden bara att säkerhetsskyddslagen är en särskild lag och att det finns andra lagar och regler. Att det skulle vara en principskiss är kanske att dra det litet väl långt.

 

Självklart bör man inte tolka illustrationer på detta autistiska sätt men jag kan bara försvara mig med att det är den generella oklarheten som gör att jag tar varje halmstrå för att försöka förstå tanken hos utredarna. För mig själv har jag försökt rita upp sambandet mellan de olika styrsystemen som jag tror kanske kan se ut så här:

Till detta kommer NIS-direktivet och hur det ska införas i Sverige . Jag utgår från att direktivet främst ska tillämpas på den samhällsviktiga verksamheten eftersom det är vad som står i direktivet även om det även gäller bland annat vissa molntjänstleverantörer utan att dessa behöver vara samhällsviktiga:

De leverantörer av digitala tjänster som omfattas av direktivet är sådana som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster. Dessa leverantörer ska inte identifieras på det sätt som gäller för leverantörer av samhällsviktiga tjänster och omfattas av direktivet utan att någon bedömning ska göras av om de är samhällsviktiga eller inte.

Min bild, som jag inte skulle vilja slå vad om mer än chokladkaka om att den stämmer, bygger på förutsättningen att en verksamhet och/eller en informationshantering inte kan vara betydelsefull för rikets (Sveriges) säkerhet om den inte också är samhällsviktig men det kan den kanske? Och hur ser relationen mellan beredskap och säkerhetsskydd ut? Efter att ha närläst förslaget till ny säkerhetsskyddslag samt andra utredningar ser jag det som synnerligen angeläget att definiera vad som är av betydelse för rikets säkerhet respektive är samhällsviktigt. Glider dessa begrepp ihop påverkar det både demokratiaspekter och effektiviteten i samhället. Jag när en stark förhoppning om att strategin reder ut hur dessa olika säkerhetsområden förhåller sig till varandra eftersom det också verkar vara finnas ett internt behov inom regeringskansliet att göra det. Ett exempel på detta är den nya digitaliseringsstrategin som nämner ”samhällsviktig” endast en gång i förbifarten men däremot hänvisar till säkerhetsskyddslagen (!) och NIS-direktivet:

Ett löpande och systematiskt säkerhetsarbete ska göras för att identifiera och förebygga säkerhetsbrister samt hantera incidenter. Privata och offentliga verksamheter behöver utveckla medvetenheten om informations- och cybersäkerhet, t.ex. hur de kan skydda sina nätverk och informationssystem. Genomförandet av EU:s direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem i hela unionen ([EU] 2016/1148) och arbetet med en ny säkerhetsskyddslag kommer att spela stor roll.

Intrycket är att det är säkerhetsskyddslagen som ska utgöra den främsta styrfunktionen för informationssäkerheten i digitaliseringen vilket för mig ter sig som en föreställning med många negativa konsekvenser både för demokrati och effektivitet. Strategin har en viktig uppgift i att peka på hur informationssäkerheten i digitaliseringen främst måste styras via det systematiska och verksamhetsinriktade arbetet. Att både tjänster och kommunikationslösningar är samhällsviktiga är en helt annan sak än att säkerhetsskyddslagen ska tillämpas. En grundprincip för allt säkerhetsarbete bör vara att det inte bara gäller att införa så mycket säkerhet som möjligt – lika viktigt är att undvika att införa omotiverade säkerhetsåtgärder.

Kanske är digitaliseringsstrategins (i mitt tycke) missvisande inriktning ett resultat av att det är tämligen oklart hur den samhällsviktiga verksamhetens informationssystem ska skyddas. Visserligen finns krav på risk- och sårbarhetsanalyser och snart genom NIS-direktivet även på incidentrapportering men vilka metoder, tekniska lösningar m.m. som ska användas är ännu valfritt. Ja, t.o.m. vad som ska utgöra samhällsviktig verksamhet måste varje aktör själv bestämma i det system för krisberedskap som byggts upp i Sverige som bottom-up snarare än top- down. Söpple kommun måste själv avgöra vilken verksamhet som är samhällsviktig respektive av betydelse för rikets säkerhet samt, kvinnogissar jag, av betydelse för den civila beredskapen. En cyber- och informationssäkerhetsstrategi skulle kunna peka på att det vore ganska bra att ta ett något starkare top-down-grepp. I den allt mer komplexa informationsinfrastrukturen finns det all anledning för staten att med hela handen peka ut vilka tjänster och infrastrukturkomponenter som är samhällsviktiga. Ingen enskild aktör är sig själv nog och ingen enskild aktör kan längre se hur beroendekartan ser ut, särskilt inte som den vägledning som finns för detta skrevs för ett decennium sedan.  Ett konkret förslag är att den gamla ÖCB-rollen som MSB alltmer axlar också leder till att man agerar som ÖCB gjorde; talar om exakt vad som ska ses samhällsviktigt alternativt ingående i den civila beredskapen alternativt totalförsvaret och vad det föranleder för åtgärder.

En strategi ska ju peka ut vägen framåt. Jag tänker mig att den nationella cyber- och informationssäkerhetsstrategin ska spela litet av samma roll som en policy i en organisations ledningssystem. Det vill säga uttala en viljeinriktning samt beskriva ansvar och resurser för att förverkliga inriktningen. En modell för den centrala styrningen vore att SÄPO/Försvarsmakten har precis som idag har ansvar säkerhetsskydd medan MSB:s ansvar däremot avgränsas till kravställning utifrån civil beredskap och samhällsviktig verksamhet. ESV alternativt en ny digitaliseringsmyndighet skulle kunna överta uppdraget att stödja informationssäkerheten i normalläget samt för att kanalisera kraven från MSB, Dataskyddsmyndigheten (formerly known as Datainspektionen). Slutligen är ett alternativ att Konsumentverket tar en större roll i att stödja privatpersoner i en säkrare it-användning.

Jag hör redan invändningarna: så många aktörer, det blir rörigt, hur ska de samordna sig? Men detta är ju redan verkligheten. Det jag föreslår är att strategin ska skapa en tydligare nationell spelplan istället för att de många, i vissa fall disparata, kraven lämnas osorterat till de enskilda aktörerna, som till exempel Söpple kommun, att försöka reda ut. Förhoppningsvis skulle en organisatorisk form skapas för att avväga olika krav och intressen på ett enhetligt sätt istället för att 290 trötta kommunledningar var och en försöker gissa sig fram till vad som behöver göras (liksom dito myndighets-, regions-, landstings och företagsledningar). Vissa grundaktiviteter som incidenthantering måste stödja olika behov och rapporteringsvägar för att ta ytterligare ett bevis på den nationella samordningens nödvändighet.  Den naturliga konflikten mellan säkerhet å ena sidan och verksamhetsnytta å den andra skulle också kunna hanteras på ett öppet sätt. Jag ska inte tänja mer på tålamodet hos den eventuella läsare som hängt med ända hit genom att fortsätta räkna upp allt som pekar mot behovet av starkare samordning utan nöjer mig med en antydan om att jag har många exempel kvar i rockärmen.

Slutligen borde en strategi också gå in på hur kostnaderna för en bättre cyber- och informationssäkerhet ska fördelas. Detta är viktigt inte minst eftersom det finns ett stort antal privata aktörer som är delaktiga som utförare av för samhället viktig verksamhet. Den sangviniska hållning utredningen avseende ny säkerhetsskyddslag intar gällande kostnader i konsekvensbeskrivning är knappast hållbar:

Sammanfattningsvis har vi kommit fram till att våra förslag inte bör innebära annat än marginellt ökade kostnader vare sig för det allmänna eller för enskilda jämfört med nuvarande lagstiftning.

I ärlighetens namn tror jag att alla insatta vet att säkerhet kostar och ibland kostar rejält. Att för ett enskilt företag genomföra alla de potentiella åtgärder som ligger i förslaget till säkerhetsskyddslag har en prislapp och det hade varit hedervärt om utredaren tagit sitt ansvar och utrett det närmare. Det känns aningen mästrande när statliga utredare skriver:

Av kommersiella skäl finns det där starka incitament till en god informationssäkerhet. Vår bedömning är att det finns en stor vilja att i sådan verksamhet följa internationella standarder som t.ex. LIS. Detta sammantaget innebär att den förändring som vi föreslår träffar verksamheter där dessa tillkommande krav på informationssäkerheten redan bör vara omhändertagna.

Vad man bygger denna bedömning på är oklart.

Tillkommer gör kostnader för civil beredskap, samhällsviktig verksamhet, NIS och dataskyddsförordning. Sammantaget uppfattar jag detta som icke oväsentliga kostnader för den enskilda aktören. Visserligen kan man hävda att dålig säkerhet kostar minst lika mycket men genom att det är till stor del obligatoriska säkerhetsåtgärder som tillkommer kan inte längre Söpple kommun gambla och ta risken. Finansieringen bör därför vara något av ett huvudnummer i en strategi.

Detta är skrivet under påverkan av en finsk förkylning vilket kanske gör att min vision om strategin blir litet väl hallucinatorisk. Men låt oss ändå hoppas att vår väntan belönas med något mer konkretion och problemlösning än de senaste utredningarna på området levererat.

 

Informations(säkerhets)skydd

Förslaget till ny säkerhetsskyddslag ger ett intryck av att inte vara fullt genomarbetat i de mer generella avsnitten. I avsnitten om informationssäkerhet förstärks detta intryck. När jag läser om informationssäkerhet känns det redan från början som om jag fått på mig ett par helt annorlunda glasögon som får min vanliga informationssäkerhetsverklighet i ett helt nytt perspektiv. Nya perspektiv brukar vara uppfriskande och klarläggande. Tyvärr kan jag inte säga att det är min upplevelse av utredningens verklighetsbeskrivning. Istället känns det litet som när medeltida munkar beskrev djur de aldrig sett men hört talas om, en vag likhet men ganska långt från förlagan. Man ser liksom att det är en elefant men det liknar inte de elefanter man känner till. ”Informationssäkerhet” är beskrivet från en annan kontinent än min, gissningsvis är den kontinenten Försvarsmakten .

Informationssäkerhet pekas liksom i den gällande säkerhetsskyddslagen ut som en av tre säkerhetsskyddsåtgärder tillsammans med fysisk säkerhet och personalsäkerhet.  Utredningen vill samtidigt utvidga säkerhetsskyddets tillämpning till helt nya verksamheter där det redan finns ett pågående informationssäkerhetsarbete som fyller en mycket viktig funktion bland annat för samhällets robusthet. Dessa två faktorer borde sammantaget lett till att utredningen förhållit sig till den redan existerande verkligheten, försökt ta vara på det redan inarbetade och tillfört endast det som är nödvändigt ur säkerhetssynpunkt.

Utredningen väljer istället en radikalt annorlunda väg och skapar sin egen kontinent utan mer än en tunn landbrygga till det etablerade säkerhetsarbetet, uppfinner sina egna begrepp och metoder. På denna kontinent betyder ”den vedertagna definitionen av informationssäkerhet” den, sett ur det civila perspektivet, stympade definition som används inom Försvarsmakten och säkerhetsskyddsområdet och som fokuserar på sekretess. Jag skriver avsiktligt sekretess och inte konfidentialitet eftersom den utgår från vad som är sekretessbelagt enligt OSL. Den aktivitet som motsvarar informationsklassning är också helt inriktad på sekretessaspekten (mer om detta nedan). Samtidigt skriver utredningen att man vill utvidga säkerhetsskyddslagens informationssäkerhet till att även omfatta riktighet och spårbarhet, i alla fall i någon mening.

Samma ambivalens till lagens tillämpningsområde finns när det gäller hotbilden. Medan man, liksom i gällande lag, avgränsar hoten till att främst gälla antagonistiska hot ska nu informationssäkerheten skydda mot hela hotspektrat s 329:

Säkerhetsskyddet har också en viktig funktion i att ge ett skydd för säkerhetsskyddsklassificerade uppgifter mot andra risker än sådana som beror på brott. Exempel på sådana åtgärder är skydd mot avlyssning och åtgärder för att minska utrymmet för misstag, tekniska brister eller annat som kan medföra oavsiktlig skadlig påverkan på informationen.

Här är visserligen definitionen av informationssäkerhet den samma som för det som beskrivs i en civil verksamhet men då uppstår å andra sidan problemet att sett i den här kontexten skulle det innebära att allt normalt förebyggande informationssäkerhetsarbete kan/ska ses som något som bör styras ur ett säkerhetsskyddsperspektiv.

Över huvud taget är relationen mellan den ordinarie informationssäkerheten och de åtgärder som ska påföras en verksamhet utifrån krav på säkerhetsskydd svårförståelig i utredningens resonemang. Som på sidan 347 t.ex.:

Åtgärder som är förknippade med informationssäkerheten enligt säkerhetsskyddslagen kan inte särskiljas från informationssäkerhet i en vidare bemärkelse. Exempel på detta är skydd mot skadlig kod och användarautentisering som är relevanta åtgärder även för it-system som inte är av betydelse för Sveriges säkerhet. Föreskrifter som meddelas med stöd av lagstiftningen, måste kunna avse informationssäkerheten i stort för de verksamheter som omfattas av säkerhetsskyddslagens krav. Detsamma gäller för tillsyn. En helhetssyn krävs inom detta område och såväl föreskrifter som tillsyn måste kunna omfatta samtliga de relevanta åtgärder som syftar till att ge ett skydd för information.

Detta är ett motsägelsefullt påstående eftersom man i det följande gång på gång visar att den informationssäkerhet som utredningen avser väsentligen skiljer sig från den som tillämpas av t.ex. de organisationer som följer ISO-standarden eller andra etablerade metoder. Betyder det att SÄPO:s alternativt Försvarsmaktens föreskrifter om säkerhetsskydd hegemoniskt ska breda ut sig och tillämpas även i informationshantering som inte faller under lagstiftningen?

Med tanke på att en av utredningens huvudnummer är ett tyngre verksamhetsansvar, det vill säga att offentliga och privata verksamheter ska utföra ganska avancerade manövrar inom säkerhetsskyddsområdet på egen hand, är tydlighet a och o. Myndigheter, kommuner, landsting och privata företag har också ett alltmer krävande verksamhetsstyrt informationssäkerhetsarbete som för den absoluta merparten organisationer är helt dominerande jämfört med säkerhetsskyddet. Dessa två delar måste därför gå att integreras på ett smidigt sätt. Det kräver både tydliga avgränsningar av vad som är vad och samordning av begrepp och metoder där så är möjligt. Som jag tidigare skrivit måste premissen av flera skäl också vara att säkerhetsskyddet ska tillämpas endast där så är nödvändigt och berättigat. Jag ska därför att i det följande se närmare på den centrala aktiviteten klassning och analysera de praktiska konsekvenserna av utredningens förslag.

Informationsklassificering

Tillämpningsområdet av säkerhetsskyddslagen har alltså enligt min mening glidit iväg och blivit otydligt.  Ur informationssäkerhetssynpunkt är det intressant att begrunda utredningens förslag på en tudelad uppdelning hur behovet av skydd ska bestämmas (s 22):

Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter. Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess. Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från begreppet hemliga uppgifter.

Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet). Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs. i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd. Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex. hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex. vissa verksamheter inom det kärntekniska området.

Man överger alltså begreppet ”hemlig” och övergår till den övergripande beteckningen ”säkerhetsskyddsklassificerade uppgifter”. Bakgrunden är att släppa kopplingen till offentlighets- och sekretesslagen (OSL) som ju endast är tillämplig på offentliga organisationer.

I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter. Kopplingen till offentlighets- och sekretesslagen kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig. Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m. som enligt skyddslagen är skyddsobjekt. Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex. verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet. Ett första steg är en ändrad systematik som bl.a. tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda.

Att kunna identifiera och klassa information är alltså avgörande för att kunna bedöma vad som ska falla under säkerhetsskyddslagen. Förutom att ringa in vilka uppgifter som är av betydelse för Sveriges säkerhet m.m.också för att definiera ”i övrigt säkerhetskänslig verksamhet” vilket är en utvidgad ersättning för det som skulle skyddas mot terrorism. Som exempel nämns alltså ”hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle”.  

Utredningen utlovar en beskrivning av hur säkerhetsskyddet ska utvecklas för de två verksamhetstyperna ( verksamheter som innebär hantering av säkerhetsskyddsklassificerade uppgifter och  verksamheter som av annan anledning är säkerhetskänslig (i övrigt säkerhetskänslig verksamhet).). Redan här börjar ett metodologiskt problem. Eftersom begreppet ”verksamhet” aldrig diskuteras så det är svårt att avgöra om en verksamhet avser en organisation, en del av en organisation, en process eller en aktivitet. Jag satsar på att det är en del av en organisation men inte en specificerad funktion utan något mer flytande.

I sina beskrivningar hur det konkreta säkerhetsskyddsarbetet ska utföras beskrivs visserligen en elefant kallad informationssäkerhet som vagt liknar de elefanter som jag känner till men spretar rejält i resonemangen. Jag skulle inte åta mig att ställa upp en logisk sanningstabell över utredningens utsagor.

En central poäng för utredningen är att säkerhetsskyddet som traditionellt varit inriktat på att skydda konfidentialitet nu ska vidgas till att även motverka brister i tillgänglighet och riktighet. Detta sägs samtidigt som man vill göra en internationell anpassning och ha fyra ”informationssäkerhetsklasser”. Vad man säger är alltså att man ska anpassa sig internationellt men samtidigt inte, att man ska ta med skydd för information även i förhållande till riktighet och tillgänglighet men samtidigt inte ta med de aspekterna i informationsklassningen. Även begreppen är motstridiga: man säger att informationen ska ”informationsklassificeras” trots att det enda som avses är en bedömning av behovet av konfidentialitet. Dessutom är de uppgifter som genomgått informationsklassificeringen inte informationsklassificerade som man skulle kunna tro utan säkerhetsskyddsklassificerade. Detta betyder att de ska hanteras i någon av de fyra informationssäkerhetsklasser som utgör säkerhetsskyddet…

För att gå vidare med klassificeringen så vill alltså utredningen att det ska införas fyra informationssäkerhetsklasser av internationell modell. Jag vill resa en stark invändning mot begreppet informationssäkerhetsklasser eftersom det inte är informationssäkerhet som klassificeras utan endast skydd mot obehörig åtkomst. Informationssäkerhet har, som utredningen i ett senare avsnitt framhåller, en etablerad definition där även aspekterna riktighet, tillgänglighet och allt oftare även spårbarhet ingår. Det är direkt vilseledande att använda ”informationssäkerhet” när man endast avser en delmängd. Jag kan faktiskt inte förstå varför man med berått mod vill skapa en källa till ständiga missförstånd och därmed väsentligen försvåra säkerhetsarbetet i de verksamheter där det ska bedrivas. Oansvarigt skulle jag vilja säga och en arrogans mot alla de som i sin dagliga gärning har att reda ut begreppen i sina respektive organisationer för att få litet praktisk verkstad.

Överhuvudtaget är synen på informationssäkerhet och klassning märklig och, jag ber om ursäkt, litet slapp. På sidan 346 slås aspekterna riktighet och tillgänglighet ihop som om de vore jämförbara entiteter trots att alla som arbetat med informationssäkerhet vet att det här högst olika åtgärder som är nödvändiga för de två aspekterna. Man hävdar också:

Riktighets- och tillgänglighetskrav är svårare att indela i nivåer än när det gäller konfidentialitetskrav. Detta på grund av att kraven kan vara mycket varierande i olika verksamheter och system och svårare att uttrycka i generella termer.

Med tanke på att SLA för tillgänglighet är de mest etablerade nivåkraven är första meningen svår att tolka. Att tillgänglighetskraven också styr en verksamhets prioriteringar vid en kris borde göra det än mer angeläget att ha en nivåindelning. För mig med ett osunt intresse för klassning och skyddsnivåer är andra meningen minst lika obegriplig – att kraven är varierande mellan verksamheter borde göra standardisering nödvändig. Enligt förslaget ser den praktiska hanteringen ut så här (s 344):

Vi föreslår därför att säkerhetsskyddsåtgärden informationssäkerhet delas upp i två delmoment. Det första tar sikte på skyddet av säkerhetsskyddsklassificerade uppgifter från det perspektivet att åtgärderna ska förebygga att uppgifterna röjs, ändras, görs otillgängliga eller förstörs. I informationssäkerhetssammanhang brukar man tala om skydd för konfidentialitet, riktighet och tillgänglighet. I denna del är det konfidentialitetsperspektivet som är det framträdande.

I det andra momentet anges att åtgärderna ska förebygga skadlig påverkan på informationstillgångar som annars är av betydelse för säkerhetskänslig verksamhet. I detta fall är det därför enbart riktighets- och tillgänglighetshänsyn som gör sig gällande. Med informationstillgångar avses information och informationssystem i vid bemärkelse, dvs. uppgifter, handlingar och tekniska system som används för att i olika avseenden elektroniskt kommunicera och i övrigt behandla uppgifter. Observera att begreppet har en delvis annan och mer långtgående betydelse i den internationella standarden för ledning av informationssäkerhet (LIS) där även människor ingår i begreppet.

Bortsett från skönhetsfläckar som benämningen av ISO-standarden (”ledning av informationssäkerhet”) är det andra momenten en egendomlig övning. Det handlar om någon slags friåkning och vars konsekvens är lika oklar som grunden för bedömningen. Där värderingen av negativa konsekvenser ur konfidentalitetssynpunkt ska ske i fyra nivåer saknas här helt nivåer, vad som ska bedömas är enbart ”betydelse”. Hur riktighet och tillgänglighet ska hanteras beskrivs ingenstans mer än i en indirekt hänvisning till säkerhetsskyddsanalysen samt här (s. 287):

Överlag ger säkerhetsskyddslagstiftningen i dag intryck av att den del av säkerhetsskyddet som inte handlar om hemliga uppgifter närmast ses som ett kompletterande skydd. En sådan ordning bör inte behållas. Som framgår av våra förslag i avsnitt 16.1, 17.1 och 18.1 föreslås syftet med de olika åtgärdsområdena (informationssäkerhet, fysisk säkerhet och personalsäkerhet) beskrivas med utgångspunkt från såväl de skyddsbehov som finns när en verksamhet hanterar säkerhetsskyddsklassificerade uppgifter som de skyddsbehov som finns i verksamheter som av annan anledning är säkerhetskänsliga. Några skillnader i fråga om åtgärder och förfarandet för de två inriktningarna anser vi inte vara motiverade.

Detta är så konstigt att jag inte riktigt vet hur jag ska reagera, särskilt som just denna utvidgning lyfts fram som en av de centrala förändringarna jämfört med gällande lag.  Frågor som vad detta innebär i praktiken hopar sig. Hur ska man avgöra vilken information  det gäller och i förlängningen vilken utrustning, kommunikationer m.m.  som ska användas? Vilka typer av åtgärder ska vidtas? Kommer staten att kräva att särskilda rutiner, viss utrustning och särskilda tjänster ska användas på samma sätt som när det gäller den säkerhetsklassificerade informationen? Kommer staten att ta på sig att utveckla eller certifiera utrustning? En vital fråga är också om information som bedöms som väsentlig av säkerhetsskyddskäl men enbart sett till krav på tillgänglighet och/eller riktighet (vet inte vad denna typ av information och andra informationstillgångar ska kallas för de är väl inte säkerhetsskyddsklassificerade?) också ska påtvingas säkerhetsskyddsåtgärder som gäller sekretessaspekten. Dessa frågors svar kommer att ha stor påverkan på både offentliga och enskilda organisationer.  Att då inte ägna energi åt att verkligen utreda vad förändringen består i och hur den ska tillämpas är ganska avgörande för hur utredningens kvalitet bör betygsättas.

När man kommer in på välkänd terräng (klassning ur sekretessynpunkt) är man desto mer mångordig. Här vill man främst med hänvisning till Försvarsmaktens förhållanden samt internationell anpassning införa 4 nivåer. Nackdelen är att man hela tiden utgår från att resten av världen fungerar som Försvarsmakten där hantering av säkerhetsskydd kan räknas som en kärnverksamhet. Exempelvis ids man inte ens ta upp frågan om hur verksamheter ska förhålla sig till först de fyra nivåer för informationsklassning som MSB rekommenderar och sedan ytterligare fyra konfidentialitet. Ska information bedömas på en totalt åttagradig skala eller hur tänker man?

Läs mer

Snedtänkt, atomskräck och säkerhetsskydd

Jag lyssnar på det senaste avsnittet av den underbara podden Snedtänkt som handlar om atomskräcken. Programledaren Kalle Lind och historikern Marie Cronqvist pratar om stämningen under kalla kriget och särskilt om skräcken för atomkriget som föranledde omfattande mer eller mindre välbetänkta åtgärder. Det är svårt att undvika att göra jämförelser med nutiden där atomkriget blivit cyberkrig med samma ryssar med tillägget av terrorister. Förmedlade hot och ständiga konfliktbudskap ger en förkrigsatmosfär vilken i sin tur ger grogrund till fake news och låga krav på sanningshalt inte bara hos ryssarna. Som Aiskylos skrev för sisådär 2500 år sedan; krigets första offer är sanningen. Det är helt enkelt inte särskilt lätt i en sådan samhällsstämning försöka inta en rationell hållning till hotbilder och rimliga säkerhetsåtgärder.

Med detta som bakgrund läser jag utredningen SOU 2015:25 som har ett grått omslag och en titel som är helt befriad från den putslustighet som många andra utredare hängett sig åt: ”En ny säkerhetsskyddslag”. Förtroendeingivande.

Säkerhetsskydd är ett svårhanterligt område. Samtidigt som det är något som alla vill ha i någon form finns det mycket starka skäl att det ska ha en så begränsad tillämpning som möjligt. Säkerhetspolisen (och Försvarsmakten) har mycket stora befogenheter som inskränker medborgarens normala fri- och rättigheter samtidigt som de åtgärder som vidtas ska skydda bland annat dessa rättigheter. Denna balansgång är alltid svår i en demokrati genom det asymmetriska informationsövertaget där de som representerar SÄPO och Försvarsmakten alltid kan hävda att de känner till hot som de tyvärr inte kan avslöja men som motiverar mer resurser och mer inflytande för säkerhetstjänsten. Bristen på transparens omöjliggör också för utomstående att bedöma säkerhetsskyddets effektivitet, så även för uppdragsgivaren. Dialogen mellan myndigheter och uppdragsgivare blir därför annorlunda jämfört med andra myndigheter som nagelfars i fråga om effektivitet i förhållande till behov och de resurser som tillförts. Dessutom innebär mandatet att SÄPO kan ålägga organisationer att genomföra olika typer av säkerhetsåtgärder (även tekniska lösningar) som inte organisationen själv valt, något som kan ha påverkan på organisationens ekonomiska förhållanden.

Därför måste dessa inskränkningar av rättigheter minimeras och starka motiv till inskränkningarna finnas och att den transparens som saknas i genomförande måste ersättas med så offentliga och tydliga spelregler som möjligt. Beslutsfattare, medborgare och andra aktörer har rätt att förvänta sig en förutsägbarhet i myndighetsutövningen och att element av godtycklighet är bannlysta. Förutsägbarhet bör i det här fallet innebära både att det är klart när lagen är tillämplig och vad konsekvenserna blir av att lagen ska tillämpas. Ytterligare en viktig utgångspunkt är att säkerhetsskydd inte är det enda sättet att skydda för samhället viktiga resurser och att hänsyn måste tas till att myndigheter och andra organisationer bedriver ett aktivt säkerhetsarbete som utgår från andra regelverk. För att säkerhetsskydd ska bli aktuellt räcker det inte med att en verksamhet är viktig eller känslig, brister i skyddet måste leda till risker för rikets säkerhet samt de övriga skyddsvärden som finns definierade. Detta är min utgångspunkt i läsningen av förslaget där jag först kommer att titta på några principiella frågor och i ett senare inlägg mer specifikt på de delar som gäller informationssäkerhet.

För utredningen står det klart att det behövs ett utvidgat säkerhetsskydd, något som framför allt uttrycks som negation. Utrednings ledmotiv är ”för snävt” som beskrivningen av dagens säkerhetsskydd, jag räknar till drygt 30 tillfällen där ”snävt” används i olika sammansättningar – oftast med ”allt för”. Säkert är det få som inte delar utredningens uppfattning att tiderna förändras och hoten ser annorlunda ut, däremot behöver inte per definition en förändring innebära utvidgning.

Den utvidgning som utredningen föreslår är att:

  • Fler verksamheter ska kunna falla under säkerhetsskyddet
  • Flera organisationer ska kunna falla under säkerhetsskyddet
  • Inom informationssäkerhetsområdet ska inte enbart konfidentialitet utan även riktighet och tillgänglighet bedömas

Förändringen är inte bara i omfattning utan ligger även djupare, i själva definitionen av vad som ska skyddas.

Vad är det egentligen som ska skyddas?

I den nuvarande lagstiftningen används begreppet rikets säkerhet som det som är styrande för vad lagen avser att skydda. Begreppet har traditionellt innehållit tre dimensioner: verksamhet, skyddsaspekt och typ av hot. Verksamhet har framför allt avsett den centrala statsmakten och militära förhållanden. Skyddsaspekten har varit konfidentialitet; obehörig åtkomst av information. Hot har varit relaterat till brott; på senare tid antagonism och terrorism. Med dessa ganska distinkta avgränsningar har det varit möjligt att identifiera vilken verksamhet och vilken information som omfattats av lagstiftningen liksom att vidta åtgärder för att förhindra obehörig åtkomst.

I förslaget till ny säkerhetsskyddslag förskjuts samtliga dessa parametrar. När det gäller verksamhet skriver utredningen:

I dag utgår säkerhetsskyddslagen från att behov av säkerhetsskydd främst handlar om skydd av hemliga uppgifter. Kopplingen till offentlighets- och sekretesslagen kan ge intryck av att säkerhetsskydd främst är en angelägenhet för myndigheter och andra offentliga organ för vilka den lagen är tillämplig. Därutöver handlar det om ett säkerhetsskydd med inriktning att skydda mot terrorism för flygplatser och byggnader, anläggningar m.m. som enligt skyddslagen är skyddsobjekt. Sådana avgränsningar är i dag för snäva och medför eller riskerar att medföra att t.ex. verksamheter som är av betydelse för att upprätthålla grundläggande samhällsfunktioner faller utanför tillämpningsområdet. Ett första steg är en ändrad systematik som bl.a. tydligare innefattar sådan säkerhetskänslig verksamhet som bedrivs hos enskilda. Vi föreslår att beskrivningen av säkerhetsskyddet ska utgå från två huvudsakliga inriktningar. Säkerhetsskyddet ska inriktas mot verksamhet som innebär hantering av säkerhetsskyddsklassificerade uppgifter. Det ska innefatta skydd av uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt säkerhetsskyddsåtagande och som till sin natur är sådana uppgifter som avses i bestämmelser om sekretess. Det innebär således en vidare ram än enligt den nuvarande lagen som utgår från begreppet hemliga uppgifter. Därutöver ska säkerhetsskyddet inriktas mot verksamheter som av annan anledning behöver ett säkerhetsskydd (i övrigt säkerhetskänslig verksamhet). Det motsvarar delvis vad som i dag skyddas inom ramen för skydd mot terrorism, dvs. i huvudsak verksamhet vid skyddsobjekt, flygplatser och vissa verksamheter som ska skyddas enligt folkrättsliga åtaganden om luftfartsskydd, hamnskydd och sjöfartsskydd. Det skyddsvärda området bör inte avgränsas genom regleringen om skyddsobjekt, utan ska utformas så att det även kan innefatta annan säkerhetskänslig verksamhet, t.ex. hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamhet som behöver skyddas på den grunden att den kan utnyttjas för att skada nationen, t.ex. vissa verksamheter inom det kärntekniska området.

Att säkerhetskänslig verksamhet idag också kan vara privat är inte mycket att orda om. Däremot öppnar den sista meningen upp för en definition som liknar begreppet ”samhällsviktig verksamhet” som MSB:s definition  är:

En verksamhet som uppfyller minst ett av följande villkor:

  • Ett bortfall av, eller en svår störning i verksamheten som ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid kan leda till att en allvarlig kris inträffar i samhället.
  • Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt.

Med samhällsviktig verksamhet menas de verksamheter, anläggningar, noder, infrastrukturer och tjänster som upprätthåller den funktion som de ingår i och är verksamhet som är av avgörande betydelse för upprätthållandet av viktiga samhällsfunktioner. Samhällsviktig verksamhet kan vara av nationell, regional eller lokal betydelse. Vad som är samhällsviktigt kan variera beroende på vilka situationer vi ställs inför och i takt med att samhället utvecklas.

Var gränsen går mellan ”säkerhetskänslig” å ena sidan och ”samhällsviktig” å andra sidan framstår i alla fall inte för mig som uppenbart. I kapitel 13.1 presenteras ett försök att utreda inom vilka samhällssektorer finns särskilda skyddsvärda funktioner (som då ska omfattas av säkerhetsskyddslagen). Inte heller efter att ha studerat det blir skiljelinjen distinkt även om man här försöker ringa in mer exakt vad det är som avses. Ett rättesnöre skulle kunna ha varit att säkerhetskänslig verksamhet måste vara av nationell betydelse men inte heller detta håller när man på sidan 245 skriver:

Det bör därför krävas ett kvalificerat skyddsbehov utifrån för samhället fundamentalt viktiga funktioner för att åtgärder enligt säkerhetsskyddslagstiftningen ska vara motiverade. Dessa funktioner kan, trots kravet på nationell betydelse, finnas i en regional eller till och med i en lokal kontext.

Situationen förbättras inte heller av att utredningen föreslår på oklara grunder att begreppet ”rikets säkerhet” ska bytas ut mot ”Sveriges säkerhet”. Orsaken att frångå det inarbetade begreppet till ett med mer territoriell konnotation sägs någonstans vara en vilja att vidga begreppets tillämpning samtidigt som det i den egentliga förklaringen skrivs:

Benämningen rikets säkerhet ska ersättas med Sveriges säkerhet vilket endast är en språklig ändring.

Att det kan råda osäkerhet kring den nya lagens tillämpningsområde är olyckligt. En risk är att en allt för vid tillämpning leder till att medborgares grundlagsfästa rättigheter inskränks (information görs otillgänglig, övervakning sker, personkontroller införs, ekonomiska förhållanden påverkas, arbetsmöjligheter försvåras) i ett alltför stort antal verksamheter som  efter beslut av SÄPO börjar hanteras i extraordinära former. Denna risk förstärks av oklarheten i vem som ska avgöra om en verksamhet är säkerhetskänslig eller inte.  En intressant fråga är vad som händer om en organisation själv genom en säkerhetsskyddsanalys kommer fram till att det saknas säkerhetskänslig verksamhet medan SÄPO hävdar motsatsen. Frågan blir ännu intressantare om man betänker a) det är ett vinstdrivande företag b) säkerhetsskydd kostar avsevärda resurser.

Det är också litet svårt att se en förståelse för de beroendekedjor som finns i dagens samhälle och hur svårt det är att avgränsa enskilda verksamheter. Utan tydliga avgränsningar skulle väsentliga delar av det svenska näringslivet inom it, telekom, kraft, livsmedel, bank och finans, vård och omsorg samt underleverantörer till dessa i värsta fall kunna omfattas av säkerhetsskyddslagstiftningen. Alternativt skulle lagen kunna tillämpas på ett sätt som skulle kunna vara konkurrenspåverkande, som att i vissa sektorer skulle underleverantörer ses som säkerhetskänsliga, i andra inte.

Ytterligare en risk är att oren uppdelning mellan samhällsviktig respektive säkerhetskänslig verksamhet skulle kunna påverka krishanteringsförmågan. Om en allvarlig händelse definieras som i första hand något som ska hanteras av SÄPO kan det leda till att det återställande krisarbetet försvåras exempelvis genom att information hemligstämplas.

I nästa inlägg alltså mer om informationssäkerhet i förslaget.

 

Vart leder den nationella säkerhetsstrategin?

Innan jag fortsätter diskutera e-demokrati måste jag göra ett inlägg om en aktualitet: den nationella säkerhetsstrategin som presenterades på försvarsområdets Almedalen Folk och försvar. Det är med viss förväntan jag läser strategin där ett helt avsnitt ägnas åt Informations- och cybersäkerhet, digitala risker, illustrerat av ett stridsflygplan.

Det positiva med strategin är att det litet intrasslat beskrivs att digitaliseringen förutsätter bättre informationssäkerhet även om det känns som beskrivningen känns som ihopklippt från några gamla dokument. Förväntan på att strategin ska innehålla något substantiellt och inriktande om informationssäkerhet avklingar tyvärr snabbt och stridsflygplanet visar sig vara en ganska kongenial illustration. Fokus ligger helt och hållet på att upprätthålla funktionalitet i samhällsviktig verksamhet, mycket litet om ens något sägs om integritet, mänskliga rättigheter, riktighet, kvalitet eller effektivitet i verksamheten. När tillit nämns är det tillit till digitaliseringen som nämns (!) medan demokratifrågan är mycket avlägsen. Detta att jämföra med den nationella strategi för informationssäkerhet  som togs fram 2009 som hade som målbild:

  • Medborgares fri- och rättigheter samt personliga integritet.

  • Samhällets funktionalitet, effektivitet och kvalitet.

  • Samhällets brottsbekämpning.

  • Samhällets förmåga att förebygga och hantera allvarliga störningar och kriser.

  • Näringslivets tillväxt.

  • Medborgares och verksamheters kunskap om, och förtroende för informationshantering och IT-system.

Den nu aktuella nationella säkerhetsstrategin omfattar hela säkerhetsområdet men skiljer sig också åt från andra strategier, inklusive den tidigare informationssäkerhetsstrategin, genom att inte ange några mål. Istället inleds strategin med något som kallas ”Våra nationella intressen”.  Huruvida dessa intressen är tillgodosedda idag eller inte är oklart eftersom strategin raskt kastar sig över till ”hot” och ”åtgärder”. Det ger en särskild prägel åt strategin eftersom den inte förmedlar några mål som skulle innebära nya möjligheter utan istället anlägger en defensiv hållning. Detta är ganska långt ifrån regeringens offensiva inriktning inom digitaliseringsområdet.

Utmaningar som frammanas inom cyber- och informationssäkerhetsområdet anges de endast som förekommande i form av antagonistiska hot:

Några exempel på sådana utmaningar är antagonistis­ka hot såsom informationsoperationer och elektroniska angrepp mot skyddsvärda informations- och kommunika­tionssystem, t.ex. i form av datain­trång, sabotage eller spionage, exempelvis mot totalförsvarets verksamhet. It-angrepp för att bedöma, påverka eller störa samhällsviktiga funktioner som ett förstadium till en väpnad konflikt hör också hit. It-angrepp riskerar också att otillbörligt påverka utgången av demokratiska val.

Tyvärr finns det ju inget bra kunskapsunderlag om de bakomliggande orsakerna till störningar i informationshanteringen och hur de fördelas  mellan antagonistiska respektive icke-antagonistiska incidenter. Som jag tidigare skrivit finns det indikationer att de vanligast förekommande incidenterna är av typen uppdateringsproblem och programvarufel. Detta stämmer även med den bild jag har efter rätt många år i branschen även detta liksom andra utsagor i frågan får ses som löst grundade antaganden eller anekdotiska bevisföringar. Det är därför synd att strategin ensidigt inriktar sig på de antagonistiska hoten eftersom det riskerar att ge det fortsatta arbetet en slagsida som gör effektiviteten i nationella informationssäkerhetsarbetet mer begränsad. Ytterligare en negativ aspekt med att uttala en så tydlig inriktning är att det ger intrycket av att det finns kvalitativt kunskapsunderlag i frågan. Det kan i sin tur leda till att det nödvändiga arbetet med att hitta former för att skapa och ständigt uppdatera ett sådant kunskapsunderlag inte initieras.

Vilka åtgärder föreslås då för att komma till rätta med den allvarliga situation som målats upp? Ja, det är ganska svårt att se några mer konkreta åtgärder vid sidan om sådant som redan finns eller redan är beslutat. Det talas om de risk- och sårbarhetsanalyser respektive säkerhetsanalyser som redan är föreskrivna, om it-incidenter, om förslaget på ny säkerhetsskyddslag och om den nationell strategi för informations- och cybersäkerhet som bl. a. bygger på NIS-direktivet som håller på att tas fram. I övrigt rader som:

Därtill bör arbetet med de globala dimensionerna av informations- och cybersäkerhets­frågorna intensifieras.

Vilket väl kan betyda vad som helst.

Kanske är det fel att förvänta sig något annat än det som redan framförts i andra sammanhang i den här typen av dokument, särskilt som den nationella strategin för informations- och cybersäkerhet är i antågande. Det känns ändå som ett förlorat tillfälle att inte använda en strategi för att beskriva ett framtida önskvärt tillstånd och försöka skapa en helhetsbild.

Med denna bakgrund vill jag föra fram tre centrala önskemål på vad som borde ingå i den kommande informationssäkerhetsstrategin:

  • Analysera och redovisa vilka olika syften som informationssäkerheten ska tjäna på samhällsnivå, även de som ligger vid sidan om att upprätthålla funktionalitet i beredskapssyfte. Till exempel hur informationssäkerheten ska kunna stärka tilliten i viktiga samhällsfunktioner genom att säkerställa integritet, effektivitet och kvalitet.

  • Skapa organisatoriska former där olika informationssäkerhetsintressen kan samverka i en gemensam styrmodell – om informationssäkerheten annekteras och görs om till ett rent försvarsintresse kommer digitalisering, effektivitet, integritet och demokrati inte att kunna hanteras på ett rimligt sätt

  • Skapa ett bättre kunskapsunderlag – det är  särskilt viktigt att myndigheter går i bräschen och arbetar evidensbaserat i dessa faktaresistenta tider

Både mål och åtgärder måste motsvara alla de olika behov som som informationssäkerhetsarbetet ska täcka. Om strategin för informations- och cybersäkerhet inte klarar att omfatta andra aspekter än funktionalitet i ett beredskapsperspektiv kommer det att orsaka stora problem i den offentliga verksamheten. Myndigheter, kommuner, landsting och även företag i välfärdsbranscher kommer då att bli tvungna att själva försöka skapa lösningar för att upprätthålla helhetsperspektivet på informationssäkerhet. Resultatet blir fler stuprör istället för ökad standardisering och på sikt kanske ett nytt begrepp fastställas som täcker helheten och som kan ersätta ”informationssäkerhet”.

 

 

 

Vilse på digitaliseringens hav (2)

 

Via nätet tassar jag virtuellt omkring och försöker förstå vad som händer i digitaliseringsfrågan bakom departementens dörrar. Jag ber redan nu om ursäkt om jag misstolkat något – det är inte alldeles enkelt att få en överblick.

Jag börjar med att regeringen tillsatt en utredning för att:

kartlägga och analysera i vilken utsträckning det förekommer lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga förvaltningen.

vilket innebär ställer man sig återigen inför uppgiften att försöka få ihop delarna på ett konstruktivt sätt. Jag måste dock medge att att formuleringen ”lagstiftning som i onödan försvårar” får mig att hoppa om inte högt så åtminstone medelhögt. Synsättet på lagstiftningens roll känns inte genuint respektfullt om man säger så. Mer glädjande är att utredaren ska ta hänsyn till bland annat regeringens kommande strategi om informations- och cybersäkerhet innan man redovisar sitt uppdrag i mars 2018.

Utredningen kan ses som en pendang till den utredning som tillsattes i maj med uppdrag att:

analysera och ge förslag till effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster.

Utredaren ska enligt samma uppdrag, med utgångspunkt i de nationella digitala tjänsterna Mina meddelanden och Svensk e-legitimation, analysera tjänsterna och lämna förslag till utformning av:

– organisering och ansvarsfördelning för de nationella digitala tjänsterna,

– åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och

– samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna.

Den senare utredningen har redan fått ett tilläggsuppdrag för att analysera om det vore bra att skapa en ny myndighet för att stärka digitaliseringen. Uppdraget inklusive eventuellt förslag om nya myndighetskonstruktioner ska redovisas i mars 2017(!).

Och det är här jag börjar fundera över hur regeringen ska få ihop digitalisering och informationssäkerhet. Nu finns ju ett utmärkt tillfälle att lyckas och det vore, tror jag, fatalt om detta tillfälle inte tas.

Låt mig understryka att jag tycker det är väldigt bra att regeringen visar handlingskraft i digitaliseringen och att en ny myndighet mycket väl kan vara vägen framåt. Men jag ställer mig tveksam till tidsschemat och till samordningen av de olika utredningarna. Min personliga riskanalys tyder på att risken att informationssäkerhet och integritet inte kommer att få den tyngd som är nödvändig för ett långsiktigt bra resultat är överhängande.

Vi har alltså en utredning som ska bedöma de rättsliga förutsättningarna för digital samverkan som ska redovisa i mars 2018 medan en annan utredning ett år före de rättsliga förutsättningarna är klarlagda ska komma med färdiga organisatoriska förslag. Till ytter mera visso ska utredningen om de rättsliga förutsättningarna ta hänsyn till en strategi alternativt flera strategier som ännu inte finns i sinnevärlden men som ska hantera följande:

Det förändrade omvärldsläget gör att samhällets behov av informations- och cybersäkerhet har ökat påtagligt. Digitaliseringen i samhället har bl.a. inneburit nya former av kommunikation, datahantering och datalagring, vilket medfört nya risker och sårbarheter. För att den digitala utvecklingen ska kunna fortsätta på ett säkert sätt behöver alla aktörer, såväl privata som offentliga, mer aktivt arbeta med informations och cybersäkerhet. Regeringen avser därför att utarbeta en nationell strategi som omhändertar olika perspektiv för att kunna identifiera och möta utmaningar mot samhällets informations- och cybersäkerhet. Det är också av central betydelse att genomföra EU-direktivet om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem (NIS-direktivet). Direktivet innebär bl.a. högre krav på enskilda aktörer som bedriver samhällsviktig verksamhet och som är beroende av informationssystem. Direktivet innehåller också skyldigheter för varje medlemsstat att anta en nationell strategi för ökad säkerhet i nätverk och informationssystem.

Exakt hur strategin/strategierna ska tas fram och vad de ska innehålla är för mig litet oklart eftersom den enda mer officiella beskrivningen jag hittat finns i budgetpropositionen. Men strategin/strategierna ska alltså, så vitt jag förstår, ta ut riktningen i allt från höjd beredskap till den effektivitetsinriktade vardagliga digitaliseringen, från kommunikationsinfrastuktur till ”informationssystem”. Som sagt en omfattande uppgift som påtagligt rör åtminstone fyra departement. Däremot omnämns inte den kanske mest påtagliga kravställaren på informationssäkerhetsåtgärder i närtid; dataskyddsförordningen. Med risk för att upprepa mig så sker detta samtidigt som Integritetskommittén lagt fram ett delbetänkande som borde föranleda en stark oro även hos regeringen angående de brister som uppdagats i olika sektorer då det gäller hanteringen av personuppgifter.

I det här sammanhanget är det mest anmärkningsvärda med strategin/strategierna som tycks vara i det allra första fasen av sin tillblivelse ändå ska tjäna som underlag för ett förslag som ska läggas fram om drygt ett år. Och om strategin är på samma nivå som strategier av denna typ plägar vara – ger den verkligen utredningen rätt underlag för frågeställningarna? Är det inte mer konkretiserade inriktningar som skulle behövas, d.v.s. strategins uttolkning?

Och så har vi ju förslaget till ny säkerhetsskyddslag som ligger och lurar i vassen…

Om vi dessutom plussar på med att regeringen trycker på i den näringslivsstödjande inriktningen Öppna data så är mångfalden av delvis disparata krav som ställs på den offentliga informationshanteringen överväldigande.

Som betraktare utanför departementen förfaller behovet av en samordnad plan lika överväldigande. En alternativ turordning till ovanstående skulle vara att göra en inledande utredning med uppdrag att redovisa en sammantagen bild av förutsättningarna för digitaliseringen innan man utreder hur den ska organiseras nationellt. I förutsättningar räknar jag då in kraven på informationssäkerhet i olika riktningar, t.ex. cybersäkerhet men i lika hög grad som stöd för att skydda den personligheten enligt dataskyddsförordningen eller för att ge informationen den riktighet och spårbarhet som krävs för öppna data. För att det här ska fungera skulle det vara lämpligt att regeringen inte bara initierade en utredning för att kartlägga de rättsliga förutsättningarna. Även en som kartlade och analyserade behovet av informationssäkerhet för att stödja digitaliseringen skulle behövas som underlag för en informations- och cybersäkerhetsstrategi.

Man kan ställa sig den berättigade frågan om det egentligen är så intressant hur departementen organiserar sitt inre liv. Just i det här fallet tycker jag det eftersom resultatet av vedermödorna ”drabbar” myndigheter, kommuner och landsting. En brist på samordning inom departementen leder till bristande samordning och svårigheter att prioritera hos de redan hårt pressade objekten för styrning. Kommunen säkerhetssamordnare får därmed i skarp drift försöka reda ut den samordning som departementen misslyckats med. Ökade kostnader, ineffektivitet och sämre säkerhet är en ganska realistisk konsekvens.

Digitalisering förknippas ju ofta med innovation och nytänkande. Den, i mitt tycke, fragmentiserade utredningsordningen riskerar leda till att större sammanhang inte upptäcks och att den nyorientering i organisationsfrågor som skulle behövas nog inte kommer att ske. Jag har till exempel tidigare efterlyst att informationssäkerhetsarbetet mer ska drivas av de aktörer som har ett verksamhetsbehov av god säkerhet. Det skulle bland annat vara de stora tillhandahållarna av digitaliserade tjänster liksom de som tillhandahåller e-hälsa som behöver ta krafttag om de ska infria dataskyddsförordningen, OECD:s inriktning m.m. En tänkbar lösning skulle vara att lyfta över samordningen av det informationssäkerhetsarbete som inte gäller civilt försvar till en ny digitaliseringsmyndighet. Då skulle en organisatorisk samordning uppstå på nationell nivå som skulle förenkla för kommunen som ska försöka styra sin informationshantering så att den både är effektiv och säker.

 

Varför funkar det inte? Del 9

Efter att ha spekulerat om varför informationssäkerhetsarbetet inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre. Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens rapport om informationssäkerheten vid nio myndigheter. Riksrevisionen bedömer att ”de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”. Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att ”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.”. Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.

Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare. Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.

En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar. Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar. Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter. En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.

I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå. Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas. Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är. För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp:

  • Försvarsmaktens insatser
  • Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism
  • Det civila försvaret
  • Samhällets krisberedskap
  • Stöd till myndigheter, kommuner, företag m.m. för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.

Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet. Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna. Jag tror att det är här vi måste stanna till och inse att det inte är samma informationssäkerhet som det ställs krav på i de olika sammanhangen. En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap. Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet. Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens möjligheter.

Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på. Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade. Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.

Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt. Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.

 

 

caspar_david_friedrich_-_wanderer_above_the_sea_of_fog

 

Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen. En gemensam styrmodell innebär inte att samma styrmedel används överallt. Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar. Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar. Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer. Även detta förhållande måste avspeglas i den strategiska inriktningen.

Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd. När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att det informationssäkerhetsarbete som bedrivs i normalläget integreras med statens digitaliseringssatsning. Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.

För mig är det en viktig princip att informationssäkerhetsarbetet måste styras av behov, inte av utbud. Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet. När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar. Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.