Att svära i kyrkan

I mina funderingar om en tänkbar nationell styrmodell för informationssäkerhet slås jag av vilket i mitt tycke oproportionerligt intresse incidentrapportering fått som säkerhetsåtgärd.

För att ge en snabb bild av nuläget så har MSB sedan snart två år en särskild föreskrift angående obligatorisk it-incidentrapportering för statliga myndigheter. Till detta kommer dataskyddsförordningens krav och förslaget på NIS-direktivets tillämpning i Sverige som båda framför starka krav på incidentrapportering. Dataskyddsförordningen kommer att träda i kraft i maj 2018, samma månad som även utredningens förslag rörande NIS-direktivet sannolikt kommer att sjösättas.

MSB:s incidentrapportering är alltså inriktad enbart på statliga myndigheter och gäller uttryckligen endast it-incidenter. MSB:s definition handlar inte om störning på verksamhetens processer utan vilken typ av, framförallt teknisk, orsak som lett till störningen samt i vissa fall konsekvenser för informationshantering:

  1. störning i mjuk- eller hårdvara,

  2. störning i driftmiljö,

  3. informationsförlust eller informationsläckage,

  4. informationsförvanskning,

  5. hindrad tillgång till information,

  6. säkerhetsbrist i en produkt,

  7. angrepp,

  8. handhavandefel

  9. oönskad eller oplanerad störning i kritisk infrastruktur, eller

  10. annan plötslig oförutsedd händelse som lett till skada (3 §).

Det är alltså ett tämligen icke-stringent incidentbegrepp (lägg märke till att begreppet ”plötslig” överraskande kommer in under punkt 10) som används. Att notera är också att bristande spårbarhet inte nämns som en incidenttyp.

Dataskyddsförordningen, som i princip kommer att gälla i alla offentliga och privata organisationer som hanterar personuppgifter, har ett incidentbegrepp som är helt inriktat på personuppgifter:

personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

Det är framför allt obehörig åtkomst (konfidentialitet) men även förlust eller förvanskning (riktighet) av personuppgifter som ska ses som incidenter i detta perspektiv. Det bör dock understrykas att för att kunna efterleva dataskyddsförordningens övriga krav är både positiv och negativ spårbarhet en central faktor. Däremot kan en personuppgiftsincident lika gärna ske i icke-digitala som digitala medier – det är alltså inte enbart it-incidenter som är aktuella (vilket särskilt bör beaktas med tanke på att den s.k. missbruksregeln i PuL försvinner).

I författningsförslaget gällande NIS-direktivet slutligen är definitionen av incident:

incident: en händelse med en faktisk negativ inverkan på säkerheten i nätverk eller informationssystem

Precis som i MSB:s och Dataskyddsförordningens definitioner lyser verksamhetspåverkan med sin frånvaro, det är nätverken och informationssystemen som är objektet för regleringen som gäller både offentliga och privata aktörer i följande samhällsviktiga branscher:

  • Energi (elektricitet, olja, gas)
  • Transporter (lufttransporter, järnvägstransporter, sjöfart, vägtransport)
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård (hälso- och sjukvårdsmiljöer [inklusive sjukhus och privata kliniker])
  • Leverans och distribution av dricksvatten
  • Digital infrastruktur

En självklar fråga är om den bristande samordning som av de tre olika regleringarna är acceptabel. Det förefaller inte finnas några planer för att förenkla för de som kommer att behöva rapportera samma incident i två eller i värsta fall tre olika stuprör. Gissningsvis måste MSB:s befintliga inrapportering och den som följer av NIS samordnas eftersom de båda ska ske i MSB:s regi men då kvarstår ändå personuppgiftsincidenterna. Och i författningsförslaget för NIS-direktivet finns det en antydan om att är bra om tillsynsmyndigheterna samarbetar:

med Datainspektionen när den handlägger incidenter som medfört personuppgiftsincidenter och innan ett åtgärdsföreläggande meddelas,

så det finns kanske hopp om en praktisk samverkan.

Jag ska inte fördjupa mig ytterligare i samordningsproblemen även om de är nog så intressanta för alla som kommer att drabbas av dem. Istället tänker jag svära litet i den nationella säkerhetskyrkan och ifrågasätta om det verkligen är rimligt att satsa så mycket intresse och resurser på just incidentrapportering. Man kan göra den inte helt rimliga analogin till en enskild organisation som ska förbättra sin informationssäkerhet och då satsar större delen av sitt krut på incidentrapportering – skulle vi då tycka att det är en ändamålsenlig satsning? Den kritiske kan här invända att författningsförslaget för informationssäkerhet i samhällsviktiga och digitala tjänster innehåller litet vaga krav på säkerhetsåtgärder:

14 § Leverantörer av digitala tjänster ska utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster inom unionen. Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning och 5. efterlevnad av internationella standarder.

Samt även ett system för tillsyn med ett antal tillsynsmyndigheter (varav ett par redan tackat nej till uppdraget i sina remissvar). Huvudpunkten är ändå incidentrapportering vill jag hävda. Är detta då den mest effektiva åtgärden för att förbättra säkerheten?

Låt oss då först titta på syftet med incidentrapportering. I en organisation är incidentrapportering inte en lösryckt aktivitet utan del i en incidenthantering där den fyller flera olika syften:

  • Initiera akut felavhjälpning
  • Inleda återställelsearbete (kontinuitetshantering)
  • Ge underlag för långsiktig förbättring
  • Rapportering internt och externt
  • Indirekt: försörja riskanalys och informationssäkerhetsarbetet i stort

Behovet av informationskvalitet i rapporteringen är olika för de olika syftena. För att inleda akut felavhjälpning krävs mycket snabb kommunikation, däremot kan inte den som anmäler felet förväntas kunna redogöra för orsaken. För att inleda kontinuitetshanteringen måste en koppling kunna göras mellan de drabbade informationsbärarna och verksamhetsprocesser för att rätt prioriteringar av återställelse respektive reservrutiner ska kunna göras. Underlaget för långsiktig förbättring måste vara av mer analytisk karaktär men också bygga på en konsistent tillämpning av begrepp för att mönsterigenkänning ska kunna göras. Kravet på god informationskvalitet gäller även för rapportering, riskanalysen och för informationssäkerhetsarbetet i mer vida termer.

Hur har man då resonerat i dessa frågor när det gäller den nationella rapporteringen. Inte alls vad jag kan se, det är till och med svårt att utläsa vad syftet med den befintliga incidentrapporteringen egentligen är även om den dåvarande inrikesministern Ygeman 2015 så följande då beslutet att införa rapporteringen togs:

Syftet med ett sådant system är att möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning. Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre. Sådana it-incidenter kan röra exempelvis störningar i mjukvara, hårdvara eller driftmiljö eller förlust av data i olika sammanhang. It-incidenter kan orsakas av bland annat externa attacker, säkerhetsbrister i it-produkter eller felaktigt handhavande.

Det är alltså inte incidenthantering som eftersträvas utan ”en förbättrad lägesbild”. För mig förefaller det torftigt att ha en lägesbild som består av tekniska incidentbeskrivningar men jag tror också att inrapporteringsmoralen påverkas i starkt negativ riktning med tanke på att den svaga möjligheten till payoff eftersom det inte handlar om incidenthantering. Egentligen inte ens om rapportering utan endast om incidentanmälan eftersom meddelande om att något hänt ska ske innan någon djupare analys har hunnit ske. Samma oklarhet gäller även rapporteringen av personuppgiftsincidenter och rapportering enligt NIS-direktivet – det enda som kan hända är att man får ett besök av tillsynsmyndigheten för att uttrycka sig raljant. Att både MSB och Datainspektionen hävdar att det finns ett starkt behov av att sekretessbelägga rapporteringen gör att den lägesbild som uppges vara huvudsyftet för åtminstone MSB kommer att vara tillgänglig i mycket begränsade kretsar. Erafarenhetsåtervinningen på nationell nivå är därmed inget som kan locka fler att rapportera.

Att det sannolikt kommer att saknas ett starkt driv att rapportera incidenter påverkar kvaliteten i lägesbilden. Ytterligare en aspekt som påverkar kvaliteten är den svaga begreppsmodelleringen av vad som ska inrapporteras samt att det saknas kriterier för verksamhetspåverkan i rapporteringen. Här hade stora lärdomar kunnat hämtas från exempelvis smittskyddsområdet och överhuvudtaget från ett mer vetenskapligt förhållningssätt. Att resonemang i denna riktning helt saknas både i dataskyddsförordning och i NIS-direktivet talar för sig själv.

Att incidentrapporteringen ändå fått ett så stort genomslag som universalmedel beror förmodligen på att den har en USP. Det går nämligen att förklara vad incidentrapportering är för politiker och andra makthavare medan många andra säkerhetsåtgärder på systemnivå kräver betydligt mer i pedagogik. Incidenter kan också kopplas till mer actioninriktad kommunikation som kan leda fram till snabba beslut än en diskussion om hur informationssäkerhet ska bli en normal del av förvaltningen. Men, som alla vet, är det inte alltid det som är lätt att sälja som är det vi bäst behöver.

Sammantaget tror jag följande. Den nationella incidentrapporteringen kommer inte att ge de enskilda organisationerna något stöd i det egna informationssäkerhetsarbetet och kvaliteten i de rapporter som faktiskt sker kommer att vara låg. Den gemensamma lägesbilden som summa kommer inte ha högre kvalitet än de ingående delarna och kommer därför att ha ett värde som inte är i paritet med fokus och de resurser som läggs på incidentrapporteringen. Vore det då inte bättre att försöka göra en något djupare analys och försöka reda ut vilka åtgärder som skulle ha en reellt säkerhetshöjande effekt på nationell nivå? Eller åtminstone sätta in incidentrapporteringen i ett sammanhang som redovisas och som kan vara del av en större styrmodell?

 

 

E-hälsohistorien upprepar sig

Här kommer ett litet mellanspel i min långa rant om varför informationssäkerheten inte funkar. Istället ska jag ägna ytterligare några rader åt e-hälsa.

I slutet av september inträffade ett nytt stort it-haveri i Stockholms läns landsting (SLL) där flera sjukhus drabbades på ett sådant sätt att patientsäkerheten uppgavs hotad.

I SLL:s digitala lösningar har större incidenter skett vid ett antal tillfällen under de senaste åren och det var bara någon månad sedan en mycket allvarlig händelse skedde i Uppsala.  Som samhällsmedlem och patient in spe med viss insikt om hur det ser ut på e-hälsoområdet är jag djupt oroad. Trots att de många och allvarliga incidenterna som utgör en stor risk för patientsäkerheten och för patienternas integritet tycks insikten om de stora problemen med säkerhet inte engagera vårdens makthavare nämnvärt. Pliktskyldigt sägs några fraser om säkerhet, sedan störtar samtalet vidare med muntra trumpetstötar om att Sverige ska bli bäst i världen på e-hälsa vilket inte förefaller innebära att vi ska bli bäst i världen på en säker e-hälsa. Digitalisering beskrivs i närmast messianska former och diskussionsklimatet är av en sådan karaktär att det problematiserande som är nödvändigt för alla framgångsrika utvecklingsprojekt avvisas kategoriskt och sägs till och med vara ”förbjudet”. Jag ser detta i sig som djupt problematiskt eftersom digitaliseringen, liksom alla andra större samhällsförändringar, innebär reella intressekonflikter som måste hanteras på ett rationellt sätt. Detta gäller även inom informationssäkerhetsområdet specifikt där till exempel tillgänglighet och skydd mot obehörig åtkomst alltid måste balanseras mot varandra.

Historiskt har ,enligt min uppfattning, flertalet e-hälsolösningar hastats fram utan gemensam strategi i meningen långsiktig målbild och långsiktig planering där behov och beroenden är analyserade och utvärderade i en öppen diskussion. Alltför ofta har mycket kostsamma och administrativt krävande lösningar (tänk exempelvis NPÖ) dykt upp utan att behov, säkerhet och kvalitet har klarlagts. Efter att ett stort antal miljoner flödat in i de ofärdiga projekten har de försvunnit till en kyrkogård av misslyckade visioner.

När jag läste följande tweet kändes den därför som ett mycket tråkigt exempel på att vårdens makthavare tycks oförmögna att lära sig av tidigare misstag:

forslund Läs mer

Varför funkar det inte? Del 1

Jag höll häromveckan ett föredrag på Dataföreningen med ovanstående titel. Min tes, eller mitt påstående snarare, är att arbetet med att få en fungerande informationssäkerhet inte fungerar särskilt bra. Detta gäller både i den enskilda organisationen och på en nationell nivå. Kanske överraskade föredragets inriktning några av de ganska många åhörarna eftersom det mer handlade om ”våra” interna problem, alltså vi som arbetar professionellt med informationssäkerhet och inte de yttre förhållanden som vanligtvis diskuteras.

Detta är dock frågor som jag funderat ganska länge på och där jag under föredraget förde fram ett antal aspekter som jag menar påverkar den nuvarande situationen med en otillräcklig informationssäkerhet. I hopp om att fler i informationssäkerhetsbranschen ska känna sig motiverade att bidra med egna erfarenheter och reflektioner tänkte jag skriva några blogginlägg med utgångspunkt från det föredrag jag höll.

Låt oss vara överens om att det inte fungerar bra

Först kanske påståendet i titeln ändå måste utvecklas något. Visserligen är det svårt att säga vad ”fungerar bra” skulle kunna vara. Detta understryks genom att det i hög grad saknas forskning på området och andra typer av offentligt redovisade undersökningar. Det känns också otillräckligt att bara vidareförmedla utsagor från olika särintressen eller vad talskrivare lämnat till Anders Ygeman att framföra angående läget. I den trendrapport som sammanställdes av ett antal myndigheter 2015 bygger man sina spaningar på 103 angivna referenser. Problemet är bara att den absoluta huvuddelen av referenserna är inriktade på en extern hotbild, i bästa fall något om incidenter i it-system som går att hänföra vissa specifika antagonistiska hot, men ingen av referenserna förefaller ha ägnat sig åt störningar i verksamheter. Det vill säga störningar i informationshanteringen som påverkar verksamheten och som då lika gärna skulle kunna bero på hårdvarufel som vid Tieto-incidenten 2011 som på antagonistiska attacker. Detta har naturligtvis inte hindrat rapportförfattarna att dra slutsatser om trender men för den som verkligen är intresserad av hur informationssäkerheten fungerar är det alldeles otillräckligt.

Låt oss ändå vara överens om att det finns starka indikationer på att det händer ett stort antal incidenter och att realiserade incidenter är ett tecken på att vidtagna säkerhetsåtgärder inte skyddar verksamheten på ett rimligt sätt. En mer systematisk genomgång av incidenter som drabbat verksamheter och privatpersoner tror jag skulle visa att huvuddelen skulle gå att undvika med väl kända metoder som exempelvis bättre kontroll över uppdateringar i it-tjänster. En nackdel med incidentbegreppet är att det har en tendens att enbart fånga upp mer uppseendeväckande och kanske antagonistiska situationer. Störningar av mindre dramatisk karaktär men som kan påverka verksamheten sammantaget på ett mer negativt sätt får inte samma uppmärksamhet vilket kan leda till felprioriteringar i åtgärdsarbetet.

Ett annat sätt försöka bedöma om informationssäkerhetsarbetet är funktionellt är ett klassiskt compliance-perspektiv; att kontrollera om regler efterlevs. Inte heller här finns ett stort generellt underlag att luta sig emot. Inom offentlig sektor har  dock de senaste åren har ett antal rapporter visat att den systematiska informationssäkerheten i myndigheter, landsting och kommuner har stora brister, ja till och med att den vissa fall tycks bli sämre snarare än bättre.

Sammantaget är alltså inte bilden ljus. I och med att informationssäkerheten tycks fungera illa i de enskilda organisationerna kan den knappast fungera bättre på en aggregerad nationell nivå. Kanske måste ändå förhållandet att vi inte kan ge en uppfattning om hur bra eller dålig informationssäkerheten det tydligaste tecknet på att det inte fungerar bra.

 

Tre saker som inte är huvudproblemet

För att komma in på kärnfrågorna är det tre (bort)förklaringar till varför informationssäkerheten inte fungerar som jag skulle vilja utesluta:

För litet pengar

Eftersom det inte heller finns en sammantagen beskrivning av hur mycket pengar som satsas på att förbättra informationssäkerheten är det inte möjligt att säga att det är ekonomiska skäl som förhindrar utvecklandet av en bättre säkerhet. I Riksrevisionens senaste rapport om informationssäkerhet beskrivs också svårigheterna med att försöka bedöma kostnaderna.

Nationellt har det också investerats inte obetydliga medel i olika myndigheters stöd för informationssäkerhet. Eftersom inte effekten av dessa medel utvärderats mer än mycket översiktligt av Riksrevisionen är det svårt att säga att det skulle vara för litet eller för mycket.

Min poäng är denna: om det finns beskrivet vad som bör göras för att reducera olika risker för verksamheten är det svårt att uppskatta vilka medel som skulle behövas och ledningar på olika nivåer är, med all rätt, tveksamma till att tillföra ytterligare pengar. Bollen är därmed tillbaka som en skråfråga: om vi anser att det finns ekonomiska orsaker till att informationssäkerheten inte fungerar så måste vi bli mycket bättre på att beskriva vad pengarna skulle användas till och vad organisationen (eller nationen) skulle ha för nytta av det.

Att den generella it-utvecklingen går så mycket snabbare än informationssäkerhetsutvecklingen att gapet blir större och större

Det här är ju en verklighetsbeskrivning som ofta återkommer och som på något underförstått sätt antas utgöra ett skäl till att informationssäkerheten inte håller måttet. Men vad är egentligen kausaliteten i det här sammanhanget, om det nu finns en sådan? Om informationssäkerhet vore en aspekt som vunnit hög acceptans i samhället, i organisationerna, hos utvecklare av it-tjänster m.fl. så skulle ju frågeställningen vara integrerad som en naturlig del i utveckling av tjänster, produkter och infrastruktur. Istället ses informationssäkerhet som en kostnad och en motpol till effektivitet vilket gör att lösningar för att förbättra säkerheten, om de över huvud taget implementeras, inte är effektiva och ofta ligger som olja på vattnet, ofullständigt integrerade.

Som en jämförelse skulle det vara svårt att tänka sig att trafiksäkerheten skulle vara något som tilläts hamna i bakvattnet numera. Så kanske det var i ett tidigare skede men genom ett idogt forsknings- och opinionsarbete har säkerhet en mycket hög prioritet i trafikpolitiken.

Återigen faller alltså ansvaret tillbaka på oss själva och förmåga att sälja in informationssäkerheten.

Ledningen förstår inte

Det är få meningar som jag så ofta hört upprepas i professionella sammanhang som uttrycket: ”ledningen förstår inte”. Ofta blir detta den tröstande förklaringen till varför man inte når framgång med sina informationssäkerhetsprojekt och självklart ligger det mycket i det. Det går inte att smyga in informationssäkerheten i organisationen bakom ryggen på ledningen. Även här handlar det dock om att kunna presentera vikten av informationssäkerhet så ledningen ser poängen ur sitt perspektiv – att det gynnar organisationens möjlighet att uppfylla sitt uppdrag. Ser ledningen inte behovet av informationssäkerhet är det inte heller rationellt att införa exempelvis ett LIS.

Ledningens bristande förståelse kan därmed, menar jag, inte ses som en autonom förklaring till bristande informationssäkerhet utan som att ledningen inte fått tillräckligt bra argument för att organisationen ska bedriva ett systematiskt informationssäkerhetsarbete.

I de följande inläggen ska jag lyfta fram förhållanden som jag ser både som verkliga orsaker till bristande informationssäkerhet och som möjliga att påverka för oss som arbetar med informationssäkerhet.

Kontinuitetshanteringens hårda verklighet

It-incidenter och andra störningar som påverkar informationshanteringen är och kontinuitetshantering i ett informationssäkerhetsperspektiv är en allt hetare fråga. Detta förstärks naturligtvis av att vårt beroende till informationshanteringen är i ständig tillväxt liksom riskerna, både de medialt tacksamma antagonistiska hoten och de mer vardagliga som uppdateringar som misslyckas, buggar och hårdvaruproblem. Utan tillgång till information och kommunikation befinner sig organisationer snabbt i krisläge. Stora resurser ofta behövs för att åtgärda orsaken till incidenten och för återställelse till normalfunktion men också för att upprätthålla verksamhetsprocesserna med reservrutiner.

I idealläget finns en planering för åtgärder, återställelse och verksamhetsprocessernas reservrutiner samt, inte minst viktigt, för kommunikation med medarbetare och externa intressenter. Planerna är övade, samordnade och ständigt förbättrade. Organisationen är också medveten om att det inte bara är tillgängligheten som påverkas av avbrottet, det finns även stora risker för obehörig åtkomst och för negativa konsekvenser för riktighet och spårbarhet.

I verkligheten är i idealläget ganska långt borta vilket inte bara är en personlig erfarenhet utan framgår också från de undersökningar som gjorts av statliga myndigheter och kommuner. Hur det står till i privata företag finns det ingen lika heltäckande undersökning av men indicierna är starka på en liknande situation även där. Tyvärr gäller detta även verksamheter som allmänheten har stora förväntningar på ska kunna fungera även under svåra omständigheter,  som sjukvården. Den kanske mest genomarbetade analysen av dessa litet skrämmande förhållanden gjordes av Tom Andersson i en mycket intressant studie av läkemedelshanteringen i Västra Götalandsregionen.

Utöver de reflektioner som Tom Andersson själv gör i studien finns det några övergripande faktorer som jag anser gör det svårt för den som villa skapa en fungerande kontinuitetshantering i den egna organisationen.

Den kanske mest avgörande är att i princip alla offentliga och privata organisationer idag av sina uppdragsgivare förväntas planera enbart för ett ständigt normalläge. Att i budgetdiskussioner hävda att det behövs en marginal, litet luft i systemet, litet extrakapacitet att ta till i händelse av störningar skulle i bästa fall väcka förvånade huvudskakningar. Lean är möjligen en organisationsfilosofi på utgående men önskan att slimma verksamhetsprocesserna till allra nödvändigaste är numera etablerad i flertalet organisationer. Tyvärr är det oundvikligt att en fungerande kontinuitetshantering kräver att organisationen ska klara situationer utanför normalläget vilket innebär extra resurser både för själva åtgärds- och återställelsearbetet och för reservrutiner som dessutom måste övas för att fungera. En stor del av tidigare offentligt finansierad och offentligt utförd verksamhet överförts till privata utförare utan att avtalen innehåller krav på att utföraren ska ha en kontinuitetshantering vilket ytterligare försvårar situationen.

Även den som fått budget och sanktion för att skapa en kontinuitetsplan för informationshanteringen i den egna organisationen kommer att ha en svårhanterlig uppgift framför sig. Informationshanteringen sker inte längre enbart i den egna organisationen utan är en del i ett komplext samspel med andra. En processkartläggning över en verksamhetsprocess beroenden till olika tjänster och resurser för informationshantering som dessutom ständigt förändras är ett nödvändigt underlag. Att få kontroll över denna helhet och skapa förutsättningar för att kunna hantera störningar är inget som går att lösa i ett projekt utan kräver ett systematiskt och uthålligt arbete där många interna och externa parter måste vara involverade.

I många sammanhang finns den outtalade förutsättningen att organisationer har en generell kontinuitetshantering som det går att komplettera med informationssäkerhetsaspekterna. I ett sådant scenario finns redan modell och andra viktiga komponenter som ansvarsfördelning på plats. Tyvärr är min erfarenhet att detta sällan är hur verkligheten beskaffad i flertalet organisationer. Vad som finns är kanske en krisledningsorganisation men ingen faktisk planering eller övning av händelser då centrala resurser faller bort. Den informationssäkerhetsansvarige får då arbeta i underläge och ta ansvar för mycket mer än vad som ligger i rollens mandat och uppgifter. Här tror jag många informationssäkerhetsansvariga resignerar och med viss förtvivlan grubblar över hur de ska kunna göra det som de ändå vet är en mycket viktig del i uppdraget.

Varken för den generella kontinuitetshanteringen eller den som är specifikt inriktad på informationssäkerhet finns det mycket stöd att hämta. Detta trots att förmågan att upprätthålla den verksamheten vid större störningar och kriser är ett ansvar som i det svenska krishanteringssystemet ligger på den enskilda organisationen. Det finns naturligtvis standarder och konsultföretag som kan hjälpa till men någon nationell modell eller metod finns inte etablerad även om detta efterfrågats av bland annat kommuner. Att plocka fram en egen modell eller metod framstår säkerligen för de flesta medelstora och små organisationer som övermäktigt. Ur ett samhällsperspektiv är det också en suboptimering om alla organisationer ska ta fram egna varianter som dessutom inte är koordinerade sinsemellan.

Denna dystra bild får ändå inte göra oss passiva eftersom kontinuitetshanteringen är så betydelsefull för oss både i den enskilda organisationen och på en samhällsnivå. Nedan följer några tips som ändå kan underlätta arbetet.

  • Prioritera verksamhetsprocesser. Vid en större störning kommer det inte att vara möjligt att upprätthålla all verksamhet utan de resurser i form av exempelvis tjänster, kommunikation och medarbetare måste användas för de processer som ledningen prioriterar. Prioriteringen ska inte ske under störningen utan under exempelvis verksamhetsplanering.
  • Kartlägg beroenden. Genom processkartläggning går det att identifiera vilken information och vilka bärare som är nödvändiga för att upprätthålla processen. Det ger också ett bra underlag för it-ansvariga att ta fram den planering som ska ske mellan olika tjänster och andra it-resurser.
  • Håll planeringen så enkel som möjligt. Alltför komplexa planer blir snabbt inaktuella och dessutom svåra att hantera i ett kritiskt läge. Det är sällan intressant att gå djupare i olika tänkbara orsaker till störningen utan det är störningens effekter på verksamheten som är det intressanta. Att koncentrera sig på effekterna gör också planeringen enklare än att ha en mängd olika alternativ utifrån olika orsaker till störningar.
  • Se till att ledningen är beslutsför. Under ett akut skede måste ett antal beslut tas som ligger utanför det som är möjligt att planera och då måste de som har en ledningsfunktion känna sig trygga i att de får fatta beslut.
  • Förbered för kommunikation. God kommunikation med de egna medarbetarna och med intressenter utanför den egna verksamheten är oumbärlig både före, under och efter en större störning.
  • Öva, öva,öva! Övningar kan ske under mycket anspråkslösa former som exempelvis på en arbetsplatsträff där man går igenom ett scenario och simulerar de steg som planen innehåller. Mycket nyttigt både för planen, den informationssäkerhetsansvarige och verksamheten.