När krisen kommer

Kriser har den fördelen att de oftast tar slut. Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden. Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst. Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i totalen skapar större ohälsa och död än själva viruset.

Däremot når nu MSB:s insatser en sådan nivå att de t.o.m. får vara med i satirinslaget Public Service i P1, en ynnest som är få myndigheter förunnad. Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra inlägg och som nu även tagits upp i Ekot.

MSB har hintat om lanseringen av appen med en  näraliggande men okänd startpunkt. Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast  undflyende svar. Jag kan förstå det. Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst. Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen. Det är ju liksom ingen slump att eSam gjort ett uttalande om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.

Vid sidan om själva enkätappen är MSB:s kommunikation om den lika märklig. Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen. MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation. Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist. En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier. Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid. Detta leder inte till en större tillit i krisen.

Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade. Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex. gällande riskbedömningar. Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas. I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.  Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m. Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.

Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund. Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan. För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas. MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna. Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår. Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande. Har MSB lyckats knäcka den nöten så är det stora nyheter för både offentliga och privata organisationer. Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt)  och då vore det ju  bra om MSB gick ut och beskrev hur det egentligen ser ut.

Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster. Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhällets informationssäkerhetsarbete slarvar med säkerheten. Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför. MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.

MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ. Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser. När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press. Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke. Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.

Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet. Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer. Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet. Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.

Varför funkar det inte? Del 8

Jag har tidigare skrivit om att jag ser kommunikation som det centrala verktyget i informationssäkerhetsarbetet och kanske det tydligast inte funkar. Det här inlägger kommer att ytligt behandla om några aspekter av det vittomfattande ämnet, nämligen förutsättningar och förförståelse, innehåll och form.

Att kommunikationen internt inom informationssäkerhetsområdet har jag redan försökt beskriva i ett tidigare inlägg. Det saknas arenor och samtalsformer för att utveckla kunskap och samsyn. Det språkbruk och de metaforer som uppstår i denna dysfunktionella kultur gör även att vår kommunikation inte fungerar i samspelet med de vi vill engagera. Ofta framstår både vi själva och det vi säger uppfattas som ovidkommande, auktoritärt, svårbegripligt och alarmistiskt (källa: de många verksamhetsföreträdare jag samverkat med under ett par decennier).

Själv uppfattar jag kommunikationen i informationssäkerhetsfrågor ibland som direkt vilseledande för civila organisationer. Ett exempel är den nednötta metaforen om att skydda sina guldägg. Den underförstådda tanken är att alla organisationer har avgränsade informationsmängder eller hård/mjukvara som ska skyddas mot främst obehörig åtkomst (?) framför alla andra. Detta menar jag är en feltolkning av hur dagens informations- och it-infrastrukturer fungerar där det snarare handlar om komplexa samband där olika men i många fall lika viktiga krav ställs på olika delar för att helheten ska fungera. För att ta ett exempel från verkligheten så är det i en kommunal verksamhet meningslöst att försöka peka ut vad som skulle vara ”guldägg”. I den kommunala äldreomsorgen bör det ställas mycket höga krav på tillgänglighet i trygghetslarmen, lika höga krav på riktighet och spårbarhet i journaldokumentationen och mycket höga krav på konfidentialitet i alla delar. För den ekonomiska redovisningen kommer peakar i tillgänglighetskraven vid vissa perioder under bokföringsåret. Jag kan fortsätta uppräkningen med att peka på PuL, algoritmer, webbplatser m.m., m.m. men det enda jag vill komma fram till är att jakten på ”guldägg” leder tanken och därmed kommunikationen helt fel. Andra vanliga påståenden på konferenser och i marknadsföring är att medarbetarna skulle vara det största problemet. I beg to differ. Detta påstående saknar belägg och den organisation som skulle se medarbetarna som den största risken tror jag får anledning att snabbt göra en förnyad riskanalys.

guldagg2

Den som tycker att ovanstående kan ses som bagateller behöver sannolikt mer övergripande argumentation om den problematiska kommunikationen. Låt oss se ett grundscenario som både gäller i den enskilda organisationen och på ett nationellt plan. Å ena sidan finns informationssäkerhetsexperterna som ser generella risker och som har organisatoriska och tekniska metoder för att reducera dessa risker (i alla fall hypotetiskt). Å andra sidan finns det organisationer för vilka informationen är en resurs för verksamhetens olika processer. Det är de senare som har den faktiska möjligheten och resurserna att genomföra informationssäkerhetsåtgärder. För att uppnå fungerande informationssäkerhet krävs insatser från båda parter. Enda sättet att skapa en sådan gynnsam situation är god kommunikation, den goda kommunikation som jag menar ofta saknas. Resultatet blir alltför ofta att verksamhet och informationssäkerhet samexisterar som olja och vatten. Trots att det är verksamheten som har behov av informationssäkerhet för att kunna leverera talar informationssäkerhetsspecialisten för döva öron. Ett aktuellt exempel på hur det kan gå är när eHälsomyndigheten, som objektivt sett är en av de svenska organisationer som har mest behov av god informationssäkerhet, levererar två regeringsuppdrag om framtiden och överhuvudtaget inte analyserar behovet av just informationssäkerhet . Jag kommer återkomma till detta i ett senare inlägg.

Sammantaget är min erfarenhet som statlig tjänsteman som försökt förbättra informationssäkerheten inom e-förvaltning och e-hälsa att försöket mötts med en ganska avsevärd brist på förståelse från båda lägren. De som arbetar med informationssäkerhet nationellt har haft begränsat intresse av och insikt om behovet av informationssäkerhet i verksamheter som är utpräglat civila. De som arbetar med digitalisering i förvaltning och sjukvård har med två undantag sagt typ: ”jaja, det är säkert viktigt med säkerhet men det tar vi sedan när vi realiserat våra lösningar – säkerhet innebär ju bara en massa krångel som kan leda till att vi inte kan genomföra det vi vill.” Förutsättningen för kommunikationen är alltså en ömsesidig misstro som måste överbryggas.

Behovet av informationssäkerhet finns främst hos organisationerna själva även om det på aggregerad nivå naturligtvis i hög grad är ett samhällsintresse. Ansvaret för kommunikationen ligger dock på informationssäkerhetsspecialisterna eftersom organisationerna inte är medvetna om sitt behov. Här uppstår dock ett avgörande problem eftersom kommunikationen om informationssäkerheten som skapas i denna situation i de flesta fall är utbudsstyrd istället för behovsstyrd. Det är informationssäkerhetsspecialisterna som försöker sälja in sitt utbud av standardiserade synsätt och metoder till en verksamhet som har ett behov, ett behov som tyvärr formuleras på verksamhetens egna premisser. Detta gäller även det nationella planet där det är myndigheterna med ett utbud som fått styra strategier och handlingsplaner, inte de civila verksamheterna med behov. Och som alltid vid utbudsstyrning är det svårt att sätta nivån och inriktningen eftersom behovet inte är definierat – utmärkt situation för ett kommersiellt företag men knappast då man försöker styra med begränsade resurser.

Kommunikationen är en produkt av områdets kultur. Den blir därför alltför ofta inriktad på envägskommunikation, förutsätter att de man riktar sig till är okunniga (”hur ska vi få dem att förstå”) samt på lösningar som är helt omöjliga i praktiken (som att använda signalskyddslösningar i sjukvården). Den känslomässiga argumentationen kring attacker och antagonistiska hot lämnar mottagaren i ett rationellt limbo, kvar blir rädda människor underkastade olika auktoriteter. Den auktoritära kommunikationsformen är naturligtvis också ett resultat av vår bristande kunskap inom informationssäkerhetsområdet (se tidigare inlägg), om man är osäker ger man sig ogärna in i dialog och diskussion.  Inte så få av de ”kommunikationsplaner” jag sett har enbart innehållit aktiviteter där avsändaren förmedlat budskap men inga aktiviteter av inlyssnande.

Hur ska vi då förbättra vår kommunikation så att organisationerna drivs av en inre motivation och på så sätt får ett ständigt förbättrat informationssäkerhetsarbete? Jag tror det viktigaste förhållningssättet är att bestämma sig för en rollfördelning där informationssäkerhetsspecialisten (både i en enskild organisation och i form av myndigheter på nationell nivå) är en stödfunktion. Ytterst få organisationer har informationssäkerhet som sin kärnverksamhet. Informationssäkerheten tjänar istället syftet att organisationen ska kunna upprätthålla sitt uppdrag och sin leverans med tillräcklig kvalitet och utan störningar (i detta ligger naturligtvis även att kunna uppfylla externa krav). För att kunna ge stöd måste informationssäkerhetsspecialisten förstå verksamheten, den unika informationshanteringen och de unika behoven.  Helt enkelt förstå att en pågående dialog, ett ömsesidigt utbyte är nödvändigt i lika hög grad för den som ska stödja som den blir stödd.

Varför funkar det inte? Del 7

Under senare år har frågan om säkerhetskultur blivit alltmer aktuell. Att få medarbetare i en organisation att vara medvetna och motiverade i säkerhetsfrågor ses av allt fler som något som inte bara är ett komplement till den traditionella regelstyrningen.

Tidigare har jag skrivit om betydelsen av en profession inom informationssäkerhetsområdet. Även för en profession är det centralt att ha någon form av kultur som både skapar gemenskap inom gruppen men också bär upp de handlingar, synsätt och värderingar som gruppen förmedlar till utomstående. Kort sagt kan ett kollektivs kultur ge gruppen en enighet om mål och medel som inte bara beskrivs i standarder, strategier och andra dokument utan som ett socialt kitt och ett ethos. Kultur handlar i första rummet inte om beteenden utan om det som ligger bakom beteenden, som innebörder, förståelser, idéer, värden, trosföreställningar, prioriteringar och förgivettaganden. Kulturens betydelse finns belagd i en ganska ymnig forskning inom olika fält som jag inte här kommer att gå närmare in på utan bara som icke-expert nicka och säga: ja, detta verkar relevant även för oss som arbetar med informationssäkerhet.

Det kan verka flummigt men jag tror detta är en mer central fråga än vad det först kan tyckas eftersom den kulturella grunden kan peka ut vägen för gruppen långsiktigt. De kulturella värderingarna ger också underlaget för prioriteringar i det vardagliga arbetet.  Sist men inte minst är en grupps kultur kärnan i den kommunikation som sker med de utanför för gruppen, de kulturella budskapen som gruppen förmedlar överröstar i princip alltid själv sakinnehållet i kommunikationen. Eftersom jag ser kommunikation som det viktigaste verktyget i arbetet med informationssäkerhet blir därför kulturfrågan central.

kultur3

Vad är då våra gemensamma värderingar och vad leder de till för beteenden? Ingen har, såvitt jag vet, gjort en kulturanalys av aktiva inom säkerhetsområdet utan jag ska försöka uttolka de gemensamma tendenser jag tyckt mig se genom åren. Redan nu ber jag om ursäkt för de kategoriska och säkert missvisande beskrivningar som följer men jag har för närvarande enbart tillgång till mina egna erfarenheter (vilket i sig är en del av kulturen eftersom denna typ av diskussion aldrig förs).

En första reflektion är att den militär-polisiära bakgrunden fortfarande vilar tung över oss. Det tar sig många uttryck som i den metaforvärld som används där ”attacker”, ”hot” och ”antagonism” bara är några exempel. Detta skapar naturligtvis en speciell atmosfär men eftersom det inte bara är så att tankar som styr ord utan i lika hög grad det omvända: att våra metaforer styr våra tankar kommer detta att påverka vårt agerande. Jag dristar mig till att säga att traditionella informationssäkerhetsmänniskor finner det betydligt enklare att fokusera på ”attacker” än att inrikta sig på de störningar i informationshanteringen som uppstår av andra orsaker som uppdateringsfel, buggar, bristande rutiner, ineffektivitet som gör att medarbetarna är mer eller mindre tvungna att bryta mot reglerna m.m. Vårt mindset är helt enkelt mer inriktat på attacker och det är också det vi kommunicerar exempelvis med ledningarna i de organisationer där vi verkar. Men denna kulturella värdering kan leda oss fel även i praktisk handling för om ENISA har rätt i sin rapport så är det inte antagonistiska hot som skapar flertalet störningar:

 

 

enisa

Även om alla säkert kan vara överens om att incidentrapportering är problematiskt som underlag för att bedöma vad som egentligen händer och i ännu högre grad om vilka hot som finns är ENISA:s redovisning intressant, särskilt som det väl för Sveriges del inte finns någon som är mer relevant. Om vi nu antar att ENISA:s uppgifter stämmer så är det stora problemet störningar i kommunikationen som leder till störningar i system. Malicious actions är däremot en mycket liten kategori. Flera rimliga frågor inställer sig som vad som orsakat störningarna i kommunikationen. En annan vanlig kommentar när den här typen av siffror redovisas är att det finns ett stort mörkertal när det gäller attacker m.m. Där är jag helt beredd att hålla med, vi ju är långt ifrån att ha en heltäckande redovisning av inträffade incidenter, men rimligen är mörkertalet lika stort eller större när det gäller icke-antagonistiska incidenter. Min poäng är i all enkelhet att den kulturella styrningen mot antagonistiska hot kan leda till felprioriteringar i informationssäkerhetsarbetet.

Att vara inriktad på antagonistiska hot är också belönande i så måtto att det enklare att få uppmärksamhet både från ledningar och media om man pratar om spännande hotbilder med antagonister än om frågeställningarna tangerar den vardagliga verksamhetsutvecklingen. I den nu rådande kulturen finns en påtaglig fara för att informationssäkerhetschefen medverkar till att ledningen beslutar om säkerhetsåtgärder som inte motsvarar den faktiska riskbilden. Och här gömmer sig kanske också ett kulturellt problem eftersom det finns två mål för säkerhetsarbetet; att avvärja hot respektive att stödja att informationshanteringen uppfyller verksamhetens krav på konfidentialitet, riktighet, spårbarhet och tillgänglighet. Det förstnämnda liknar mer än militär uppgift medan det andra är mer att jämföra med ett kvalitetsarbete och inbegriper en nära dialog med verksamheten. Om vi ska arbeta mer aktivt med kulturfrågan måste vi förtydliga vilken som är vår gemensamma målbild och också vår roll.

För att skissa vidare på den kultur jag uppfattar finns i vårt sammanhang så ser jag också ett auktoritärt drag. Detta drag har förmodligen samma militär-polisiära bakgrund som det tidigare men kanske det svaga kunskapsunderlag vi ofta har för det vi föreslår också spelar in. Exempel på vad jag menar med det auktoritära draget är att jag tycker att det finns en övertro på regler och compliance jämfört med andra typer av styrning som mer bygger på diskussion och tvåvägskommunikation. Jag uppfattar också att kultur och former för diskussioner som alltför litet öppna och ”akademiska”, kanske för att det inte forum som inbjuder till det. De forum som finns är i de flesta fall konferenser där ”heliga” sanningar presenteras utan återkoppling. Denna attityd förstärks genom att informationssäkerhetsspecialistens legitimitet oftare hämtas i externa krav som lagstiftning eller standarden än verksamhetens egna behov.

Det finns också dragning mot hemlighetsfullhet. Detta kan härledas till när säkerhetsarbetet i första hand var inriktat på att skydda rikets säkerhet men kanske också till att vi har svårt att rationellt argumentera för olika åtgärder. Det kan då vara enklare att antyda att det finns hot som tyvärr inte kan yppas än att tydligt redogöra för olika risker och låta ledningen eller verksamheten avgöra vad som är nödvändiga åtgärder. Detta är en bräcklig position som jag också tror skapar osäkerhet hos många i branschen. Jag uppfattar inställningen som felriktad därför att betoningen på det hemliga, förutom att göra de flesta samtal till återvändsgränder, också gör att andra lika viktiga frågor kommer helt i bakgrunden. I myndigheter finns till exempel kravet på öppenhet i offentlighetsprincipen som ställer stora krav på riktighet och spårbarhet i de offentliga informationsflödena. Informationssäkerhetsspecialisten har, i min mening, ett lika tungt uppdrag i att medverka till detta som att skydda mot obehörig åtkomst.

Detta är ett exempel på statusbalansen i kulturen, sekretess har högre status än öppenhet, men det finns även andra statusförhållanden som kan diskuteras. Ett sådant är förhållandet mellan teknik och organisation som ofta omnämns som ”hårda” respektive ”mjuka” frågor. Man behöver inte ha läst genusvetenskap för att tolka att den egentliga innebörden är att de hårda, manliga frågorna är aningen viktigare än de mjuka, kvinnliga. Så är det i det övriga samhället och det finns inga skäl att tro att det set annorlunda ut inom informationssäkerhetsområdet. I praktiken leder denna inställning ofta till en överbetoning av tekniska lösningar framför organisatoriska och också till ett ofta väl teknokratiskt förhållningssätt även i organisatoriska åtgärderna. Det blir litet märkligt i kombination med standardens tydliga organisatoriska inriktning men det är en dissonans som har accepterats.

Slutligen är en annan viktig aspekt av kulturen den tydliga mansdominansen. Jag ser det som ett svaghetstecken för en yrkeskår när det måste skapas särskilda forum för kvinnor vilket nu skett på flera håll. Kanske känns det nödvändigt för att kunna leva vidare i den auktoritära och teknokratiska kultur som jag frammanat ovan. Jag skulle dock hellre se att vi gick vidare och försökte utveckla en mer ändamålsenlig kultur för de uppgifter vi har att lösa och där alla kan delta i ett gemensamt samtal på lika villkor.