Prick-till-prick-teckning på samhällsnivå

Jag läste en så fantastisk metafor i Jennifer Clements roman Gun love. Romanen handlar Pearl och hennes mamma Margot som bor i baksätet i en bil. Miljön är den där sortens misär som bara finns i USA med hemlösa människor som helt saknar riktning i sitt liv. Redan tidigt i boken finns följande passus:

Mamma och jag flyttade in i Mercuryn när hon var sjutton och jag var nyfödd. Så den bilen, som stod i utkanten av en trailerpark mitt i Florida, var det enda hem jag kände till. Livet var en prick-till-prick-teckning och vi bekymrade oss inte stort om framtiden.

Bilden av prick-till-prick-teckningen hakade fast i mig och jag fick en stark känsla av hur de här romanfigurerna levde sitt liv. Så är det ju ofta med god litteratur, den lever vidare inom en. Men hjärnan är en märklig sak och vips började jag associera metaforen med hur jag uppfattar digitalisering och informationssäkerhet på samhällsnivå, som prickar till synes utan samband. Finns det en dold teckning under prickarna så kan i alla fall inte jag se den.

Att jag började tänka på det berodde på den nya rapport som regeringens uppdrag tagits fram av sju myndigheter om säkert och effektivt informationsutbyte i offentlig förvaltning . Lustigt nog var varken MSB eller någon annan myndighet med säkerhetsprofil bland de sju myndigheterna trots att uppdraget rörde just säkert informationsutbyte. Detta var säkert en bakgrund till de slängar som slungades från MSB på sociala medier men efter en genomläsning av rapporten får det sägas att de avsnitt som skrivits om säkerhet knappast skrivits av någon med erfarenhet från detta område. Att Försäkringskassan är en av de myndigheter som ingått i arbetet med att ta fram rapporten känns aningen illavarslande när man läser budgetproppen där det står om Försäkringskassans allt större roll som intern it-leverantör i staten:

Säker och samordnad it-drift Försäkringskassan har påbörjat anslutning av sex myndigheter inom regeringsuppdraget att er- bjuda samordnad och säker statlig it-drift (Fi2017/03257/DF). Intresset är stort och flera statliga myndigheter har inlett dialog med Försäkringskassan med avsikt att ansluta sin it- drift.

Förhoppningsvis är det andra som ska stå för den leveransen än de som skrivit om säkerhet i rapporten.

Ändå är rapporten positiv i andra avseende, främst genom att man pratar om en gemensam digital infrastruktur. Detta är något jag försökt driva i olika sammanhang utan påtaglig effekt. Jag vill självklart inte framhäva min egen roll utan bara säga att detta är en inriktning som tidigare saknats på ett mer uttalat sätt och som jag tror i sig har en tydligt säkerhetshöjande effekt. Att notera detta positiva anslag känns viktigt även om den stora bilden av infrastrukturen inte kan anas och på sin höjd tre prickar sammanfogats.

Problemet är inte endast att det tycks sakna en ritning för utveckling av digitaliseringen utan även för samhällets informationssäkerhet. MSB:s handläggare (ja, jag vet att hen liksom många andra tjänstemän friskriver sig på sociala medier genom att hävda att de ”twittrar som privatperson” – ett oskick jag beskrivit här) ansåg att rapporten var ett ”hafsverk” och att rapportförfattarna inte tagit till sig MSB:s synpunkter. Nyfiken som jag efterfrågade jag då de diarieföra synpunkter som det hänvisades till och fick ut detta mail:MSB 2019-09569-1 Kommentarer på slutrapport Uppdrag om säkert och effektivt informationsutbyte

Det avslöjar inte mycket av ett eventuellt infrastrukturellt synsätt. Informationssäkerhetsområdet tycks alltså ha sin egen mycket ofullständiga prick-till-prick-teckning. Liksom arkivväsendet som även det har en stor betydelse för den offentliga informationshanteringen.

Sammantaget så är planeringen av vår gemensamma informationshanteringsinfrastruktur uppenbart fragmentiserad och där olika myndigheter ritar sina prickar oberoende av varandra trots att de åtminstone borde vara i samma teckning. I detta dystra scenario är det inspirerande att snegla österut. I Finland har nämligen antagits en ny lag med om informationshantering inom den offentliga förvaltning. I propositionen som låg till grund för lagen ges inriktningen:

Det är fråga om en allmän lag som ska reglera informationshanteringen inom den offentliga sektorn. Lagen avses gälla all informationshantering som sker inom myndigheternas verksamhet. Genom lagen säkerställs en enhetlig förvaltning och en informationssäker behandling av myndigheternas informationsmaterial i syfte att genomföra offentlighetsprincipen. Dessutom har lagen bestämmelser om elektronisk överföring av information mellan olika myndigheters informationssystem. Genom regleringen effektiveras myndigheternas informationshantering så att myndigheterna kan tillhandahålla förvaltningskunderna sina tjänster på ett kvalitativt sätt som är förenligt med god förvaltning och kan sköta sina uppgifter på ett resultatgivande sätt. Syftet med lagen är att främja också interoperabiliteten mellan informationssystemen och informationslagren.

Lagen träder i kraft vid årsskiftet och innebär också att en informationshanteringsnämnd ska säkerställa samordningen mellan informationshantering (inklusive arkiv), digitalisering och informationssäkerhet. I dagarna har även en ny cyberstrategi antagits.

För mig förefaller denna ordning mycket ändamålsenlig särskilt om det även blir ett gemensamt myndighetsansvar. I Sverige skulle det kunna kopieras så att DIGG får skärpa till sig och samtidigt överta ansvaret för samhällets informationssäkerhet och se till att det blir integrerat i hela digitaliseringensprocessen. De myndigheter som redan idag framför allt är intresserade av internationella antagonistiska hot och cyberkrig kan fortsätta med detta med gott samvete. På detta sätt skulle prickarna åtminstone fyllas i på samma teckning.

Jag vet att detta är en överdriven förenkling och att det inte går att dra snörräta linjer mellan olika säkerhetsområden men jag tror vi måste komma tillbaka till en situation där normallägets funktionalitet respekteras och där bygget av en gemensam infrastruktur kan ske med god säkerhet.

 

 

 

Är öppenhet en risk?

Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården. I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan. Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ett systematiskt informationssäkerhetsarbete i NIS-direktivet. Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.

En naturlig startpunkt är Inera som presenterar sig så här:

Inera ägs av SKL Företag, regioner och kommuner. Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling. Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.

och

Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner. Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen. Vissa tjänster används av invånare, andra av vårdpersonal. Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.

Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.

Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså. Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder. Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård. Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.

Dessutom ska Inera stödja

digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.

Bland annat säger man sig ta fram

regelverk för informationssäkerhet, juridik och kvalitetssäkring.

Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras. När man bedömer en organisations förutsättningar för att bedriva ett systematiskt informationssäkerhetsarbete är den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats. Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet. I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk. Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).

Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB. Mitt sammantagna intryck är att det varit motigt att införa ett systematiskt informationssäkerhetsarbetet trots uppdraget Inera och dess föregångare haft.

Men åter till nuläget.

Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti:

Hej!
Jag skulle vilja ta del av:
– Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet
– Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder
Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.

Tack på förhand!

Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot. Sedan dröjde det och dröjde det. Till slut kom ett svar den 22 augusti:

Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.

Ineras informationssäkerhetspolicy återfinns på www.inera.se. Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på www.rivta.se. Beträffande LIS gör Inera följande bedömning:

Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare. Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet. Den senaste mer omfattande informationssäkerhetsrevisionen gjordes den 2 maj 2019.

Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001. Systemet består bl.a. av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m. I systemet ingår vidare modeller för riskhantering, informationsklassificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.

Sekretess gäller enligt 18 kap. 8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.

LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen. Handlingarna kan därför inte lämnas ut.

Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.

Med vänlig hälsning

Inera

Detta var ett intressant svar av flera skäl. För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras webbplats så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”. Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör . Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).

Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!

Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post:

Tack för svar! En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?

Till svar fick jag följande:

I Ineras bolagsordningen (från 2017) står följande:

  1. OFFENTLIGHET

Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap. tryckfrihetsförordningen och offentlighets- och sekretesslagen.

Här tätnade mystiken för mig. 2 kap TF och OSL handlar om hanteringen av allmänna handlingar. Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning? En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting. För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut. Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten. Min nästa fråga blev därför:

Tack!

Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?

Och svaret kom pronto:

Ja, det stämmer. Vill du alltså helst få ett formellt beslut?

Självklart vill jag ha ett formellt beslut men på vad? Jag var tvungen att skriva tillbaka för klarläggande:

Hej igen!

För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem. I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta. Exempel kan vara Riktlinje för åtkomst osv. Dokumentnamnet kan inte falla under den sekretess ni hänvisar till. Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.

Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.

När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.

En vecka senare (30 augusti) kom svaret med en bilaga Inera LIS Sammanfattning v 3.2 2019-01-31

Hej Fia,

Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter. Den instans som är aktuell i besvärsfrågor är Kammarrätten.

Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran:

Tack!

Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3. Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade. Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument? Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?

Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen):

  • Riktlinje informationssäkerhet
  • Anvisning för informationsklassicering
  • Anvisning för informations- och it-säkerhet för medarbetare

Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut. Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s. beslut inom tre arbetsdagar.

Trevlig helg!

Idag den 3 september fick jag ett formell avslag med en besvärshänvisning Utlämnande av handling 20190903 (002)
där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess. Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning. Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande SKL Kommentus inköpscentral (SKI). Av rent intresse kommer jaag ändå att skicka in ett besvär.

Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL. Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip. Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod. Eller hur riktlinjer för informationssäkerhet i sin helhet skulle kunna vara känsliga. För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar här) . Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar. Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering. Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt? En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.

Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002. Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.  Dessa frågor återkommer inte heller på anvisningsnivå. Inledningsvis sägs att:

Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering. Den ska också tillämpas i projekt och på förvaltningsobjekt.

Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna? Och i relationen med kunderna? När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.

Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden. Men då har jag som sagt inte sett själva dokumenten. Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?

Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat. Varför skulle större sekretess råda hos Inera? Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt. På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.

Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur. Det måste finnas en grundlig kännedom  och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit. Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar. Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering. Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur. Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk. Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka strategiskt men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).

Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på webbplatsen, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten. Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete. Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.

Några ytterligare ord om 1177

Som en inledning på höstens äventyr tänkte jag bara göra några kompletterande anmärkningar till en debatt i Dagens samhälle. Den inleddes med inlägg där jag ventilerade min oro efter vad som framkommit om Region Stockholms informationssäkerhet i den granskningsrapport som initierades av 1177-skandalen.

På inlägget följde två svar. Det första kom från ett par tjänstemän från SKL där man hävdade att regionerna arbetar resolut med informationssäkerhet. I svaret är man tillämpar man ad hominem-argumentet att ett flertal gånger understryka att jag är ”konsulten”. Det är ju förståeligt med tanke på NKS och i vilket vanrykte konsulter hamnat i efter den hanteringen men det som bekymrar mig är snarare att baktanken sannolikt är att göra mina argument ointressanta på grund av att jag inte representerar någon organisation. Detta riktar i och för sig ljuset på ett tråkigt fenomen, att inträdesbiljetten i samtalet om samhällets gemensamma frågor förutsätter att deltagaren representerar ett särintresse. Personligen tycker jag i stället att det demokratiska samtalet skulle tjäna på att många fler deltog, även de som inte har något annat intresse än att de är engagerade i att försöka förbättra samhället precis som när jag ställer upp som blodgivare. Detta tillsammans med debattörernas åsikt att öppenhet om inträffade incidenter i offentlig verksamhet på något sätt skulle vara optional tycker jag också visar på det problematiska i SKL:s alltmer utvidgade roll. Allt mer beslutsfattande och operativ verksamhet för in i en organisation där offentlighetsprincipen inte gäller och insynen, precis som debattörerna antyder, inte är en rättighet utan något som kan ges på nåder. Att en arbetsgivarorganisation kan överta all fler uppgifter från demokratiskt valda organisationer och dessutom emellanåt kalla sig saker som ”koncernen SKL” (litet som om Almega skulle kalla sig koncernen Almega där alla tjänsteföretag skulle vara underordnade föreningen)  leder till ett demokratiskt underskott som borde bekymra fler än mig.

För att inte falla i samma fälla och bara diskutera SKL:s svar utifrån vilka de är och inte utifrån deras argument ska jag här gå något djupare än jag kunde göra i mitt debattsvar. Företrädarna hävdar att regionerna arbetar resolut med informationssäkerhet men de exempel som ges på vad man gör tyder snarare på att man fortfarande är kvar i huvudsak teoretiska aktiviteter som möjligen kan få en säkerhetshöjande effekt längre fram. Det skulle kunna tyckas vara gott nog om informationssäkerhet vore en helt ny fråga. Det är det inte – behovet av informationssäkerhet i vården har lyfts fram som en kritisk fråga i flera decennier, det har funnits lagstiftning och föreskrifter som ställt krav på sjukvårdshuvudmän och vårdgivare ungefär lika länge. Problemet är bara att frågan inte prioriterats och nödvändiga åtgärder inte vidtagits. Att då litet förnärmat när vi närmar oss år 2020 hävda att man nu minsann är på gång med att ta fram mognadsmodeller och skrivit in i en egenstrategi att man anslutit sig till den nationella strategin för informations- och cybersäkerhet känns inte, mja, som något som kommer att hindra incidenter och höja säkerhetsnivån inom den närmaste tiden. Man säger också att SKL erbjuder sina medlemmar konkret stöd men där är problemet att det stöd som erbjuds t.ex. i form av informationsklassningsverktyget KLASSA inte skulle ha utgjort ett stöd när det gäller upphandlingen av 1177 eftersom det är ett verktyg för att klassa system, inte informationen i processer.

SKL menar att jag bara gnäller utan konstruktiva lösningar. Själv tycker jag att jag verkligen anstränger mig för att komma med förslag på förbättringar som att göra en gemensam analys för att kunna prioritera rätt åtgärder o.s.v. men att vara konstruktiv innebär inte att man bortser från problemen. Kanske har SKL fastnat i en föreställning att man ska verka som ett företag och att endast positiva marknadsbudskap ska förmedlas vilket följande rant ger intrycket av. Jag tycker istället att ett rationellt hanterande av offentliga medel måste bygga på tydliga och ansvarsfulla problemformuleringar. Sjukvården är i en ständig förändring där numera digitaliseringen spelar en avgörande roll. Min enda önska är att informationssäkerheten tas på samma allvar som säkerheten i andra aspekter. Ett läkemedel skulle aldrig introduceras utan noggranna tester, däremot är det fortfarande comme il faut att föra in nya digitala lösningar i skarp drift utan närmare tester.

Även Daniel Forslund (L), digitaliseringslandstingsråd i Region Stockholm svarade och tycket att jag ensidigt fokuserat på revisionsrapporten när jag bedömde som regionens informationssäkerhet var undermålig. Jag håller inte med. Även om det var en kortfattad rapport pekade den på mycket basala systemfel som påverkar hela regionens säkerhetsarbete. Men eftersom jag försöker ha någorlunda torrt på fötterna innan jag uttalar mig så har jag skrivit till regionen och bett att få ta del av regionens styrande dokument inom informationssäkerhetsområdet. Utan att förhäva mig utan bara för att skapa kontext i frågan kan jag säga att jag genom åren som konsult och i andra roller sett ett mycket stort antal ledningssystem och också arbetat med att mäta befintlig informationssäkerhet i olika typer av organisationer. Det är med denna bakgrund som jag bedömer att Region Stockholm saknar rimliga förutsättningar för att bedriva ett systematiskt informationssäkerhetsarbete. Att regionen på hösten 2018 upphandlar en så känslig tjänst så sent som hösten 2018 utan att ställa relevanta säkerhetskrav är en bekräftelse på ett systemfel och inte en incident som inte kunnat undvikas. Den som är intresserad får gärna ta del av de dokument jag fått från Region Stockholm för att göra en egen och möjligen annan bedömning.

No probs sa utredaren

Den svenska förvaltningen bygger sedan gammalt på ett väloljat utredningsmaskineri som jag är djupt positiv till men som jag känner en stigande oro för. Med min bakgrund inom historieområdet har jag kunnat följa uppgången av synsättet att offentliga beslut ska vila på rationell grund och att denna grund bäst skapas genom genomlysande utredningar genomförda av högt kvalificerade företrädare för akademi och förvaltning. Hur hånade utredningarna än varit i debatten som politiska undermanövrar så har de möjliggjort insyn och ett demokratiskt samtal om de viktiga vägvalen i samhället.

Utan att gripas av allt för djup förvaltningsnostalgi försöker jag läsa och värdera de utredningar som kommer i för mig relevanta områden. Värderingen underlättas eller påverkas i alla fall av att jag själv varit expert eller på annat sätt deltagit i ett antal utredningar, bland annat som ”spökskrivare” av text som sedan hamnat i den slutgiltiga utredningen. Min slutsats av dessa erfarenheter är att de utredningar som genomförs ofta lider av brister både i utredningsarbetet, i mottagandet hos remissinstanser och i genomförandet.

I denna korta text kommer jag med nödvändighet att bli orimligt svepande och kategorisk men har ändå gjort bedömningen att det finns ett intresse i att lyfta fram vissa systemfel som jag tyckt mig se genom åren. De som har andra erfarenheter och uppfattningar uppmanar jag med emfas att delge dessa – utredningsväsendet förtjänar verkligen att diskuteras, förtjänar i positiv bemärkelse eftersom det är en så bärande institution i den svenska demokratin. Det finns ju även olika typer av utredningar men här tänker jag främst på de utredningar som tillkommer genom att regeringen tillkallar en kommitté eller en särskild utredare för att skaffa underlag för ett politiskt ställningstagande. Kommitténs uppgift är att ta fram fakta, göra analyser av dessa fakta och därefter presentera förslag på åtgärder. När uppdraget är slutfört avrapporteras resultatet oftast i form av ett betänkande, en SOU (Statens offentliga utredningar). En utredning av denna typ bör på ett rättvisande sätt inte bara beskriva förslagen utan även alternativen till dessa förslag samt vilka positiva och negativa konsekvenser som förslagen förväntas få. Efter att betänkandet är presenterat sker remissomgången där olika parter kan redovisa sina synpunkter och argumentera för eller emot betänkandet. Många utredningar stannar här, d.v.s. hamnar i en djup malpåse och blir bortglömda medan några lyckligt utvalda går vidare i beslutsprocessen. Syftet med processen är det bästa, att få rationell grund för besluten i ett öppet förfarande och dessutom en god möjlighet att revidera hur förslagen genomförts, men det är just detta gör en dyster när processen inte hanteras på ett tillräckligt bra sätt.

Förutom det generella gnället är en återkommande kritik att utredningarnas uppdrag ofta är att bekräfta en redan befintlig politisk inriktning snarare än att på ett öppet sätt undersöka en frågeställning. Annorlunda formulerat; redan problemformuleringen snöper utredningens möjlighet att nå fram till de objektivt sett mest relevanta förslagen. Naturligtvis kan inte utredningarna jämställas med akademiska undersökningar, de sker på ett politiskt uppdrag, men med tanke på att de ofta fortskrider under flera år kan en snäv och tidsbunden partipolitisk utgångspunkt snabbt göra hela utredningen daterad och oanvändbar. Denna typ av kortsiktig problemformulering leder i sin tur till två andra fatala systemfel. För det första gör det att utredningar tenderar att bli alltför operativa, det vill säga svara på en nästintill dagsaktuell fråga vilket i sin tur leder till att utredningarna blir som stuprör utan gemensam överbyggnad. Då hjälper inte det mycket tröttande tricket att låta utredningen till tre fjärdedelar bestå av kompilat från tidigare utredningar. Om inte redovisningen av redan gjorda utredningar åtföljs av en analys av hur de påverkar den aktuella utredningen undanröjer det inte på något sätt stuprörstänkandet. För det andra leder det ofta till en ytlighet i begrepp och förutsättningar. Som ett exempel på detta kan vi ta ”digitalisering” en företeelse som utretts på längden och tvären men där själva fenomenet och dess förutsättningar mycket sällan analyserats. Istället ses digitalisering som en fastställd entitet som bara kan utvecklas i en given riktning och med i princip goda konsekvenser. Denna egendomligt deterministiska syn på teknik och samhälle anammas även när Riksrevisionen granskar digitaliseringen. Då granskas inte huruvida regeringens målbild att Sverige ska vara bäst i världen på digitalisering, vilket skulle vara mycket rimligt att ifrågasätta i förhållande till samhällsnyttan, utan enbart hur långt myndigheter och regering tagit sig i den riktningen.

Om vi därefter tittar litet på utredarna och deras medhjälpare finns den vanlige utredaren som får stöd av experter av olika slag men också kommittéer. I det första fallet kan jag se två påtagliga sårbarheter. Den ena är utredaren själv som allt oftare tycks vara en jurist vilket skulle kunna tyckas rimligt med tanke på att utredningen förhoppningsvis ska leda fram till lagförslag men det kan också ses som ett exempel på den tilltagande juridifieringen efter Sveriges EU-inträde. Det är inte säkert att alla problem gynnas av att främst formuleras i juridiska termer utan att det ibland vore bättre med en utredningsprocess som inleds av de som är ämneskunniga för att först därefter bearbetas som en juridisk frågeställning.

Sedan är det experterna där det ofta synes vara en hårfin skillnad mellan expert och särintresse. Det gäller de tjänstemän som ska bevaka den egna myndighetens intresse men jag måste medge att jag grubblat över det rimliga i att tillsätta  en representant för den största leverantören som expert i en utredning om digitaliseringsrätt . Säkert mycket kunnig men kanske då lämpligare att skapa en fokusgrupp för olika leverantörer för att undvika frågan om jäv?

Lika ofta är dock avsaknaden av nödvändiga perspektiv i expertgruppen slående. Om vi till exempel tar NISU (SOU 2015:23) och utredningen om nu säkerhetsskyddslag (SOU 2015:25) samt dess efterföljare med kompletteringar (SOU 2018:82) så har dessa tre utredningar gemensamt att de helt saknar representation från kommuner och regioner. Detta trots att utredningarna måste utgå från att deras förslag till stor del ska omsättas just av kommuner och regioner. Bristen påpekades från några remissinstanser men jag tror att risken är stor att man även fortsättningsvis kommer att se utredningar med ett i huvudsak inifrån och ut-perspektiv.

Att särintressena får så stort utrymme har nackdelen att det också skapas stuprörsformation inom utredningarna. I NISU t.ex. finns ett antal förslag som uppenbart skrivits fram av de olika myndigheter som är närmast berörda. Tyvärr är inte förslagen integrerade sinsemellan, beroendeförhållande mellan förslagen är inte beskrivna, inte heller finns en prioritering gjord. Den här typen av hopplockade åtgärder måste vara mycket svåra att använda som beslutsunderlag utan vidare bearbetning.

De utredningar som bedrivs som kommittéer (exempelvis E-delegationen och Digitaliseringskommissionen) löper å andra sidan risken att utvecklas till egna särintressen och bli mer som en form av myndigheter utan ansvar.

Själv läser jag alltid utredningarnas konsekvensbeskrivningar med största intresse eftersom det är där som man enligt min mening bäst kan bedöma utredningens kvalitet. Om utredaren verkligen försökt, utan hänsyn till sina egna darlings, beskriva även de negativa konsekvenser som kan uppstå om utredningens förslag förverkligas är det en bra utredning där beslutsfattarna får stöd att fatta rätt beslut. Då ges även en möjlighet att i tid börja arbeta med att reducera eventuella risker och negativa konsekvenser. Tyvärr blir jag sällan glad när jag läser konsekvensbeskrivningar eftersom de ofta förefaller verklighetsfrämmande och främst bestående av glädjekalkyler som för att visa det geniala i utredningens förslag. Avsaknaden av relation med de som har kännedom om verkligheten är sannolikt den bakomliggande orsaken till de sangviniska konsekvensanalyser som avslutar utredarens möda. Jag har nu under ett par år funderat över hur säkerhetsskyddslagens utredare kunde komma fram till denna sammanfattning av konsekvenserna av sitt förslag:

Bedömning: Förslagen medför inte annat än marginella kostnadsökningar för vissa myndigheter som får delvis utökade upp-gifter enligt våra förslag. Dessa kostnadsökningar bedöms kunna hanteras inom nuvarande budgetramar. Förslagen bedöms inte medföra några kostnadsökningar för företag utom i de fall dessa på eget initiativ och för egen nytta begär s.k. säkerhetsintyg för leverantör, då kostnader kan upp-komma för vissa säkerhetsskyddsåtgärder. Förslagen kan medföra att något fler personer säkerhetsprövas.

Få torde idag hålla med om den bedömningen vilket bland annat framgår av remissvaren på den kompletterande utredningen då det börjat gå upp för allt fler vad den nya lagen faktiskt kommer att innebära. Vad som förbryllar mig är att alla de ökade kostnader och andra negativa konsekvenser som idag är uppenbara för de flesta inta kan ha varit särskilt svårt att förutse. Detta är inte unikt för just den här utredningen utan är, menar jag, mer att se som ett systemfel där utredare systematiskt tonar ner de negativa konsekvenserna. Möjligen beror detta på att de är rädda för att deras förslag ska ses som ”dåliga” eftersom det innebär vissa negativa effekter men det är ju en attityd som knappast gagnar utredarens uppdragsgivare.

En sista svag punkt i utredningsmaskineriet är att remissinstanserna ägnar ett så till synes svagt intresse för att läsa hela utredningen. Istället kommenterar man möjligen de delar som berör den egna verksamheten. Jag har förståelse för att många myndigheter och andra blir överösta med remisser och har svårt få tiden att räcka till för att ge kvalitativa svar på alla. Samtidigt så är remissvaren inte bara ett sätt att värja den egna verksamheten från dumma förslag. Det är också en möjlighet att bidra med juridiska och andra bedömningar för att förbättra helheten.

Nu ska jag göra ett djärvt grepp och citera Sun Tzu (tror jag) direkt ur mina djupaste hjärnvindlingar utan att kolla upp det. Han sa ungefär så här: om jag får tio dagar på mig att fälla skogens största träd ägnar jag åtta dagar åt att slipa min yxa. Ni får nu möjligheten att komma med en massa bra rättelser men vad jag vill säga är att detta skulle kunna vara ett citat som både uppdragsgivare och utredare skulle kunna tatuera in som gadd. De stora utmaningar vi står inför inom digitalisering, informationshantering, arkiv och säkerhet förtjänar de bästa utredningar som tar minst åtta dagar av de tio.

PS! Jag måste genast rätta mig själv innan någon annan hinner göra det! En mig närstående har grävt fram att det nog inte var Sun Tzu och inte ens Lincoln som myntat uttrycket men det blir en snygg tatuering om det är kinesiska tecken…

Halmdockor och pepp

Teknikhistoria är ett fascinerande ämne som jag ägnat mycket intresse genom åren och då alldeles särskilt samspelet mellan teknik, samhällsutveckling och ekonomi. Frågor som varför vissa tekniska uppfinningar blir innovationer medan andra inte gör det och de institutionella förutsättningar som gör att teknik leder till positiv samhällsutveckling är ganska grundligt beforskade. En underbar populärvetenskaplig bok på detta tema är Wolfgang Schivelbuschs Järnvägsresandets historia som jag rekommenderar alla som vill skapa sig en hälsosam distans till det utmattande nuet.

Det är med denna bakgrund som den svenska förvaltningens digitalisering ständigt förvånar mig eftersom dess genomförande tycks strida mot det som framkommit som framgångsfaktorer för införande av ny teknik. Istället för att bygga gemensam infrastruktur och institutionella förutsättningar har svenska myndigheter och regioner/landsting ägnat sin energi åt någon slags känslomässig påverkan.

Vad är då budskapet i denna känslomässiga kommunikation? Så här ser de mest förekommande implicita och explicita budskap ut.

Det övergripande budskapet att det finns ett stort antal ludditer som är passionerat motverkar digitalisering och som måste övertygas om att digitalisering är BRA. Efter noggrant begrundande kan jag inte erinra mig en enda person som varit emot digitalisering, däremot många som varit emot dålig digitalisering. Det hindrar inte att det förekommer en ständig underström av halmdockor (läs mer om det klassiska fula argumentationsfelet här ) när digitalisering diskuteras. Dessa figurer som med lock och pock måste forceras att överge papper och penna är del i en ganska bra härskarteknik eftersom den som låtsas som att dessa finns då själv framstår som en ljusbringare som står för det ”moderna”. Och det är något som i svenska sammanhang vördas så är det det moderna, så har det varit sedan 1800-talet, oavsett vad moderniteten stått för. Det uppenbart ologiska i att hävda att populasen är teknikfientliga bakåtsträvare på jobbet eller när de ska använda offentliga e-tjänster när de samtidigt på sin fritid har olika kommersiella e-tjänster som sina närmaste livskamrater tycks inte störa.

Nästa centrala budskap är att digitalisering per definition är bra vilket leder till den underförstådda tesen att all digitalisering är bra.  Som följd av detta görs ingen skillnad mellan bra och dålig digitalisering trots att alla känner till minst fem misslyckade digitaliseringsprojekt i sin närhet. Att det inte får finnas dåliga digitaliseringsprojekt till en dubbelriktad kultur av icke-existerande uppföljning och erfarenhetsåtervinning; eftersom det inte görs någon uppföljning kan dålig digitalisering inte påvisas.  Jag tittar in på webbplatserna för två centrala aktörer för den offentliga sektorns digitalisering, eSam och SKL, för att se hur man hanterar utvärderingsfrågan. eSam har gett ut ett antal vägledningar och metodbeskrivningar för digital samverkan (a.k.a. ta fram digitala lösningar) i alla möjliga skärningar men vad jag kan se har inte uppföljning och utvärdering förlänats något eget metodstöd. I den 84-sidiga vägledningen för behovsdriven utveckling  finns visserligen dessa rader med:

Efter varje införande bör det genomföras en utvärdering för att ta vara på erfarenheter om vad som gick bra respektive mindre bra i behovsinsamling, planering, metodval, samarbete samt hur resultaten mottogs. Infriade tjänsten de förhoppningar verksamheten och målgruppen tänkt sig?

men i ett systematiskt arbete förväntar man sig ett något större intresse för frågan.
SKL, som får ses som ett epicentrum för den vingliga offentliga digitaliseringen, förvånar mig positivt genom att erbjuda verktyg för uppföljning exempelvis eBlomlådan  och så kallade LIKA-värderingar som den här för socialtjänst. Tyvärr visar sig dessa undersökningar vara mognadsundersökningar av i vilken omfattning man lyckats digitalisera, d.v.s. det handlar inte om att utvärdera hur väl digitaliseringen fungerar.
Ointresset för utvärdering är paradoxalt sett i ljuset av att digilisatörerna gärna vill tala om digitalt ledarskap och vikten av styrning samt nyttorealisering (nej, det är ingen idé ni går till den här vägledningen för nyttorealisering för den innehåller inget substantiellt om uppföljning). För att kunna leda, styra och nyttorealisera i verklig bemärkelse måste man arbeta systematiskt med att utvärdera gjorda satsningar ur ett antal aspekter som ekonomi och effektivitet. Förhållningssättet att arbeta utan systematik är menar jag en av de mest grundläggande orsakerna till att det offentliga Sveriges digitalisering inte alls når den nivå som skulle kunna förväntas med tanke på de investeringar som gjorts. Att den svenska digitaliseringen kraftigt underpresterar är ett faktum som det nu tycks råda konsensus om även från internationella bedömare som OECD. Orsakerna till detta borde vara synnerligen intressanta att identifiera och då inte bara genom att komma dragande med gamla kära bortförklaringar som att juridiken inte är anpassad till digitaliseringen. Kraften i det argumentet är ju inte heller så övertygande då till exempelvis sjukvårdshuvudmän och vårdgivare högaktningsfullt struntar i viss lagstiftning som man finner obekväm.

Det går inte att argumentera för digitalisering med rationella argument, tråkiga och genomarbetade analyser eller krassa ekonomiska beräkningar. Istället sker kommunikationen med ett överflöd av uttalande av den här typen:

  • Sverige måste förstå att digitalisering inte är en lyxprodukt utan en kärnverksamhet.
  • En strategisk fråga blir att lyfta fram de förändringsagenter som finns ute i verksamheterna och helt enkelt vända på bevisbördan. Det ska inte längre vara så att det är den som vill förändra som måste förklara sig utan snarare den som vill bevara det gamla.
  • Hur många av er upplever att juridiken stimulerar och möjliggör digitaliseringsresan inom hälso- och sjukvården?
  • Digitalisering skapar mervärde
  • Man behöver förändra helheten – inte bara småändra i marginalen. Då är risken att man lägger all kraft på en enskild lösning och inte på att förändra det som verkligen ger effekt
  • Möt innevånaren/patienten tidigt genom digitala arbetsmetoder

Eftersom dessa uttalande inte går att vare sig be- eller vederlägga befinner vi oss i en situation där ledande aktörer inom digitaliseringsetablissemanget ständigt vädjar till våra känslor istället för att föra en dialog grundad i sakfrågor. Här uppstår tror jag den olyckliga pepp-cirkelargumentationen där utomstående inte kan delta eftersom ramen för deltagandet är satt; bara de som accepterar pepp-läget kan ingå, de som efterfrågar rationalitet, siffror och nytta uppfattas som fientligt inställda och görs mer eller mindre förfinat till icke-deltagare och i värsta fall till halmdockan ”motståndare till digitalisering”.

Att det finns ett digitaliseringsetablissemang (precis som det finns ett informationssäkerhetsetablissemang) som har mycket att försvara blir ganska uppenbart vid minsta lilla glutt in på LinkedIn. Det vore kul att se ett sociogram över det ganska begränsade antal människor som genom åren konfererat med varandra, gett varandra komplimanger, titlar, priser och positioner. Man har skapar myndigheter, kommittéer, kommissioner och råd för att underlätta digitaliseringen, oundgängliga roller som regeringens CDO och kommunala digitaliseringsstrateger och peppat varandra på karnevaler och festivaler (det sista var kanske en liten överdrift…). Digitaliseringen har beskrivits som det största tekniksprånget i historien (jag skulle nog snarare hävda ångmaskinen eller elektriciteten) och som lösningen på flertalet svåra samhällsproblem. Den arma fackutbildade personalen i välfärdssektorn har fått finna sig att bli mästrade av allehanda ”evangelister” utan definierad kompetens givits utrymme att predika. Helt olika räknesätt har tillämpats i de kommunala ekonomierna där lärplattformar för bortåt en halv miljard kunnat prioriteras samtidigt med kraftiga nedskärningar på personalen.  Under senare tid har jag alltmer kommit att grubbla över hur den privata sektorn kunnat genomföra sin digitalisering utan detta etablissemang och överbyggnad.

Jag tror att det är dags för ett paradigmskifte inom den offentliga digitaliseringen i Sverige. Det är inte fel på förutsättningar, ekonomi eller teknik i första hand utan på den metafysik som omger digitaliseringssträvandena, alltså de föreställningar som finns om digitaliseringen och det sammanhang som de digitala lösningarna ska fungera i.   Som samhällsmedborgare skulle jag önska att digitaliseringsetablissemanget tar ett steg tillbaka och med viss självkritik granskar sina argument för att kunna börja tillämpa mer kvalitativ och effektiva arbetssätt. Det vill säga mindre marknadsföring och mera hantverk, mindre känslor och mera strukturellt tänkande, färre halmdockor och fler verkliga läkare och lärare, färre evangelister och flera ingenjörer i vid bemärkelse, mindre digitala lösningar i sig och mer intresse för de resultat som digitaliseringen ger. Framför allt önskar jag viljan och förmågan till ett normalt kritiskt förhållningssätt till digitalisering. Ett stöd för denna typ av reflektioner kan vara följande schema över vanliga villfarelser. Särskilt rekommenderar jag närstudier av följande bias: sunk cost fallacy, dunning kruger effect, back fire effect, self serving bias och group think.

Kan 1177-skandalen bli en reboot för vård-it?

Först en disclaimer. Denna text är skriven med ett visst undertryckt ursinne. Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar. Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter. De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand. Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov. Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut. Det var New public management utan management. Sedan dess har det bara fortsatt.

Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar. Det finns inget som är så lätt som att förutspå framtiden i efterhand. Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer. Jag: not so much. Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år. Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll. När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav:

Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter. Hur skyddet genomförs ska dokumenteras. Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget. Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.

ger det en indikation om hur relevant oron faktiskt var/är.  Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns. Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.

Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer. Enkla lösningar är det redan alltför många som kommer med. Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för. Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen.

Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.

Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på. Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177. Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen:

2 §   Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård. Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.

När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården. Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå). I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare. Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna. Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.  Det juridiska ansvaret läggs nämligen främst på vårdgivaren:

3 §   Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.

Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp. Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens informationshantering. Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster. I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v. Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….

Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen. Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer. Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it. Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå. Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år. Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin Plattsformssamhället.

Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen. Ändå tror jag det är viktigt med ett ansvarsutkrävande. Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland. SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation. Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.  Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”. Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.

Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör? Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans. Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.  Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder. I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.

Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation. SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård. Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL. Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen. Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.  Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk. Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården. Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten. Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt. Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.  Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den. Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB webbplats. Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs. SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer. Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om här. Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida. Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller. När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som här.

I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra. Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer. Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen. Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården. Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.

Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.  Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på. Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga. Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.

Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd. Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder . Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet. Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet. Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!

  1.  Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga.
  2.  Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
  3.  Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering. Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
  4.  Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut. En central fråga är det reella ansvarsutkrävandet.
  5. Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
  6. Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
  7. Ta fram en gemensam styrmodell för informationssäkerhet i vården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
  8. Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
  9. Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
  10. Utveckla utbildningar för de som ska arbeta med informationssäkerheten i vården.
  11. Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.

Freja, digitalisering och säkerhet

En anekdotisk bakgrund

Redan när jag under 1990-talet arbetade med informationshantering och informationssäkerhet i ett landsting (jag på den gamla goda tiden när det fortfarande hette landsting och inte regioner) blev den sköra balansen mellan landstingets eget ansvar och det nationella intresset tydlig för mig. Det är inget okänt eller nytt problem som nördar med överdrivet förvaltningshistoriskt intresse (d.v.s. jag) vet. De nya medicinska behandlingar liksom nya politiska vindar drev dock tillsammans med digitaliseringen fram en historiskt ny situation där de tidigare så inbillat självrådiga landstingen pressades åt två motsatta håll. Å ena sidan blev det enskilda landstingets sjukvårdsverksamhet alltmer integrerad i ett nationellt landskap som bland annat bestod i att specialiserad vård koncentrerades till ”vårdhubbar” och en gemensam struktur i nivåer. Å andra sidan en ökad fragmentisering med fler aktörer som kommuner, privata vårdleverantörer och fler tillsynsmyndigheter. I detta skede skulle de institutionella förutsättningarna förändrats så att en stark styrning möjliggjorts. Istället gjorde införandet av new public management att bristen på samordning nationellt trycktes ner till disparata krav för det enskilda landstinget att försöka pussla ihop. Jag kommer fortfarande ihåg den lätta panik jag kände när jag ringde till Socialstyrelsen i en fråga rörande journalhantering. Den hjälpsamma tjänstemannen meddelade att hen bara kunde ge stöd angående patientssäkerhetsaspekten i hanteringen av patientinformation. För att få råd avseende integritetsaspekter i samma hantering var jag tvungen att vända mig till Datainspektionen, och nej, de två myndigheterna hade tyvärr inte tagit fram några gemensamma vägledningar.

Systemfelet att man inte på nationell nivå integrerar frågeställningar som delvis är i konflikt i det praktiska utförandet utan skjuter över det till de utförande organisationerna att lösa individuellt är verkligen inte unikt för vården. På område efter område kan samma mönster urskiljas. Jag har redan mer än en gång för mycket beskrivit den (icke-)existerande samordnade styrningen av säkerhet och digitalisering. Jag har på senare tid börjat fundera alltmer på den heliga ansvarsprincipen som infördes på 1980-talet och då ersatte en centraliserad styrning av bland annat krisberedskap. I och med detta försvann visserligen detaljkraven på enskilda verksamheter men också inbillar jag mig möjligheten att kunna mobilisera samhällsfunktioner med nödvändig överblick över helheten. (Eftersom jag blivit alltmer nyfiken på tankarna bakom krisberedskap har jag börjat läsa litet, för andra med samma dragning kan en bra ingång vara den här utredningen).

Kanske är det överblicken och systemtänkandet jag saknade mest när jag började arbeta på en samordnande myndighet. Det var med en känsla av desillusion som jag tyckte mig se konkurrens och revirpink snarare än samarbetsanda hos de myndigheter som skulle samverka. Min upplevelse var också att det fanns ett klimat där det var mycket svårt att ta varandras perspektiv och ännu mindre perspektivet hos dem som konkret skulle genomföra flertalet säkerhetsåtgärder, d.v.s. de vanliga organisationerna. Särskilt dystert kändes detta med tanke på hur väl övriga samhällsaktörer behövde en samordnad inriktning och gemensam säkerhetsarkitektur (inte bara teknisk) – något som faktiskt inte det enskilda landstinget eller kommunen kan åstadkomma. För att inte drabbas av något ont öga vill jag återigen understryka att detta är min egen subjektiva upplevelse som säkert påverkades av mina högt ställda förväntningar.

De i det svenska statsskicket så självständiga myndigheterna föreföll också tämligen befriade från stark styrning från regeringskansliet. Snarare tycktes en omvänd ordning råda där expertmyndigheterna hade starkt inflytande över de inte alltför seniora tjänstemännen på RK och därmed i vissa delar tycktes formulera sina egna uppdrag. Hunnen så långt i mina reminiscenser dök tanken på Freja och hennes vagn dragen av katter upp. Alla med minsta kännedom om katter kan föreställa sig vilket sjå Freja hade om hon skulle få vagnen att rulla framåt, en katt som lägger sig och vägrar röra sig, två som går åt två helt olika håll och till det massa stirrande och fräsande. Men för att tänja på metaforen med Frejas vagn borde det vara en huvudfråga att vagnen med digitalisering, säkerhet och integritet rullar framåt. Då måste dragarna röra sig i samma riktning och helst vara lämpliga för ändamålet. 

Att samordning inte är svårt bara när det gäller de stora frågorna utan även i de mer konkreta metodfrågorna demonstreras i den frustrerande verklighet som de många som ska förverkliga intentionerna lever i. Efter att ha misslyckats med att få både intern och extern acceptans för en vägledning för informationsklassning började jag tänka om. Informationsklassning är en metod som jag själv praktiserat i ett par decennier med en tydlig förutsättning: den måste leda fram till konkreta och säkerhetshöjande åtgärder. Genom åren har jag sett många varianter av förslag på informationsklassning men mycket få som faktiskt tillämpats i praktiken. Det har till och med förekommit på konferenser och seminarier att metoder presenterats som framgångsrika trots att de aldrig använts i någon organisation! Informationsklassning i all ära men en stor del av säkerhetskraven är så generiska att det inte finns någon anledning att gå omvägen via klassningar. Ta exempelvis det mycket aktuella exemplet med ”molntjänster” med vilket för närvarande avses Office 365 och liknande helt omfattande lösningar där i princip all administrativ information utom HR och ekonomi kan hamna. Såvitt jag kan bedöma är det inte meningsfullt att genomföra enskilda informationsklassningar per verksamhet och inte heller per organisation (mer om det här.)

När nu säkerhetsskyddslagstiftningen inför ytterligare klassningar (vilket jag skrivit om bland annat här och här ) blir uppgiften ännu mer omöjlig att genomföra. Min slutsats är därför att informationsklassning faktiskt inte går att använda på det sätt som jag själv gjort i någon större skala utan att vi måste tänka om. Jag tror dessutom att det vore en samhällelig suboptimering av rang att göra som eSam och andra myndigheter föreslår: att varje organisation själv ska göra egna informationsklassningar och riskbedömningar. För mig vore det enda rimliga att de myndigheter som har formellt ansvar och de organisationer (som eSam) som tycker sig ha anledning att göra generella statements också bidrar till att lösa frågan och inte bara delar ut Svarte pettrar.

En aggressiv typ av Svarte Petter

 

Vad bör man göra

När jag slutade på MSB (där jag då var chef för enheten för systematiskt informationssäkerhetsarbete) för tre år sedan låg enhetens fokus på tre strategiska projekt:

  • Att ta fram ett underlag för en nationell styrmodell för informationssäkerhet som byggde på vetenskapligt stöd för styrning generellt
  • Att ta fram 5–10 generiska processer för kommuner inklusive den informations som skapas/används i processen samt i förlängningen
  • Att skapa ett underlag för att ta fram gemensamma skyddsnivåer som skulle kunna tillämpas av både offentliga och privata aktörer

Såvitt jag vet hamnade projekten i malpåse men jag skulle vilja förklara den bakgrund till projekten som jag bedömer som varande fortfarande relevant.

En del var en ökande medvetenhet om hur NPM-tänkandet präglat även informationssäkerhetsområdet bland annat i form av en extrem decentralisering och fokus på mätning snarare än att skapa en sammanhållen och kostnadseffektiv arkitektur av säkerhetsåtgärder. Exempel på detta är att den stora övertron till att ISO-standarden ska lösa problemen trots att den uttryckligen är inriktad på enskilda organisationers säkerhet och därmed har en stor potential för att ge olika svar i olika organisationer. Ett annat är det lika överdrivna intresset för att samla in incidentrapporter utan att sedan riktigt veta vad man ska göra med dem. Istället menar jag (fortfarande) en stark central styrning måste till och att tanken på standarderna som universallösningen måste överges. Enkelt uttryckt måste vi förflytta oss från metoder som är skapade för att skapa olika resultat till styrning som ger ett enhetligt resultat i den gemensamma infrastrukturen.

Att skapa större enhetlighet inte bara vad gäller metod utan i faktiska säkerhetsåtgärder bör i sig vara ett mål. Det vill säga att där det förekommer likartad information i likartade processer bör den om möjligt hanteras på ett enhetligt sätt. Om man har detta som utgångspunkt finns i Sverige alldeles lysande förutsättningar för att nå snabba säkerhetshöjningar, något som nu inte alls tillvaratas utan snarare motarbetas. Låt oss ta kommunerna som det kanske tydligaste exemplet. Samtliga 290 kommuner har tio obligatoriska uppgifter som de ska utföra. Det innebär att deras kärnverksamhet i består av tio i huvudsak likartade processer med i huvudsak likartad information. Att söka skola eller byggnadslov ser ungefär likadant ut även om man kan ha olika organisationer, system och begrepp. Genom att utnyttja den fördelen och skapa generiska processer inklusive informationsmängder kan man också ta fram informationsklassningar för kärnverksamheten som kommunerna kan utgå från liksom även skyddsnivåer där systemen som stöder processerna kan placeras in. Detta är bara ett exempel på hur vi snarare har motverkat de stora fördelar som finns i likheten och skapat ett enormt maskineri av krav på att med bristfälliga resurser klassa samma information fast få fram olika resultat…

Förutom den effektivitet och kostnadsreducering som skulle kunna vinnas med den här typen av styrning är den kanske mest centrala att det faktiskt skulle leda till bättre säkerhet. De riskbedömningar, klassningar och skyddsnivåer som kan tas fram med experter på nationell nivå kan med stor sannolikhet, förutom att vara enhetliga, vara av en annan kvalitet än de som en informationssäkerhetsansvarig på 20 % i Söpple kommun har möjlighet att frambringa. Här vill jag dock med all kraft understryka att den verksamhetskunskap som finns i företag, kommuner, regioner och myndigheter inte kan ersättas av säkerhetsexperter. Nej, här det snarare frågan om en stark funktionell renodling där verksamheter står för verksamhetskompetensen och säkerhetsfunktioner står för säkerhetskompetens. Och självklart kommer det att kvarstå verksamhet som är unik som måste hanteras av den egna organisationen.

Grunden var att försöka komma fram till hur man ska kunna skapa institutionella förutsättningar för att skapa en fungerande informationssäkerhet som dessutom är i samklang med både den planerade och den oplanerade digitalisering som pågår. Jag vill betona betydelsen av institutionella förutsättningar i styrsystem eftersom det inom säkerhetsområdet florerar en underförstådd föreställning om regelstyrning både i den lokala organisationen och på nationellt plan. Den kan tolkas som att det räcker med att bara säga till vad som gäller (regler) och sedan straffa eller skamma de som avviker från dessa. Om detta har en säkerhetshöjande effekt eller inte har en underordnad betydelse. Till och med vid framtagandet av föreskrifter är frågan om hur föreskriften ska få effekt en osynlig fråga. För att belägga det räcker det att konstatera att det saknas en planerad uppföljning av föreskrifters genomslag inte tas fram. Jag tror helt enkelt att säkerhetsområdet måste börja närma sig andra områden när det gäller styrning. Detta behov blir än mer framträdande då det sedan ett par decennier är i allt högre grad privata aktörer som utför centrala delar av samhällsviktig och offentligt finansierad verksamhet. I en situation av mer governance och mindre government blir rak regelstyrning mindre effektiv. De institutionella förutsättningarna innebär inte bara regler utan också beteende där beteendena bör förflyttas så att de överensstämmer med reglerna. En viktig uppgift är alltså att hitta de mekanismer som kan underlätta denna förflyttning.

Ganska självklart men kanske för ofta bortglömt. Styrningen beror alltså på att man väljer rätt metoder för att underlätta förflyttningen av beteendena. Straff och tillsyn är ofta framlyfta incitament inom säkerhetsområdet men min uppfattning är att minst lika stort intresse borde vigas åt de positiva incitamenten som exempelvis överenskommelser, kunskapsstyrning och en positiv säkerhetskultur även på nationell nivå.

För att inte hamna i Frejas situation och ha en vagn spänd bakom trilskande kissar har jag tagit fram följande superförenklade bild över hur en gemensam styrmodell skulle kunna utformas. Pilarna ovanifrån är verksamhetskrav för att styrmodellen ska utformas med de risker som finns i detta perspektiv. Vad som inte finns med är hur styrmodellen ska samverka med myndigheternas krav på digitalisering – detta mest beroende på att jag funnit det omöjligt att hitta underlag för att beskriva hur denna styrning är avsedd att ske.

 

Här vill jag skjuta in att den här typen av modell även skulle leda till att relationen med leverantörer av tjänster för informationshantering skulle förbättras på ett antal nivåer. För det första skulle kommunikationen vid upphandlingar kunna ske med stöd av skyddsnivåerna i modellen: kunden kan istället för egenhändigt utformad kravspec för säkerhet peka på vilken skyddsnivå systemet eller tjänsten ska uppfylla. För det andra kan, om beskrivningarna i skyddsnivåerna är rätt utformade, leverantörerna bidra med lösningar med bättre säkerhet än vad kunderna skulle kunna formulera krav på. Leverantörerna har trots allt som sin kärnuppgift att utveckla teknik vilket inte kunderna har. För det tredje skulle det ge leverantörerna ett mått av förutsägbarhet som gör det värt att investera i utveckling av nya säkerhetslösningar. För att bara ta några möjliga förbättringar.

Det skulle också innebära att man kan lyfta kretsloppet av ständig förbättring, PDCA-cykeln, från den enskilda organisationen till vår gemensamma informations- och it-struktur, med dessa exempel:

Detta är bara en bråkdel som finns att säga om detta. I ett senare inlägg kommer jag därför att beskriva förslaget ytterligare. Observera fram till dess med tacksamhet att jag inte satt Operation Gyllenborst som namn på modellen.

Hur ska Söpple kommun klara NIS-direktivet?

Det har knappast gått någon förbi att det under några år nu rasar in nya eller nygamla regleringar gäller olika aspekter av informationssäkerhet: dataskyddsförordningen, lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet), ny säkerhetsskyddslag och sedan litet civilt försvar på det.

Samtliga av ovanstående regleringar ”drabbar” primärkommunerna. En egenhet för primärkommunerna generellt är att kravbördan inom alla områden drabbar samtliga kommuner lika hårt oavsett om de har 4000 invånare eller 900 000. Detsamma gäller för ovan nämnda nya lagar. Kommunerna har den, vid sidan om sjukvården, mest komplexa kravbilden på informationssäkerhet i samhället redan från början i kombination med att flertalet av små och medelstora kommuner alltför ofta helt eller delvis saknar den kompetens som behövs för att hantera situationen. För att uppnå  målbilden; ett säkrare Sverige, behöver de ansvariga myndigheterna därmed anstränga sig till det yttersta för att ge ett stöd som fungerar till kommunerna. Att inta en hållning av typen ”det är deras eget ansvar” är helt meningslöst och kontraproduktivt eftersom det objektivt sett saknas förutsättningar för att de skulle kunna lyckas med det. Ytterligare en aktör i detta är SKL som under senare påtagit sig ett allt större operativt ansvar i frågor bland annat av denna typ. Nu är det alltså litet upp till bevis-läge.

Jag ska därför göra en liten kontrollrunda för att se vilken information och stöd Söpple kommun kan räkna med när det gäller NIS och därefter göra en sequel om säkerhetsskyddslagen.

Först en kort bakgrund. Det s.k. NIS-direktivet antogs av Europaparlamentet 2016 och den svenska lag som följden av detta, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, trädde med tillhörande förordning i kraft 1 augusti 2018. Målsättningen med direktivet och följaktligen med lagen är att hög gemensam nivå på säkerhet i nätverk och informationssystem. Lagstiftningen är inriktad på de nätverk och informationssystem som stödjer samhällsviktiga tjänster i sju sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur) samt i digitala tjänster. Det är inte i en begreppsvärld klar som ett vårregn vi rör oss i här vilket gör att jag hänvisar den intresserade till definitionerna i lag och förordning för att själv bilda sig en uppfattning om den exakta betydelsen i begreppen. Viktig avgränsning är att lagen inte gäller för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen. Däremot gäller den för både offentlig och privat verksamhet.

För att uppnå bättre säkerhet är de främst två krav lagen riktar in sig på. För det första ska leverantörerna av samhällsviktiga tjänster bedriva ett systematiskt informationssäkerhetsarbete inklusive riskanalyser och incidenthantering. Av någon anledning betonas det särskilt att man också ska vidta åtgärder för att reducera de risker man upptäcker(!). Man skulle kunna tycka att det är en ganska självklar del i ett systematiskt informationssäkerhetsarbete men lagstiftaren känner ändå att detta måste påpekas. För det andra är det universalmedlet incidentrapportering som jag i förtroende vill meddela att jag tror är tecknet på att det offentliga säkerhetsarbetet har fastnat i en NPM-fälla. Det vill säga att tvinga ett antal decentraliserade verksamheter att rapportera in uppgifter som man inte sedan vet vad man ska göra med.

Nog raljerat. Lagen innehåller också nyheten att leverantörerna av samhällsviktiga och digitala tjänster ska tillsynas vilket i sin tur bygger på att de som lagen berör själva ska anmäla sig till tillsynsmyndigheten. Om så inte sker, om man inte vidtar korrekta säkerhetsåtgärder eller inte rapporterar incidenter kan en sanktionsavgift tas ut av tillsynsmyndigheten. Efter dataskyddsförordningen kan ordet ”sanktionsavgift” väcka viss panik men i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster sägs  En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor. 10 miljoner kan ju vara skrämmande för en liten kommun men för en större organisation kan det som en summa värd att gambla med.

Vad som är skrämmande är att det inte är en tillsynsmyndighet utan sex förutom MSB:Sammanfattningsvis är min bedömning att det är minst lika omfattande krav som ställs i den här lagen som i dataskyddsförordningen. Att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete är en mycket komplex uppgift som de statliga myndigheterna inte lyckas leva upp på något särskilt övertygande sätt trots att kravet funnits i föreskrift i snart ett decennium. Nu vidgas kretsen som skulle uppfylla den målbilden till även kommuner och landsting vilkas möjlighet att realisera den är långt, långt sämre än de statliga myndigheternas.  Och så till ett stort antal företag som kommer att ta in kravet i sin affärsplanering och vara extremt intresserade av att förstå exakt vad som krävs eftersom säkerhet kostar.

Missförstå mig rätt. Jag är den första att hävda nödvändigheten av att bedriva ett systematiskt informationssäkerhetsarbete och då särskilt i kommuner och landsting. Hur starkt jag än uttrycker den övertygelsen framstår det som ett understatement. Men för att uppnå detta måste man förstå förutsättningarna. Jag ska därför här göra ett litet tankeexperiment för att försöka förstå hur den nya lagstiftningen landar i en medelstor kommun som vi kan kalla Söpple kommun.

En första observation är när vi tittar på de obligatoriska uppgifterna för en kommun är att Söpple kommun kommer att få fem tillsynsmyndigheter: Energimyndigheten eftersom man har ett kommunalt elbolag, Transportstyrelsen eftersom man har kommunal kollektivtrafik, IVO eftersom man bedriver hälso- och sjukvård bland annat inom äldrevården, Livsmedelsverket eftersom man producerar och levererar dricksvatten och PTS eftersom man har ett stadsnät (jag har inte här gjort någon skillnad på om det är kommunala bolag). Söpple kommun måste alltså vara beredda på att dessa fem olika myndigheter kan komma på tillsynsbesök.

Vilka förutsättningar har då Söpple kommun som med sina 24 000 invånare kan sägas vara en normalstor kommun. I kommunen finns ingen informationssäkerhetsansvarig utan frågan ligger under it vilket också är normalt men olyckligt. Man har påbörjat en sondering med två grannkommuner för att gemensamt kunna inrätta en tjänst som informationssäkerhetssamordnare vilket suttit hårt åt eftersom varje utgift ställs mot personal i äldreomsorgen. Tyvärr har man redan insett att även om man lyckas få beslut om medel för en sådan tjänst kommer det att bli extremt svårt att hitta en sökande som både har kompetens och är villig att flytta till Söpple. Sannolikheten för att hitta någon i kommunen är mycket låg, det finns inga utbildningar för att snabbt utbilda en redan anställd och de som finns på marknaden kan definitivt få bättre betalt än i kommunal verksamhet. Jag vill bara här återigen understryka att informationssäkerhet i en kommun är på en svårighetsgrad som få informationssäkerhetsansvariga i statlig verksamhet någonsin råkar ut för så är det någonstans kompetens verkligen behövs så är det i kommunerna.

Både tjänstemannaledningen och den politiska ledningen i Söpple kommun är yrvakna. De har inte hört talas om något NIS-direktiv och har precis tagits sig igenom pärsen med dataskyddsförordningen. Min hypotes om okunskapen i Söpple bygger jag på att det är just det förhållande som jag stött på när jag varit i kontakt med ett stort antal kommunala företrädare. För att göra en bedömning om varför beredskapen inför NIS är så låg så gjorde jag i förra veckan en rundvandring på MSB:s och de övriga tillsynsmyndigheternas samt SKL:s webbplatser för att se vilken information som fanns om NIS där. På MSB:s webbplats finns en sida med undersidor som i huvudsak bygger på vad som står i lag, förordning och MSB:s föreskrifter. Hur olika aktörer ska göra för att de ska kunna klara en tillsyn står det däremot mycket litet om, där hänvisar man till det så kallade Metodstödet som på en tämligen abstrakt nivå går igenom olika aktiviteter som kan ingå i ett systematiskt säkerhetsarbete. Vällovligt men inte särskilt användbart för en kommun med de mycket konkreta frågor som måste lösas i detta sammanhang – bara en sådan sak som att hantera nämndorganisationen… Ytterligare en komplikation är att man tungt lutar sig mot en standard som inte är fritt tillgänglig, något som kan bli mycket besvärligt när tillsynsaktiviteterna sätter igång. Det går liksom inte att kräva att varje organisation som ska tillsynas måste köpa standarderna för att veta vad de är tvungna att göra. Skyldigheterna måste framgå av föreskriften och vara möjliga att granska även i ett offentlighetsperspektiv.  Övriga tillsynsmyndigheter har inte heller de såvitt jag kan se ingen information riktad till kommunerna specifikt. I vissa fall tycker jag dock att den generella information de erbjuder är överlägsen den som finns på MSB:s webbplats som Energimyndighetens frågor och svar som ger rediga besked i en del kniviga frågor.  Mest sparsmakad är kanske IVO som egentligen bara konstaterar att man är tillsynsmyndighet. Inte heller SKL erbjuder sina uppdragsgivare något överflöd av information i frågan.

Webbplatserna gav alltså inte något bra stöd för Söpple kommun att ta tag i frågan men det är kanske inte den vägen som är den primära för att sprida information till kommunerna – för att börja söka där måste man ju först veta att det finns ett NIS-direktiv.  Jag skickade därför ett mail till MSB. PTS, Livsmedelsverket, Energimyndigheten, IVO och Transportstyrelsen med följande lydelse:

Hej!

Jag skulle vilja ta del av information angående lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet) som x (d.v.s. den aktuella myndigheten) skickat direkt till kommuner.

Samma meddelande lade jag in i frågelåda på SKL:s webbplats och jag kan redan nu avslöja att jag inte fått något svar på detta.

När det gäller myndigheterna kan man sammanfattningsvis säga att det endast är MSB som skickat ut någon information direkt till kommunerna och då inte till kommunerna specifikt eftersom det handlar om missiven till föreskrifterna när de gått ut på remiss. Detta skedde sista augusti. MSB har deltagit i en träff i nätverket för informationssäkerhet i kommuner (KIS) och har en frågelåda på webbplatsen där man kan skicka in mail. Dessa frågor är dock inte ännu synliga för någon annan än den som skickat frågan. Livsmedelsverket har tagit fram en broschyr som man delat ut på en konferens om dricksvatten. I övrigt säger sig tillsynsmyndigheterna invänta att MSB ska samordna dem.

Så här fyra månader efter att lagen trätt i kraft är det svårt att inte jämföra med hur vi blev fullständigt översköljda från olika håll med information om dataskyddsförordningen. Datainspektionen måste faktiskt få en eloge för att man redan ett par år innan det äntligen blev 25 maj 2018 byggde upp informationskanaler både IRL och på sin webbplats. Jag kommer med särskild glädje ihåg en realtidschatt för kanske två år sedan då det gick att ställa alla möjliga frågor till myndighetens kunniga jurister. För aktiva personuppgiftsansvariga har det varit fullt möjligt att planera och bygga upp de nödvändiga funktionerna i sin organisation. Att det sedan inte alltid blivit så är en annan fråga.

Att Datainspektionen bedrivit ett aktivt informationsarbete i god tid innan dataskyddsförordningen blev verklighet gör att de tillsyner man raskt kommit igång med känns rimliga. Samma sak kan inte sägas i fallet med NIS-direktivet som trots att det varit känt på central nivå i flera år inte alls åtföljts av samma förberedelser. Utifrån vad jag hittills sett kan mycket väl frågan fortfarande vara helt okänd i Söpple kommun men även hos andra både offentliga och privata aktörer. Nu verkar ju inte tillsynsmyndigheterna kommit igång än vilket måste vara lika bra sett till det rådande läget när det gäller information och stöd. Meningen med tillsyn är inte att skapa ett blame game och inte heller innebär tillsyn i sig några förbättringar om det inte tydligt framgår vad som ska göras (jag hävdar detta med viss emfas efter att ha jobbat med tillsyn ett antal år).

Tyvärr tycker jag mig spåra en omedveten trend inom både säkerhet och digitalisering att information från myndigheter främst sker muntligt på konferenser m.m. Förutom den otydlighet och det breda tolkningsutrymme som övergivandet av skriftlig information innebär gör det att informationen inte når utanför de invigdas krets. Det är inte heller möjligt att fördjupa sig, gå tillbaka, sprida vidare och att ha kontroll över att det är korrekt information som förmedlas. Nu när olika lagstiftningar dessutom ska samexistera i en mängd organisationer krävs betydligt djupare resonemang än de som kan förmedlas via en power point-presentation.

För att göra en u-sväng i mitt argumenterande kanske det finns fördelar med att det ännu spridits information och stöd gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Nu kanske det finns möjlighet att ta ett nationellt ansvar och samordna de olika regleringarna så att inte varje kommun behöver sitta och försöka få ihop olika lagstiftningar och hur de ska uttolkas för den egna verksamheten?

Låt oss hoppas det. För att de här nya regleringarna dels ska få genomslag, dels leda till säkerhetshöjande effekter krävs mycket tydlig information om vad som ska göras till de som ska göra något samt stöd för hur det ska göras, d.v.s. metoder. Dessutom, snälla, behövs samordning så att det blir en enhetlig kravbild.  Utan starkt stöd, gemensam prioritering och samordning kommer Söpple kommun vare sig att klara NIS-direktivet eller säkerhetsskyddslagen.  För kommuner som Söpple där egen kompetens i hög grad saknas tror jag att vi måste tänka mycket mer i fasta skyddsnivåer och ett mycket välutvecklat centralt stöd för att det inte bara ska bli både dålig säkerhet och dålig stämning.Men vem är det då som ska ta ansvar för helheten? Kanske behövs det rent av en ny informationssäkerhetsutredning som utgår från verklighetens utförare av informationssäkerhet och vad de behöver för att klara uppgiften? Jag tror helt enkelt vi har råd att leva i en drömvärld där olika aktörer oberoende av varandra pekar på vad de vill ha men ingen talar om för Söpple kommun få ihop det i den egna verksamheten.

Förtydligande: jag har efter jag publicerade detta fått ett påpekande att kommunens stadsnät sannolikt inte faller under NIS men däremot under lagen om elektronisk kommunikation (LEK) som har likartade krav som NIS. Effekten för Söpple kommun blir alltså ungefär densamma i slutändan.

 

Spårbarhetens vara eller icke vara

Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.

Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet. Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas. Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen. Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.

För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.

Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre. Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga. Vare sig tillstånd eller förmåga kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis:

integrity

property of accuracy and completeness

Property kan översättas som egenskap.

Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse. I rapportens inledning står det:

Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas. Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.

Här definieras alltså konfidentialitet, riktighet och tillgänglighet som egenskaper men så även bland annat spårbarhet.

I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan. Närmast kommer man i beskrivningen av informationssäkerhetsmodell:

Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser. Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat. Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.

Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.) som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.

Riktighet definieras exempelvis som endast:

skydd mot oönskad förändring

vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en egenskap eller möjligen en funktion.

Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.

Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka. I artikeln Informations security anges som key concepts  som första punkt CIA- triaden med följande beskrivning

The CIA triad of confidentiality, integrity, and availability is at the heart of information security.(The members of the classic InfoSec triad—confidentiality, integrity and availability—are interchangeably referred to in the literature as security attributes, properties, security goals, fundamental aspects, information criteria, critical information characteristics and basic building blocks.)

Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.  Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden. Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.

Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå. Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.

Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är. Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro. Den s.k. Parkerian Hexad konstruerades redan 1998 av Donn B. Parker som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility. Även aktuella svenska exempel på kritisk diskussion om CIA triaden. Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin Informationssäkerhet och organisationskultur där ett bidrag (Vad är säker kultur av Björn Lundgren) starkt ifrågasätter CIA-triaden. Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan. ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.

Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering). I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara

  • Tillförlitlighet
  • Äkthet
  • Integritet (oförändrad)
  • Användbarhet

vilket är snubblande nära ISO 27000 men med andra definitioner. I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet. Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL. Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.

Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.

Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner. För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser. I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion. Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.  För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet:

  • avtalshantering
  • ansvarsutkrävande
  • interna kontrollsystem
  • upptäckt av avvikelser
  • teknisk övervakning
  • dataskydd
  • patientsäkerhet
  • medarbetares integritet
  • medarbetares rättssäkerhet
  • brottsutredning
  • forensik
  • fysiskt skydd

Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster. Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar. I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande. Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.

För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: Information Security Goals in a Swedish Hospital (tillgängligt via DIVA). Angående spårbarhet skriver man bland annat:

However ‘Traceability’ found in the hospital document has much broader meaning than accountability. ‘Traceability’ emphasizes the importance of tracing information, and not only trace the individuals that produce the information. This goal Page 16–9 contributes to business goals: ‘correct healthcare’ and ‘effective healthcare’ and in the end is related to organisations responsibilities to its stakeholders.

Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten. Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen. Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.

Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad. Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig. Autenticitet inte detsamma som riktighet, inte heller oavvislighet täcks av riktighet. Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan. I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.

Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd. Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information. Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer. För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet. Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser. En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var. När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet. En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.

För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att egenskap skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000. Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga. För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder. CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet. I detta sammanhang vill jag understryka att en portalprincip i ISO 27000 är att informationssäkerheten ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar. Om en uppfattning är att standarden inte kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet. Det finns ju liksom inget egenintresse i att följa en standard.

Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige. Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning. Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.

Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m. för föreskrifter. Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om här. 

Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får. Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.  Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död. I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få? Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag). Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar. För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna. Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet. Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.

Nu ser jag fram emot en mängd kloka motargument!

Från BITS till utopi

Om jag ser tillbaka och försöker se var jag fått vägledning i min roll som informationssäkerhetsansvarig så är det första jag kommer att tänka på den Handbok i it-säkerhet i tre delar som Statskontoret gav ut 1997. Även om den angav att innehållet var it-säkerhet var det i realiteten informationssäkerhet den handlade om, det vill säga den organisatoriska styrningen med hjälp av ett antal aktiviteter. När jag tittar tillbaka i den är det inte så mycket som förändrats vilket väl får sägas vara en ganska dyster insikt. Trots att Statskontoret inte hade ett mer renodlat informationssäkerhetsuppdrag tog man även fram ett metodstöd och mallregelverk som skulle hjälpa myndigheter att införa ett ledningssystem för informationssäkerhet. Stödet kallades OffLIS och kom 2003 som en del i arbetet med ”24-timmarsmyndigheten”.

Krisberedskapsmyndigheten (KBM), inrättades efter vissa förvecklingar 2002 och var en av de myndigheter som 2009 slogs samman till dagens MSB. I KBM:s uppdrag fanns bland annat att ha det sammanhållande myndighetsansvaret för samhällets informationssäkerhet och att utforma en nationell handlingsplan för informationssäkerhet.  Som en del i detta uppdrag tog man fram metodstödet BITS (Basnivå för it-säkerhet) som var tänkt att fungera som en de facto-standard för offentlig sektor. BITS introducerades kraftfullt av KBM inte minst i kommunerna och bistod även med en slags konsultstöd samt olika typer av bidrag för att exempelvis höja den fysiska säkerheten och förbättra tillgången till reservkraft till kommunala datorhallar. OffLIS och BITS slogs ihop 2005 för att få en ökad enhetlighet.

Seklets första årtionde var rörligt när de gällde informationssäkerhet. Vid sidan om KBM:s uppdrag pågick informationssäkerhetsutredningen, Verva skrev föreskrifter om säkert informationsutbyte och Nämnden för elektronisk förvaltning tillsattes 2003 med uppgiften:

” att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av”

vilket ju låter välbekant.

Trots att frestelsen är stark ska jag inte gå längre in detta just nu utan bara konstatera att BITS var synnerligen populärt inte minst hos kommuner och efterfrågades långt efter att MSB valt att avveckla stödet. Ett antal kommuner hänvisar fortfarande i sina styrande dokument till BITS (det är bara att googla och kolla). Vad var det då som gjorde BITS så populärt? En vanlig uppfattning bland de kommunala företrädare jag diskuterat frågan med var att BITS gav dem enkla handfasta regler och en tydlig lägstanivå att förhålla sig till. Utifrån de resurser som står till buds i en liten eller medelstor kommun har detta setts med viss tacksamhet, särskilt då stödet åtföljdes med ett visst konsultativt och ekonomiskt bistånd.

Själv har jag varit skeptisk. Ett skäl var att BITS var så inriktat på it-säkerhet (även om man vid revideringen 2006 gjorde en strukturell anpassning till ISO 27000). Ett annat att en tillämpning av BITS leder till en basnivå medan det verkliga behovet i en kommun (liksom i andra organisationer) är att kunna ha olika nivåer av skydd beroende på informationens och verksamhetens karaktär. Framförallt har jag tyckt att man riskerar att missa den unika organisationens behov. BITS övergavs också av KBM och sedermera MSB.

Idag är utgångspunkten för de stöd som tas fram att varje organisation ska starta från noll och ta fram sitt eget ledningssystem med alla delar. Den enskilda organisationen erbjuds det som kallas metodstöd eller delmängder som stöd för att klassa system. Bara i offentlig sektor innebär det att över 400 myndigheter, 290 kommuner och 21 regioner själva ska ta fram och förvalta sina respektive ledningssystem, sina metoder för risk-och kontinuitetshantering och sina skyddsnivåer. Detta är en enorm arbetsinsats som dessutom kräver att varje myndighets/kommuns/landstings ledningssystem måste översättas vid samarbeten. Till detta kommer alla andra nödvändiga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, införande av ledningssystem….

Objektivt sett kommer detta inte att vara möjligt att genomföra eftersom det inte finns tillgänglig kompetens i en omfattning som ens är i närheten av vad som skulle behövas. Min uppfattning är att en dellösning på den annars omöjliga ekvationen med starkt ökande krav på systematiskt informationssäkerhetsarbete i kombination med en mycket påtaglig brist på tillgänglig kompetens är en ökad standardisering.

Jag har därför börjat ompröva min tidigare inställning. Som en följd av detta tror jag det dags att ta fram en ny inriktning där en omvärdering göras av de tankar som låg bakom BITS och även OffLIS kan ingå som ett första steg. Då menar jag inte att en revision av BITS eller en återstart på OffLIS. Snarare att seriöst analysera vilka delar av ett systematiskt informationssäkerhetsarbete som kan standardiseras i olika typer av organisationer.

Ett nytt koncept borde istället vara inriktat på systematisk informationssäkerhet. Jag ska här bara skissa upp några punkter där en standardisering skulle kunna ske och ge mycket stora samordningsvinster. För enkelhetens skull så kan vi ta kommunerna som exempel. Det är också lämpligt eftersom kommunerna har mycket komplexa säkerhetsbehov som är mycket svåra att hantera för den enskilda kommunen, inte minst för de små och medelstora kommunerna.

De svenska kommunerna har tio obligatoriska uppgifter, det vill säga uppgifter som de enligt lag ska utföra oavsett kommunens storlek och resurser. Dessa uppgifter genomförs på olika sätt i olika kommuner och i olika organisatoriska konstruktioner. Men processens olika aktiviteter är i stort sett de samma i flera av dessa obligatoriska uppgifter. Att söka plats på förskolan eller att administrera den politiska beslutsapparaten innehåller samma moment och i stort samma information om än med olika benämningar. För att underlätta för kommunerna skulle följande kunna göras nationellt:

  • Ta fram en grundmodell för informationsklassning inklusive skyddsnivåer. Observera att skyddsnivåerna är den stora tunga uppgiften som kommer att kräva långsiktig förvaltning men som kan användas även andra organisationer t.ex. som stöd för att efterleva NIS-direktivet.
  • Ta fram en certifieringsinstitution där leverantörer kan certifiera sina tjänster och system på olika skyddsnivåer.
  • Ta fram ett antal standardprocesser utifrån de obligatoriska uppdragen
  • Identifiera informationen i dessa processer.
  • Ge stöd för att kartlägga vilka bärare som används för att hantera informationen. Observera att det inte enbart gäller system och tjänster utan även andra bärare.
  • Ge förslag på en standardklassning av informationsmängderna.
  • Med detta som utgångspunkt kan ut skyddsnivåerna plockas fram krav både på den egna verksamheten, egen it och på externa leverantörer av tjänster.

Naturligtvis bör det framgå att organisationen måste göra egna riskbedömningar och att det enbart är förslag. Ändå skulle detta vara en mycket värdefull hjälp för kommunerna som också skulle kunna tillämpa grundmodellen för informationsklassning med skyddsnivåer för den unika information som kan utöver de standardiserade förslagen.

Låter mycket att ta fram nationellt tänker ni kanske. Betänk då att alternativet är att ta fram detta i 290 kommuner, i många fall utan tillräcklig kompetens och resurser, och då få fram inkompatibla lösningar. Sannolikheten för att flertalet kommuner inte klarar uppgiften och istället får skämmas i rapporter från MSB och Riksrevisionen är inte direkt låg. Jag menar därför att det är en mycket rimlig investering att skapa nationella lösningar där det faktiskt går.

Hur dessa lösningar ska tas fram och vem som ska ansvara för utveckling och förvaltning tål att diskuteras. Kanske är en stiftelse där även privata aktörer skulle kunna ingå ett alternativ?