Inera tredje gången gillt

Efter Kammarrättens utslag dröjde det bara några dagar innan jag fick ut de dokument som jag började jaga med en fråga den 6 augusti. Samtliga tre dokument har mycket marginella maskningar vilket jag återkommer till men som läsaren själv har möjlighet att bedöma eftersom jag lägger ut dem i sin helhet.

Låt oss då se på dokumenten och då först till det mest övergripande: Riktlinje för informationssäkerhet. Detta dokument tycks ha ganska litet att göra med den policy som beslutades i juni och där informationssäkerhetsarbetets övergripande syfte anges vara att

främja digitalisering samtidigt som tillit till informationshanteringen upprätthålls.

De flesta skulle kanske anse att informationssäkerheten ska stödja kärnverksamhetens uppdrag, i det här fallet egentligen kundernas uppdrag, men Inera är sannolikt i detta fall ett offer för SKL:s överideologi där digitalisering är ett dominerande egenvärde.Inte ett ord om  patientsäkerhet för att bara ta en sak som jag personligen anser aningen viktigare än att ”främja digitalisering”.  Den sällsynt korta policyn innehåller ingenting om ansvarsförhållanden eller vem som egentligen ska styra säkerheten, däremot är ett mål att säkerhetsarbetet ska grundas på ”gemensamma regelverk, referensarkitekturer och styrande principer”. Gemensamma för vem och framtagna av vem kan man undra. Policyn ska tillämpas enbart internt och det saknas relation till kunderna trots att Ineras roll som leverantör:

Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering. Den ska också tillämpas i projekt och på förvaltningsobjekt.

Policyn ger som jag ser det inte någon verksam strategisk ledning för Ineras säkerhetsarbete i rollen som tjänsteleverantör eftersom ansvar och relationer helt saknas. Hela upplägget med denna helt urvattnade policy känns litet märkligt när Inera dessutom arbetar baklänges och lägger den som olja på vattnet på redan framtagna underliggande dokument. Kanske har det funnits en annan policy tidigare som fadat bort utan kommentar. Låt oss lämna policyn och istället titta på riktlinjen som av naturliga skäl saknar den kopplingar till den beslutade policyn.

Riktlinje för informationssäkerhet Inera

En första observation som reser den alltid lika spännande frågan om kausalitet och korrelation. Av en händelse sammanfaller att jag efterfrågade riktlinjen den 6 augusti med en massiv uppdatering som skedde den 9 augusti när en mängd basala säkerhetsaspekter fördes in i riktlinjen (se revisionshistoriken). Detta var också första gången på tre och ett halvt år som en uppdatering skedde.

Nog om detta lustiga sammanträffande. Inera är är ju en tjänsteleverantör av känsliga informationstjänster till vården och det som först slår mig då jag läser riktlinjen är att detta förhållande är i det närmaste osynligt i riktlinjen på samma sätt som i policyn. Riktlinjen gör ingen distinktion mellan Ineras interna informationssäkerhet och den säkerhet som ska finnas i de tjänster som levereras. Kundernas frånvaro i hanteringen blir närmast självlysande i definitionen av informationsägaren:

För varje viktig informationsmängd ska det utses en informationsägare med uppdrag att hantera alla delar av informationssäkerheten som är relaterade till denna informationsmängd. För de tjänster som Inera tillhandahåller är detta normalt rollen Tjänsteansvarig.

Här man alltså kortslutit systemet så kunderna är inte informationsägare och ska inte heller hantera exempelvis informationsklassning och riskanalys av den information som de faktiskt är ansvariga för. För att göra det extrem tydligt: Inera är inte en vårdgivare utan hanterar andra vårdgivares information i ett antal gemensamma tjänster. Vårdgivarna (offentliga och privata) är enligt lag och föreskrift ansvariga för sin information och att den hanteras på ett säkert sätt – det är bara att läsa HSLF-FS 2016:40 för att få en samlad bild av kraven. Samtidigt skriver man t.ex. under 15.3.1. om en informationsägare som sannolikt är kunden.  Roller och begrepp är alltså inte konsistenta.

Ytterligare ett tecken på att riktlinje inte tjänar Ineras verksamhet särskilt väl är att de ytterst knapphändiga beskrivningar av utveckling som finns i kapitlen 15.1 och 15.2. Detta är alltså riktlinjen där ansvar, principer och arbetssätt bör framgå. Som jag uppfattar det är Ineras huvudsakliga uppdrag att utveckla olika it-lösningar för vården vilket skulle föranleda att ett verksamhetsanpassat säkerhetsarbete skulle ha en tyngdpunkt just i utvecklings- och förvaltningsprocessen av erbjudna lösningar. I Ineras riktlinje är det dock inte så utan det känns snarare som en ytlig genomgång av kraven i ISO 27001 med mycket små modifikationer. Dessutom ingår den i det jag brukar tänka på som ”de öde regelverken” eftersom det inte bara kunderna som saknas utan även i hög grad andra aktörer. Istället upprepas riktlinjen igenom ”Inera ska…” utan att närmare definiera vilken roll inom Inera som ska utföra säkerhetsarbetet. Igenkänningsfaktorn är hög. Jag har sett denna typ av regelverk ett otal antal gånger och ett genomgående drag är att när regelverk är så här diffusa så får de ingen eller ringa säkerhetshöjande effekt. Har ledningen inte pekat ut ansvar (vilket man här inte har i policyn och mycket litet i riktlinjen) så finns inget maskineri som drar runt säkerhetsarbetet.

Att något i denna anonyma text skulle befinnas vara av den art att det går att sekretesslägga med hänvisning till  OSL 18 kap. 8 §:

Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser

  1. byggnader eller andra anläggningar, lokaler eller inventarier,

  2. tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktiva ämnen,

  3. telekommunikation eller system för automatiserad behandling av information,

  4. behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling,

  5. den civila luftfarten eller den civila sjöfarten,

  6. transporter på land av farligt gods, eller

  7. hamnskydd.

kändes märkligt. Än mer så Ineras ursprungliga beslut att hela dokumentet skulle utgöra risk om det spreds. På ett sätt skulle jag ironiskt kunna hålla med: kvaliteten på dokumentet indikerar en klar brist på styrning av säkerhetsarbetet vilket kan naturligtvis är en stor risk om det framkommer. Men det som nu maskats i dokumentet är endast sex passager där man mitt i den i övrigt så generella beskrivningen av allmänna säkerhetsåtgärder tydligen placerat in var datalagring sker samt tekniska beskrivningar av bland annat segmentering. Om dessa uppgifter är på detaljnivå har de knappast i riktlinjen att göra eftersom den då inte går att sprida i en vidare krets internt. Även detta är att starkt skäl att se över regelverket och styrningen i stort.

Om vi sedan tittar på de två övriga dokument jag fått ta del av:

Anvisning för informationsklassificering Inera
Anvisning för informations- och IT-säkerhet för medarbetare inom Inera

så går maskningarna i dessa sammantaget att räkna på ena handens fingrar. Förutom att även dessa i huvudsak saknar anpassning till Ineras egentliga behov av styrning och även till SKL:s flaggskepp KLASSA är det svårt att se vad som föranlett Ineras rädsla för att sprida dem. Hela hanteringen av min begäran utlämnande av handlingar framstår som fånig och okunnig i mina ögon men har det goda med sig att det kanske hindrar andra från det överutnyttjande av 18.8 som jag tycker mig sett tecken på.

Min sammantagna bild är att Inera saknar ett sammanhängande systematiskt informationssäkerhetsarbete och att den styrning som finns inte är är inriktad på rätt målbild som till exempel att ge kunderna möjlighet att styra sin egen säkerhet eller på patientsäkerhet. Ingenstans framgår att den informationsklassning som kunderna gör av sin information ger utslag i Ineras leverans, inte heller att Inera har ett kunderbjudande som är transparent och flexibelt. Jag är den första att erkänna att Ineras uppdrag är mycket komplicerat men just därför skulle det kännas betydligt tryggare om det gick att urskilja ett stort engagemang för säkerhetsfrågor som skulle ge både kunder och allmänheten i stort en anledning att hysa en stor tillit till Inera.

Särskilt tänker jag på detta när nu Inera satt igång ett nytt projekt om säker digital kommunikation. Visserligen står det ”säker” i rubriken men vilket stöd har projektet i Ineras LIS för att uppnås denna säkerhet? Finns det en risk att detta projekt hamnar i samma situation som den utredning om säker it-drift som kritiserades så hårt av MSB när det gäller säkerhetsaspekterna (trots att det är se att MSB bidrog på ett så särskilt strukturerat sätt)? Hälso- och sjukvård är ju i högsta grad en samhällsviktig verksamhet som borde få MSB:s mest djuplodande intresse när en ny nationell lösning ska tas fram.

Möjligen har jag helt fel. Kanske är säkerheten i Ineras verksamhet mycket bättre än vad de styrande dokumenten ger intryck av. Men samtidigt är det svårt att föreställa sig ett systematiskt informationssäkerhetsarbete där det inte finns en tydlig dokumenterad styrning. Självklart borde denna styrning omfatta mer än Inera – jag ska väl inte tjata om en nationell styrmodell á la Normen en gång till… Däremot vore det mycket önskvärt med en större granskning av samtliga större aktörer inom hälso- och sjukvård både för att bedöma den reella säkerheten och för att se vilka samordningsbehov som finns. Med detta som utgångspunkt går det sedan att börja skissa på den gemensamma styrmodellen. I väntan på detta mitt utopiska tillstånd är en rimlig inriktning att IVO koncentrerar sin tillsyn utifrån NIS-direktivet främst på dessa stora aktörer eftersom de har den största påverkan på vår gemensamma säkerhet.

 

 

 

Hur ska Söpple kommun klara NIS-direktivet?

Det har knappast gått någon förbi att det under några år nu rasar in nya eller nygamla regleringar gäller olika aspekter av informationssäkerhet: dataskyddsförordningen, lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet), ny säkerhetsskyddslag och sedan litet civilt försvar på det.

Samtliga av ovanstående regleringar ”drabbar” primärkommunerna. En egenhet för primärkommunerna generellt är att kravbördan inom alla områden drabbar samtliga kommuner lika hårt oavsett om de har 4000 invånare eller 900 000. Detsamma gäller för ovan nämnda nya lagar. Kommunerna har den, vid sidan om sjukvården, mest komplexa kravbilden på informationssäkerhet i samhället redan från början i kombination med att flertalet av små och medelstora kommuner alltför ofta helt eller delvis saknar den kompetens som behövs för att hantera situationen. För att uppnå  målbilden; ett säkrare Sverige, behöver de ansvariga myndigheterna därmed anstränga sig till det yttersta för att ge ett stöd som fungerar till kommunerna. Att inta en hållning av typen ”det är deras eget ansvar” är helt meningslöst och kontraproduktivt eftersom det objektivt sett saknas förutsättningar för att de skulle kunna lyckas med det. Ytterligare en aktör i detta är SKL som under senare påtagit sig ett allt större operativt ansvar i frågor bland annat av denna typ. Nu är det alltså litet upp till bevis-läge.

Jag ska därför göra en liten kontrollrunda för att se vilken information och stöd Söpple kommun kan räkna med när det gäller NIS och därefter göra en sequel om säkerhetsskyddslagen.

Först en kort bakgrund. Det s.k. NIS-direktivet antogs av Europaparlamentet 2016 och den svenska lag som följden av detta, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, trädde med tillhörande förordning i kraft 1 augusti 2018. Målsättningen med direktivet och följaktligen med lagen är att hög gemensam nivå på säkerhet i nätverk och informationssystem. Lagstiftningen är inriktad på de nätverk och informationssystem som stödjer samhällsviktiga tjänster i sju sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur) samt i digitala tjänster. Det är inte i en begreppsvärld klar som ett vårregn vi rör oss i här vilket gör att jag hänvisar den intresserade till definitionerna i lag och förordning för att själv bilda sig en uppfattning om den exakta betydelsen i begreppen. Viktig avgränsning är att lagen inte gäller för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen. Däremot gäller den för både offentlig och privat verksamhet.

För att uppnå bättre säkerhet är de främst två krav lagen riktar in sig på. För det första ska leverantörerna av samhällsviktiga tjänster bedriva ett systematiskt informationssäkerhetsarbete inklusive riskanalyser och incidenthantering. Av någon anledning betonas det särskilt att man också ska vidta åtgärder för att reducera de risker man upptäcker(!). Man skulle kunna tycka att det är en ganska självklar del i ett systematiskt informationssäkerhetsarbete men lagstiftaren känner ändå att detta måste påpekas. För det andra är det universalmedlet incidentrapportering som jag i förtroende vill meddela att jag tror är tecknet på att det offentliga säkerhetsarbetet har fastnat i en NPM-fälla. Det vill säga att tvinga ett antal decentraliserade verksamheter att rapportera in uppgifter som man inte sedan vet vad man ska göra med.

Nog raljerat. Lagen innehåller också nyheten att leverantörerna av samhällsviktiga och digitala tjänster ska tillsynas vilket i sin tur bygger på att de som lagen berör själva ska anmäla sig till tillsynsmyndigheten. Om så inte sker, om man inte vidtar korrekta säkerhetsåtgärder eller inte rapporterar incidenter kan en sanktionsavgift tas ut av tillsynsmyndigheten. Efter dataskyddsförordningen kan ordet ”sanktionsavgift” väcka viss panik men i lagen om informationssäkerhet för samhällsviktiga och digitala tjänster sägs  En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor. 10 miljoner kan ju vara skrämmande för en liten kommun men för en större organisation kan det som en summa värd att gambla med.

Vad som är skrämmande är att det inte är en tillsynsmyndighet utan sex förutom MSB:Sammanfattningsvis är min bedömning att det är minst lika omfattande krav som ställs i den här lagen som i dataskyddsförordningen. Att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete är en mycket komplex uppgift som de statliga myndigheterna inte lyckas leva upp på något särskilt övertygande sätt trots att kravet funnits i föreskrift i snart ett decennium. Nu vidgas kretsen som skulle uppfylla den målbilden till även kommuner och landsting vilkas möjlighet att realisera den är långt, långt sämre än de statliga myndigheternas.  Och så till ett stort antal företag som kommer att ta in kravet i sin affärsplanering och vara extremt intresserade av att förstå exakt vad som krävs eftersom säkerhet kostar.

Missförstå mig rätt. Jag är den första att hävda nödvändigheten av att bedriva ett systematiskt informationssäkerhetsarbete och då särskilt i kommuner och landsting. Hur starkt jag än uttrycker den övertygelsen framstår det som ett understatement. Men för att uppnå detta måste man förstå förutsättningarna. Jag ska därför här göra ett litet tankeexperiment för att försöka förstå hur den nya lagstiftningen landar i en medelstor kommun som vi kan kalla Söpple kommun.

En första observation är när vi tittar på de obligatoriska uppgifterna för en kommun är att Söpple kommun kommer att få fem tillsynsmyndigheter: Energimyndigheten eftersom man har ett kommunalt elbolag, Transportstyrelsen eftersom man har kommunal kollektivtrafik, IVO eftersom man bedriver hälso- och sjukvård bland annat inom äldrevården, Livsmedelsverket eftersom man producerar och levererar dricksvatten och PTS eftersom man har ett stadsnät (jag har inte här gjort någon skillnad på om det är kommunala bolag). Söpple kommun måste alltså vara beredda på att dessa fem olika myndigheter kan komma på tillsynsbesök.

Vilka förutsättningar har då Söpple kommun som med sina 24 000 invånare kan sägas vara en normalstor kommun. I kommunen finns ingen informationssäkerhetsansvarig utan frågan ligger under it vilket också är normalt men olyckligt. Man har påbörjat en sondering med två grannkommuner för att gemensamt kunna inrätta en tjänst som informationssäkerhetssamordnare vilket suttit hårt åt eftersom varje utgift ställs mot personal i äldreomsorgen. Tyvärr har man redan insett att även om man lyckas få beslut om medel för en sådan tjänst kommer det att bli extremt svårt att hitta en sökande som både har kompetens och är villig att flytta till Söpple. Sannolikheten för att hitta någon i kommunen är mycket låg, det finns inga utbildningar för att snabbt utbilda en redan anställd och de som finns på marknaden kan definitivt få bättre betalt än i kommunal verksamhet. Jag vill bara här återigen understryka att informationssäkerhet i en kommun är på en svårighetsgrad som få informationssäkerhetsansvariga i statlig verksamhet någonsin råkar ut för så är det någonstans kompetens verkligen behövs så är det i kommunerna.

Både tjänstemannaledningen och den politiska ledningen i Söpple kommun är yrvakna. De har inte hört talas om något NIS-direktiv och har precis tagits sig igenom pärsen med dataskyddsförordningen. Min hypotes om okunskapen i Söpple bygger jag på att det är just det förhållande som jag stött på när jag varit i kontakt med ett stort antal kommunala företrädare. För att göra en bedömning om varför beredskapen inför NIS är så låg så gjorde jag i förra veckan en rundvandring på MSB:s och de övriga tillsynsmyndigheternas samt SKL:s webbplatser för att se vilken information som fanns om NIS där. På MSB:s webbplats finns en sida med undersidor som i huvudsak bygger på vad som står i lag, förordning och MSB:s föreskrifter. Hur olika aktörer ska göra för att de ska kunna klara en tillsyn står det däremot mycket litet om, där hänvisar man till det så kallade Metodstödet som på en tämligen abstrakt nivå går igenom olika aktiviteter som kan ingå i ett systematiskt säkerhetsarbete. Vällovligt men inte särskilt användbart för en kommun med de mycket konkreta frågor som måste lösas i detta sammanhang – bara en sådan sak som att hantera nämndorganisationen… Ytterligare en komplikation är att man tungt lutar sig mot en standard som inte är fritt tillgänglig, något som kan bli mycket besvärligt när tillsynsaktiviteterna sätter igång. Det går liksom inte att kräva att varje organisation som ska tillsynas måste köpa standarderna för att veta vad de är tvungna att göra. Skyldigheterna måste framgå av föreskriften och vara möjliga att granska även i ett offentlighetsperspektiv.  Övriga tillsynsmyndigheter har inte heller de såvitt jag kan se ingen information riktad till kommunerna specifikt. I vissa fall tycker jag dock att den generella information de erbjuder är överlägsen den som finns på MSB:s webbplats som Energimyndighetens frågor och svar som ger rediga besked i en del kniviga frågor.  Mest sparsmakad är kanske IVO som egentligen bara konstaterar att man är tillsynsmyndighet. Inte heller SKL erbjuder sina uppdragsgivare något överflöd av information i frågan.

Webbplatserna gav alltså inte något bra stöd för Söpple kommun att ta tag i frågan men det är kanske inte den vägen som är den primära för att sprida information till kommunerna – för att börja söka där måste man ju först veta att det finns ett NIS-direktiv.  Jag skickade därför ett mail till MSB. PTS, Livsmedelsverket, Energimyndigheten, IVO och Transportstyrelsen med följande lydelse:

Hej!

Jag skulle vilja ta del av information angående lag om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-direktivet) som x (d.v.s. den aktuella myndigheten) skickat direkt till kommuner.

Samma meddelande lade jag in i frågelåda på SKL:s webbplats och jag kan redan nu avslöja att jag inte fått något svar på detta.

När det gäller myndigheterna kan man sammanfattningsvis säga att det endast är MSB som skickat ut någon information direkt till kommunerna och då inte till kommunerna specifikt eftersom det handlar om missiven till föreskrifterna när de gått ut på remiss. Detta skedde sista augusti. MSB har deltagit i en träff i nätverket för informationssäkerhet i kommuner (KIS) och har en frågelåda på webbplatsen där man kan skicka in mail. Dessa frågor är dock inte ännu synliga för någon annan än den som skickat frågan. Livsmedelsverket har tagit fram en broschyr som man delat ut på en konferens om dricksvatten. I övrigt säger sig tillsynsmyndigheterna invänta att MSB ska samordna dem.

Så här fyra månader efter att lagen trätt i kraft är det svårt att inte jämföra med hur vi blev fullständigt översköljda från olika håll med information om dataskyddsförordningen. Datainspektionen måste faktiskt få en eloge för att man redan ett par år innan det äntligen blev 25 maj 2018 byggde upp informationskanaler både IRL och på sin webbplats. Jag kommer med särskild glädje ihåg en realtidschatt för kanske två år sedan då det gick att ställa alla möjliga frågor till myndighetens kunniga jurister. För aktiva personuppgiftsansvariga har det varit fullt möjligt att planera och bygga upp de nödvändiga funktionerna i sin organisation. Att det sedan inte alltid blivit så är en annan fråga.

Att Datainspektionen bedrivit ett aktivt informationsarbete i god tid innan dataskyddsförordningen blev verklighet gör att de tillsyner man raskt kommit igång med känns rimliga. Samma sak kan inte sägas i fallet med NIS-direktivet som trots att det varit känt på central nivå i flera år inte alls åtföljts av samma förberedelser. Utifrån vad jag hittills sett kan mycket väl frågan fortfarande vara helt okänd i Söpple kommun men även hos andra både offentliga och privata aktörer. Nu verkar ju inte tillsynsmyndigheterna kommit igång än vilket måste vara lika bra sett till det rådande läget när det gäller information och stöd. Meningen med tillsyn är inte att skapa ett blame game och inte heller innebär tillsyn i sig några förbättringar om det inte tydligt framgår vad som ska göras (jag hävdar detta med viss emfas efter att ha jobbat med tillsyn ett antal år).

Tyvärr tycker jag mig spåra en omedveten trend inom både säkerhet och digitalisering att information från myndigheter främst sker muntligt på konferenser m.m. Förutom den otydlighet och det breda tolkningsutrymme som övergivandet av skriftlig information innebär gör det att informationen inte når utanför de invigdas krets. Det är inte heller möjligt att fördjupa sig, gå tillbaka, sprida vidare och att ha kontroll över att det är korrekt information som förmedlas. Nu när olika lagstiftningar dessutom ska samexistera i en mängd organisationer krävs betydligt djupare resonemang än de som kan förmedlas via en power point-presentation.

För att göra en u-sväng i mitt argumenterande kanske det finns fördelar med att det ännu spridits information och stöd gällande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Nu kanske det finns möjlighet att ta ett nationellt ansvar och samordna de olika regleringarna så att inte varje kommun behöver sitta och försöka få ihop olika lagstiftningar och hur de ska uttolkas för den egna verksamheten?

Låt oss hoppas det. För att de här nya regleringarna dels ska få genomslag, dels leda till säkerhetshöjande effekter krävs mycket tydlig information om vad som ska göras till de som ska göra något samt stöd för hur det ska göras, d.v.s. metoder. Dessutom, snälla, behövs samordning så att det blir en enhetlig kravbild.  Utan starkt stöd, gemensam prioritering och samordning kommer Söpple kommun vare sig att klara NIS-direktivet eller säkerhetsskyddslagen.  För kommuner som Söpple där egen kompetens i hög grad saknas tror jag att vi måste tänka mycket mer i fasta skyddsnivåer och ett mycket välutvecklat centralt stöd för att det inte bara ska bli både dålig säkerhet och dålig stämning.Men vem är det då som ska ta ansvar för helheten? Kanske behövs det rent av en ny informationssäkerhetsutredning som utgår från verklighetens utförare av informationssäkerhet och vad de behöver för att klara uppgiften? Jag tror helt enkelt vi har råd att leva i en drömvärld där olika aktörer oberoende av varandra pekar på vad de vill ha men ingen talar om för Söpple kommun få ihop det i den egna verksamheten.

Förtydligande: jag har efter jag publicerade detta fått ett påpekande att kommunens stadsnät sannolikt inte faller under NIS men däremot under lagen om elektronisk kommunikation (LEK) som har likartade krav som NIS. Effekten för Söpple kommun blir alltså ungefär densamma i slutändan.

 

Om jag fick ställa några frågor

Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan. För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet. Rollen kräver ju en något mer nobel approach än den som småaktig bloggare. Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den. Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.

Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.

– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare. Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan. Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare. Själva vyn är osynlig genom dessa tunnlade perspektiv. När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.

I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet:

En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid. En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation. Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter. I detta ligger också omfattande utbildningsinsatser. I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer. För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet. Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning. Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk. Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.

Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet. Min fråga till statsrådet är därför var detta förslag hamnat. En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för offentliga och privata organisationer.

– Herr ordförande, två konkreta frågor angående molntjänster. I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet. Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö. Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster. Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd. En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna. Jag förstår problematiken när det gäller konkurrensfrågor m.m. men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet. Detta ställer ju  ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning. Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?

-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”. Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet. Säkerhet existerat alltid i en relation till andra värden. En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns. Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”. För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet. I digitaliseringssträvandena ligger önskan om effektivitet. Demokrati i den form vi känner den är ett centralt element insyn och delaktighet. Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter. Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.

– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige. En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer. Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter. Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer. Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga. Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området. Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog. Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism. Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier. För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.

– Herr ordförande, en sista fråga. I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram. Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser. Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet. Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer. Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?

Öppna frågor om cybersäkerhet

Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra veckan.  Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser. Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop. Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp. Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen. Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.

Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar. Först ministern, sedan myndighetscheferna i tur och ordning. Det mest förvånande är att absolut inget förvånande sägs. Det är exakt samma saker som sägs som har upprepats i 15-20 år. Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva. Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”. Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara. Axiom som att brister upptäcks när incidenter rapporteras ventileras.

Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser. Alltså i sak intet nytt. Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå. Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten. Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.

Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv. De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar. Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).

För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från SOU 2005:42 Säker information. Förslag till informationssäkerhetspolitik. För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”. Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan. Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet. Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.

  1. Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
  2. Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
  3. Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet. X konstaterar också att staten behöver egen och unik kompetens. Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
  4. Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel. I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
  5. Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.

 

 

Den viktigaste förebyggande åtgärden saknas

Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna. Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske. Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.

För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer. För att uppnå detta krävs både episteme, fronesis och techne. Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerande informationssäkerhetsarbete ska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras. Jag skulle vilja hävda att detta idag i allt för hög grad saknas.

Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sitt informationssäkerhetsarbete så att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär. Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.  Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag. Det gäller c.a. 350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet. En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns. Hos de som får allt tyngre ansvar för det faktiska informationssäkerhetsarbetet finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet. Till viss del fanns denna insikt även i  den strategi för samhällets informationssäkerhet som MSB tog fram tillsammans med andra myndigheter. Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.

Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen. Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.   Utredningar som SOU 2015:23 Informations- och cybersäkerhet i Sverige, SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster, SOU 2017:114 reboot – omstart för den digitala förvaltningen liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter. Den nationella strategin för informations- och cyberssäkerhet (Skr. 2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen. Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.  Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.

Jag delar inte denna tilltro till den osynliga handen. Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov. Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas. Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt). Därav ett stort fortbildningsbehov. De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning. Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning. Detta räcker naturligtvis inte långt.

Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren. Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället. Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist. Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas. Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet. Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.

 

Att svära i kyrkan

I mina funderingar om en tänkbar nationell styrmodell för informationssäkerhet slås jag av vilket i mitt tycke oproportionerligt intresse incidentrapportering fått som säkerhetsåtgärd.

För att ge en snabb bild av nuläget så har MSB sedan snart två år en särskild föreskrift angående obligatorisk it-incidentrapportering för statliga myndigheter. Till detta kommer dataskyddsförordningens krav och förslaget på NIS-direktivets tillämpning i Sverige som båda framför starka krav på incidentrapportering. Dataskyddsförordningen kommer att träda i kraft i maj 2018, samma månad som även utredningens förslag rörande NIS-direktivet sannolikt kommer att sjösättas.

MSB:s incidentrapportering är alltså inriktad enbart på statliga myndigheter och gäller uttryckligen endast it-incidenter. MSB:s definition handlar inte om störning på verksamhetens processer utan vilken typ av, framförallt teknisk, orsak som lett till störningen samt i vissa fall konsekvenser för informationshantering:

  1. störning i mjuk- eller hårdvara,

  2. störning i driftmiljö,

  3. informationsförlust eller informationsläckage,

  4. informationsförvanskning,

  5. hindrad tillgång till information,

  6. säkerhetsbrist i en produkt,

  7. angrepp,

  8. handhavandefel

  9. oönskad eller oplanerad störning i kritisk infrastruktur, eller

  10. annan plötslig oförutsedd händelse som lett till skada (3 §).

Det är alltså ett tämligen icke-stringent incidentbegrepp (lägg märke till att begreppet ”plötslig” överraskande kommer in under punkt 10) som används. Att notera är också att bristande spårbarhet inte nämns som en incidenttyp.

Dataskyddsförordningen, som i princip kommer att gälla i alla offentliga och privata organisationer som hanterar personuppgifter, har ett incidentbegrepp som är helt inriktat på personuppgifter:

personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

Det är framför allt obehörig åtkomst (konfidentialitet) men även förlust eller förvanskning (riktighet) av personuppgifter som ska ses som incidenter i detta perspektiv. Det bör dock understrykas att för att kunna efterleva dataskyddsförordningens övriga krav är både positiv och negativ spårbarhet en central faktor. Däremot kan en personuppgiftsincident lika gärna ske i icke-digitala som digitala medier – det är alltså inte enbart it-incidenter som är aktuella (vilket särskilt bör beaktas med tanke på att den s.k. missbruksregeln i PuL försvinner).

I författningsförslaget gällande NIS-direktivet slutligen är definitionen av incident:

incident: en händelse med en faktisk negativ inverkan på säkerheten i nätverk eller informationssystem

Precis som i MSB:s och Dataskyddsförordningens definitioner lyser verksamhetspåverkan med sin frånvaro, det är nätverken och informationssystemen som är objektet för regleringen som gäller både offentliga och privata aktörer i följande samhällsviktiga branscher:

  • Energi (elektricitet, olja, gas)
  • Transporter (lufttransporter, järnvägstransporter, sjöfart, vägtransport)
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård (hälso- och sjukvårdsmiljöer [inklusive sjukhus och privata kliniker])
  • Leverans och distribution av dricksvatten
  • Digital infrastruktur

En självklar fråga är om den bristande samordning som av de tre olika regleringarna är acceptabel. Det förefaller inte finnas några planer för att förenkla för de som kommer att behöva rapportera samma incident i två eller i värsta fall tre olika stuprör. Gissningsvis måste MSB:s befintliga inrapportering och den som följer av NIS samordnas eftersom de båda ska ske i MSB:s regi men då kvarstår ändå personuppgiftsincidenterna. Och i författningsförslaget för NIS-direktivet finns det en antydan om att är bra om tillsynsmyndigheterna samarbetar:

med Datainspektionen när den handlägger incidenter som medfört personuppgiftsincidenter och innan ett åtgärdsföreläggande meddelas,

så det finns kanske hopp om en praktisk samverkan.

Jag ska inte fördjupa mig ytterligare i samordningsproblemen även om de är nog så intressanta för alla som kommer att drabbas av dem. Istället tänker jag svära litet i den nationella säkerhetskyrkan och ifrågasätta om det verkligen är rimligt att satsa så mycket intresse och resurser på just incidentrapportering. Man kan göra den inte helt rimliga analogin till en enskild organisation som ska förbättra sin informationssäkerhet och då satsar större delen av sitt krut på incidentrapportering – skulle vi då tycka att det är en ändamålsenlig satsning? Den kritiske kan här invända att författningsförslaget för informationssäkerhet i samhällsviktiga och digitala tjänster innehåller litet vaga krav på säkerhetsåtgärder:

14 § Leverantörer av digitala tjänster ska utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster inom unionen. Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning och 5. efterlevnad av internationella standarder.

Samt även ett system för tillsyn med ett antal tillsynsmyndigheter (varav ett par redan tackat nej till uppdraget i sina remissvar). Huvudpunkten är ändå incidentrapportering vill jag hävda. Är detta då den mest effektiva åtgärden för att förbättra säkerheten?

Låt oss då först titta på syftet med incidentrapportering. I en organisation är incidentrapportering inte en lösryckt aktivitet utan del i en incidenthantering där den fyller flera olika syften:

  • Initiera akut felavhjälpning
  • Inleda återställelsearbete (kontinuitetshantering)
  • Ge underlag för långsiktig förbättring
  • Rapportering internt och externt
  • Indirekt: försörja riskanalys och informationssäkerhetsarbetet i stort

Behovet av informationskvalitet i rapporteringen är olika för de olika syftena. För att inleda akut felavhjälpning krävs mycket snabb kommunikation, däremot kan inte den som anmäler felet förväntas kunna redogöra för orsaken. För att inleda kontinuitetshanteringen måste en koppling kunna göras mellan de drabbade informationsbärarna och verksamhetsprocesser för att rätt prioriteringar av återställelse respektive reservrutiner ska kunna göras. Underlaget för långsiktig förbättring måste vara av mer analytisk karaktär men också bygga på en konsistent tillämpning av begrepp för att mönsterigenkänning ska kunna göras. Kravet på god informationskvalitet gäller även för rapportering, riskanalysen och för informationssäkerhetsarbetet i mer vida termer.

Hur har man då resonerat i dessa frågor när det gäller den nationella rapporteringen. Inte alls vad jag kan se, det är till och med svårt att utläsa vad syftet med den befintliga incidentrapporteringen egentligen är även om den dåvarande inrikesministern Ygeman 2015 så följande då beslutet att införa rapporteringen togs:

Syftet med ett sådant system är att möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning. Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre. Sådana it-incidenter kan röra exempelvis störningar i mjukvara, hårdvara eller driftmiljö eller förlust av data i olika sammanhang. It-incidenter kan orsakas av bland annat externa attacker, säkerhetsbrister i it-produkter eller felaktigt handhavande.

Det är alltså inte incidenthantering som eftersträvas utan ”en förbättrad lägesbild”. För mig förefaller det torftigt att ha en lägesbild som består av tekniska incidentbeskrivningar men jag tror också att inrapporteringsmoralen påverkas i starkt negativ riktning med tanke på att den svaga möjligheten till payoff eftersom det inte handlar om incidenthantering. Egentligen inte ens om rapportering utan endast om incidentanmälan eftersom meddelande om att något hänt ska ske innan någon djupare analys har hunnit ske. Samma oklarhet gäller även rapporteringen av personuppgiftsincidenter och rapportering enligt NIS-direktivet – det enda som kan hända är att man får ett besök av tillsynsmyndigheten för att uttrycka sig raljant. Att både MSB och Datainspektionen hävdar att det finns ett starkt behov av att sekretessbelägga rapporteringen gör att den lägesbild som uppges vara huvudsyftet för åtminstone MSB kommer att vara tillgänglig i mycket begränsade kretsar. Erafarenhetsåtervinningen på nationell nivå är därmed inget som kan locka fler att rapportera.

Att det sannolikt kommer att saknas ett starkt driv att rapportera incidenter påverkar kvaliteten i lägesbilden. Ytterligare en aspekt som påverkar kvaliteten är den svaga begreppsmodelleringen av vad som ska inrapporteras samt att det saknas kriterier för verksamhetspåverkan i rapporteringen. Här hade stora lärdomar kunnat hämtas från exempelvis smittskyddsområdet och överhuvudtaget från ett mer vetenskapligt förhållningssätt. Att resonemang i denna riktning helt saknas både i dataskyddsförordning och i NIS-direktivet talar för sig själv.

Att incidentrapporteringen ändå fått ett så stort genomslag som universalmedel beror förmodligen på att den har en USP. Det går nämligen att förklara vad incidentrapportering är för politiker och andra makthavare medan många andra säkerhetsåtgärder på systemnivå kräver betydligt mer i pedagogik. Incidenter kan också kopplas till mer actioninriktad kommunikation som kan leda fram till snabba beslut än en diskussion om hur informationssäkerhet ska bli en normal del av förvaltningen. Men, som alla vet, är det inte alltid det som är lätt att sälja som är det vi bäst behöver.

Sammantaget tror jag följande. Den nationella incidentrapporteringen kommer inte att ge de enskilda organisationerna något stöd i det egna informationssäkerhetsarbetet och kvaliteten i de rapporter som faktiskt sker kommer att vara låg. Den gemensamma lägesbilden som summa kommer inte ha högre kvalitet än de ingående delarna och kommer därför att ha ett värde som inte är i paritet med fokus och de resurser som läggs på incidentrapporteringen. Vore det då inte bättre att försöka göra en något djupare analys och försöka reda ut vilka åtgärder som skulle ha en reellt säkerhetshöjande effekt på nationell nivå? Eller åtminstone sätta in incidentrapporteringen i ett sammanhang som redovisas och som kan vara del av en större styrmodell?

 

 

En nationell styrmodell del 1

De senaste månaderna har det knappt gått en dag utan att informations- och it-säkerhet utgör en del av medias huvudnyheter. Det känns litet ovant att helt plötsligt arbeta med ett hett ämne men mediabevakningen ger också en insikt om hur området ser ut utifrån. En inte helt uppbygglig syn: det finns stora problem som varit kända sedan länge och som det satsas omfattande resurser på för att lösa men där det råder förvirring i hur de aktörer som arbetar med frågan ska koordinera sig. Vanligt förekommande reportage är en myndighetsrepresentant som presenterar hotbilder med tillägget att den egna myndigheten har förslag på lösningar som går att fixa bara man får mer pengar. En trött metafor är klassfotboll där alla sjuåringar springer på bollen samtidigt, i mitt huvud har istället titeln på en pjäs av Pirandello dykt upp: Sex roller söker en författare. Det behövs helt uppenbart ett gemensamt manus för samhällets aktörer.

Efter några inlägg av ständigt gnäll är det dags att skriva litet mer om vad som kan göras. Då menar jag inte för den enskilda organisationen utan litet mer pretentiöst på den nationella nivån.  I några inlägg ska jag resonera om den nationella styrmodell för informationssäkerhet som den enhet jag ledde på MSB började arbeta med, ett arbete som dess värre aldrig hann fullföljas. Inläggen kommer att i huvudsak utgå från offentlig sektors behov men eftersom det finns ett stort antal privata aktörer som deltar i leveransen av det gemensamma åtagandet är det inte ett helt konsekvent perspektiv.

Utgångspunkten är att trots avsevärda insatser tycks inte informationssäkerheten förbättras nämnvärt i förhållandet till den digitala utvecklingen. Gapet mellan den verkliga säkerhetsnivån och den önskvärda ständiga ökas istället för att slutas. Eftersom bilden är genomgående och den samma oavsett om det är myndigheter, landsting eller kommuner vi pratar om får det ses som ett strukturproblem som sannolikt inte går att avhjälpa i den enskilda organisationen utan kräver en gemensam styrning. Och även om det förekommit mycket fnysande kommentarer efter både skandalen vid Transportstyrelsen och nu senast om polis-debaclet av typen ”hur svårt kan det vara?” så är nog min uppfattning att det inte så himla enkelt att göra rätt som vissa vill hävda. Orsaken är både bristen på samordning och en attityd hos de myndigheter som ska ge stöd som inte skulle ge full poäng i en kundnöjdhetsundersökning.

En annan premiss är att informationssäkerhet inte är en fråga. Även om vi bortser från det semantiska kaos som rått i den senaste tidens mediabevakning där begreppen informations-, it- och cybersäkerhet flugit som konfetti i luften återstår ett behov av att se olika dimensioner. En grundläggande skillnad ligger i å ena sidan verksamhetens eget behov och å andra sidan statens krav på verksamheten. Statens krav är sig mångtydiga från att skydda rikets säkerhet till att se till samhällets funktionalitet vilket inte är riktigt samma sak och dessutom tillkommer all upptänklig lagstiftning som innebär implicita krav på säkerhet. Informationssäkerhet kan rimligen ses som en metodlåda som kan och ska användas i olika syften som är delvis motstridiga. För att ta ett aktuellt exempel fick i dagarna FRA och MUST förstärkning med närmare en halv miljard för att åtgärder inom informations- och cybersäkerhetsområdet. I kommentarer framgår det att avsikten är att utöka övervakningen med bland annat ytterligare sensorsystem. Samtidigt ställer dataskyddsförordningen krav på stärkt personlig integritet vilket föranleder ett antal informationssäkerhetsåtgärder. Att säga att ökad trafikövervakning inte direkt gynnar den personliga integriteten är väl inte att ta till överord. Och så har vi NIS-direktivet som ska införas och som inte heller har mycket att komma med i det hänseendet mer än detta:

Paragrafen genomför artikel 14.1–2 i NIS-direktivet. Valet av säkerhetsåtgärder enligt 11 och 12 §§ ska grunda sig på en riskanalys. Analysen ska kunna användas som beslutsstöd för leverantörens prioriteringar och avvägningar mellan olika typer av säkerhetsåtgärder i förhållande till tjänstens funktionalitet, finansiella och administrativa konsekvenser samt skyddet för den personliga integriteten.

Medan OECD tycker det är integritetsfrågorna är livsviktiga för den digitala ekonomin och att integritet och informationssäkerhet tillsammans måste tjäna som en plattform för diverse positiva utvecklingsfaktorer.

Security and privacy are essential for the digital economy to continue to serve as a platform for innovation, new sources of economic growth and social development. The OECD focuses on the development of better policies to ensure that security and privacy foster economic and social prosperity in an open and interconnected digital world.

Informationssäkerhet är alltså en mädchen für alles från totalförsvaret till den enskildes säkerhet vid e-handel. Många organisationer får därför hantera en mycket komplex kravbild på informationssäkerhet som idag inte är samordnad. En styrmodell för informationssäkerhet skulle fylla en väsentlig funktion genom att integrera mångfalden av delvis motstridiga krav till en helhet. Om detta inte sker på nationell nivå tvingas varje enskild organisation försöka lösa samma frågor med varierande resultat. Förutom ett gigantiskt resursslöseri leder det också till försämrad förmåga att samverka i den gemensamma informationshantering som idag redan är uppbyggd samt till kvalitetsproblem. Som så ofta vill jag här peka på kommunernas prekära situation när de med små organisationer ändå förväntas klara detta.

Utanför själva styrmodellen ligger en avgörande förutsättning: den offentliga sektorns användning av olika typer av it-resurser. Informationssäkerheten måste vara utformad så den svarar på de behov som användningen av it skapar. De säkerhetsåtgärder som behövs är av helt olika typ beroende på om den strategiska inriktningen är att man ska fortsätta på den väg mot ”cloud first” som tidigare beslutats eller om det ska ske en återgång mot mer drift och förvaltning i egen regi. Detta påverka även faktorer som långsiktiga behov av investeringar i teknik och kompetensförsörjning. Men inte bara de explicita målen för it-politiken spelar roll. Att it-politik idag fortfarande, liksom under Alliansens regeringstid, ligger kvar som en näringspolitisk fråga ger en väsentlig förklaring till avsaknaden av tydlig inriktning för offentlig sektors digitalisering. Detta är inte bara ett signalvärde utan gör att digitaliseringen ligger utanför den övriga förvaltningspolitiken. Mycket påtagligt präglar det den lätt förvirrade strategin för digitalisering.

Ryggmärgsreflexen för många i säkerhetsbranschen när man talar om styrning är ”reglering”, ett kvardröjande arv från den militär-polisiära bakgrunden. Jag tror dock att det finns stora fördelar i att försöka se på styrningen av informationssäkerhet som på styrningen av övriga områden inom staten och den offentliga sektorn. Att begrunda hur den svenska förvaltningsstyrningen generellt är tänkt att fungera är ett fruktbart spår där lärdomar kan dras till exempel från ESV:s breda uppdrag. Personligen menar jag att den inom informationssäkerhetsområdet kanske mest underutnyttjade men samtidigt mest effektiva styrformen är kunskapsstyrning.
Styrningen kan inte heller ske enbart från de myndigheter ”med särskilda uppgifter inom området informationssäkerhet”. En stor del av kraven på informationssäkerhetsåtgärder genereras från annat håll och då inte enbart från dataskyddsförordningen utan en mängd lagar, avtal och överenskommelser. Min tolkning är att den förändrade kravbilden också kommer att förskjuta styrningen mot mer proaktivitet än den i huvudsak reaktiva inriktning som hittills varit rådande där insatser som tillsyn och incidentrapportering varit prioriterade.

Som den löshäst jag numera är, utan de förpliktigande hämskor som tyvärr vidlåder den statlige tjänstepersonen idag, tänkte jag unna mig att fritt spekulera i några inlägg om förutsättningarna för en nationell styrmodell och hur den skulle kunna se ut. Inledningsvis ska jag uppmärksamma olika aktörer inom informationssäkerhetsområdet, vad de erbjuder idag samt (något förmätet) försöka bedöma en eventuell utvecklingspotential.

 

I väntan på en strategi

Regeringen har utlovat en cybersäkerhetsstrategi till i maj. Vad jag kan se har den ännu inte dykt upp men är kanske i antågande. I väntan på detta passar jag på att skriva ner några förhoppningar på innehållet i strategin.

I det följande kommer jag att utgå från antagandet att strategin inte enbart kommer att handla om cybersäkerhet, detta oklara men uppenbart upphetsande begrepp, utan även om informationssäkerhet.

Frågan är vad statens intresse gällande cyber- och informationssäkerhet egentligen är, det vill säga vad en strategi bör avse att styra. NISU-utredningen som rörde sig i samma härad var  spretig i detta avseende och känns så här i efterhand som en önskelista från ett antal myndigheter utan en sammanhängande tanke kring samhällets behov. Därför är en första förhoppning att strategin dels har modet att inte vara alltför influerad av NISU, dels att man istället försöker utgå från konkreta behov på samhällsnivå. För att uttrycka det något klyschigt; mer ”pull” än ”push”, mer utifrån-och-in än inifrån-och-ut.

För mig  har staten ett vitt spektrum av intressen inom informationssäkerhetsområdet från cyberkrigföring till information riktad till enskilda om säkert agerande på nätet. Förhållningssättet måste av naturliga skäl skilja sig starkt inom spektrets olika delar. När det gäller försvar och säkerhetsskydd är lagstiftning och repressiva incitament kanske lämpliga styrmedel medan i andra delar är kunskapsstyrning både det rimliga och det effektiva sättet att förbättra säkerheten. Ett alternativ är att strategin endast omfattar de delar som rör rikets säkerhet och samhällsviktig verksamhet och skippar den informationssäkerhet som gör att samhället fungerar i normalläget.

En farhåga är dock att strategin endast kommer att beröra vissa typer av informationssäkerhetskrav och utesluta andra som till exempel de krav som emanerar ur dataskyddsförordningen. Det vore olyckligt eftersom jag tror det främsta behovet just nu är att sammanfoga en helhet av styrning där staten tar ansvar för att beskriva hur de enskilda organisationerna ska förhålla sig till bland annat civil beredskap, totalförsvar, samhällsviktig verksamhet och infrastruktur samt dataskydd. Till detta kommer visioner om digitalisering och öppenhet. Staten har en viktig uppgift i att förklara hur helheten ska se ut, något som såvitt jag vet ännu inte är gjort. Istället skjuts frågeställningen ner till den enskilda kommunen, myndigheten, landstinget eller företaget att lösa. Förbryllande signaler kommer i de många utredningarna som var och en tycks undersöka sitt eget slutna rum. Själv har jag ägnat omotiverat stort intresse för bilden i säkerhetsskyddsutredningen där säkerhetsskyddet tycks gälla för en fjärdedel (ja, jag har beräknat det) av all samhällets regleringar, av samhället eller av myndigheternas informationshantering eller av något annat odefinierat. Egentligen säger väl bilden bara att säkerhetsskyddslagen är en särskild lag och att det finns andra lagar och regler. Att det skulle vara en principskiss är kanske att dra det litet väl långt.

 

Självklart bör man inte tolka illustrationer på detta autistiska sätt men jag kan bara försvara mig med att det är den generella oklarheten som gör att jag tar varje halmstrå för att försöka förstå tanken hos utredarna. För mig själv har jag försökt rita upp sambandet mellan de olika styrsystemen som jag tror kanske kan se ut så här:

Till detta kommer NIS-direktivet och hur det ska införas i Sverige . Jag utgår från att direktivet främst ska tillämpas på den samhällsviktiga verksamheten eftersom det är vad som står i direktivet även om det även gäller bland annat vissa molntjänstleverantörer utan att dessa behöver vara samhällsviktiga:

De leverantörer av digitala tjänster som omfattas av direktivet är sådana som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster. Dessa leverantörer ska inte identifieras på det sätt som gäller för leverantörer av samhällsviktiga tjänster och omfattas av direktivet utan att någon bedömning ska göras av om de är samhällsviktiga eller inte.

Min bild, som jag inte skulle vilja slå vad om mer än chokladkaka om att den stämmer, bygger på förutsättningen att en verksamhet och/eller en informationshantering inte kan vara betydelsefull för rikets (Sveriges) säkerhet om den inte också är samhällsviktig men det kan den kanske? Och hur ser relationen mellan beredskap och säkerhetsskydd ut? Efter att ha närläst förslaget till ny säkerhetsskyddslag samt andra utredningar ser jag det som synnerligen angeläget att definiera vad som är av betydelse för rikets säkerhet respektive är samhällsviktigt. Glider dessa begrepp ihop påverkar det både demokratiaspekter och effektiviteten i samhället. Jag när en stark förhoppning om att strategin reder ut hur dessa olika säkerhetsområden förhåller sig till varandra eftersom det också verkar vara finnas ett internt behov inom regeringskansliet att göra det. Ett exempel på detta är den nya digitaliseringsstrategin som nämner ”samhällsviktig” endast en gång i förbifarten men däremot hänvisar till säkerhetsskyddslagen (!) och NIS-direktivet:

Ett löpande och systematiskt säkerhetsarbete ska göras för att identifiera och förebygga säkerhetsbrister samt hantera incidenter. Privata och offentliga verksamheter behöver utveckla medvetenheten om informations- och cybersäkerhet, t.ex. hur de kan skydda sina nätverk och informationssystem. Genomförandet av EU:s direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem i hela unionen ([EU] 2016/1148) och arbetet med en ny säkerhetsskyddslag kommer att spela stor roll.

Intrycket är att det är säkerhetsskyddslagen som ska utgöra den främsta styrfunktionen för informationssäkerheten i digitaliseringen vilket för mig ter sig som en föreställning med många negativa konsekvenser både för demokrati och effektivitet. Strategin har en viktig uppgift i att peka på hur informationssäkerheten i digitaliseringen främst måste styras via det systematiska och verksamhetsinriktade arbetet. Att både tjänster och kommunikationslösningar är samhällsviktiga är en helt annan sak än att säkerhetsskyddslagen ska tillämpas. En grundprincip för allt säkerhetsarbete bör vara att det inte bara gäller att införa så mycket säkerhet som möjligt – lika viktigt är att undvika att införa omotiverade säkerhetsåtgärder.

Kanske är digitaliseringsstrategins (i mitt tycke) missvisande inriktning ett resultat av att det är tämligen oklart hur den samhällsviktiga verksamhetens informationssystem ska skyddas. Visserligen finns krav på risk- och sårbarhetsanalyser och snart genom NIS-direktivet även på incidentrapportering men vilka metoder, tekniska lösningar m.m. som ska användas är ännu valfritt. Ja, t.o.m. vad som ska utgöra samhällsviktig verksamhet måste varje aktör själv bestämma i det system för krisberedskap som byggts upp i Sverige som bottom-up snarare än top- down. Söpple kommun måste själv avgöra vilken verksamhet som är samhällsviktig respektive av betydelse för rikets säkerhet samt, kvinnogissar jag, av betydelse för den civila beredskapen. En cyber- och informationssäkerhetsstrategi skulle kunna peka på att det vore ganska bra att ta ett något starkare top-down-grepp. I den allt mer komplexa informationsinfrastrukturen finns det all anledning för staten att med hela handen peka ut vilka tjänster och infrastrukturkomponenter som är samhällsviktiga. Ingen enskild aktör är sig själv nog och ingen enskild aktör kan längre se hur beroendekartan ser ut, särskilt inte som den vägledning som finns för detta skrevs för ett decennium sedan.  Ett konkret förslag är att den gamla ÖCB-rollen som MSB alltmer axlar också leder till att man agerar som ÖCB gjorde; talar om exakt vad som ska ses samhällsviktigt alternativt ingående i den civila beredskapen alternativt totalförsvaret och vad det föranleder för åtgärder.

En strategi ska ju peka ut vägen framåt. Jag tänker mig att den nationella cyber- och informationssäkerhetsstrategin ska spela litet av samma roll som en policy i en organisations ledningssystem. Det vill säga uttala en viljeinriktning samt beskriva ansvar och resurser för att förverkliga inriktningen. En modell för den centrala styrningen vore att SÄPO/Försvarsmakten har precis som idag har ansvar säkerhetsskydd medan MSB:s ansvar däremot avgränsas till kravställning utifrån civil beredskap och samhällsviktig verksamhet. ESV alternativt en ny digitaliseringsmyndighet skulle kunna överta uppdraget att stödja informationssäkerheten i normalläget samt för att kanalisera kraven från MSB, Dataskyddsmyndigheten (formerly known as Datainspektionen). Slutligen är ett alternativ att Konsumentverket tar en större roll i att stödja privatpersoner i en säkrare it-användning.

Jag hör redan invändningarna: så många aktörer, det blir rörigt, hur ska de samordna sig? Men detta är ju redan verkligheten. Det jag föreslår är att strategin ska skapa en tydligare nationell spelplan istället för att de många, i vissa fall disparata, kraven lämnas osorterat till de enskilda aktörerna, som till exempel Söpple kommun, att försöka reda ut. Förhoppningsvis skulle en organisatorisk form skapas för att avväga olika krav och intressen på ett enhetligt sätt istället för att 290 trötta kommunledningar var och en försöker gissa sig fram till vad som behöver göras (liksom dito myndighets-, regions-, landstings och företagsledningar). Vissa grundaktiviteter som incidenthantering måste stödja olika behov och rapporteringsvägar för att ta ytterligare ett bevis på den nationella samordningens nödvändighet.  Den naturliga konflikten mellan säkerhet å ena sidan och verksamhetsnytta å den andra skulle också kunna hanteras på ett öppet sätt. Jag ska inte tänja mer på tålamodet hos den eventuella läsare som hängt med ända hit genom att fortsätta räkna upp allt som pekar mot behovet av starkare samordning utan nöjer mig med en antydan om att jag har många exempel kvar i rockärmen.

Slutligen borde en strategi också gå in på hur kostnaderna för en bättre cyber- och informationssäkerhet ska fördelas. Detta är viktigt inte minst eftersom det finns ett stort antal privata aktörer som är delaktiga som utförare av för samhället viktig verksamhet. Den sangviniska hållning utredningen avseende ny säkerhetsskyddslag intar gällande kostnader i konsekvensbeskrivning är knappast hållbar:

Sammanfattningsvis har vi kommit fram till att våra förslag inte bör innebära annat än marginellt ökade kostnader vare sig för det allmänna eller för enskilda jämfört med nuvarande lagstiftning.

I ärlighetens namn tror jag att alla insatta vet att säkerhet kostar och ibland kostar rejält. Att för ett enskilt företag genomföra alla de potentiella åtgärder som ligger i förslaget till säkerhetsskyddslag har en prislapp och det hade varit hedervärt om utredaren tagit sitt ansvar och utrett det närmare. Det känns aningen mästrande när statliga utredare skriver:

Av kommersiella skäl finns det där starka incitament till en god informationssäkerhet. Vår bedömning är att det finns en stor vilja att i sådan verksamhet följa internationella standarder som t.ex. LIS. Detta sammantaget innebär att den förändring som vi föreslår träffar verksamheter där dessa tillkommande krav på informationssäkerheten redan bör vara omhändertagna.

Vad man bygger denna bedömning på är oklart.

Tillkommer gör kostnader för civil beredskap, samhällsviktig verksamhet, NIS och dataskyddsförordning. Sammantaget uppfattar jag detta som icke oväsentliga kostnader för den enskilda aktören. Visserligen kan man hävda att dålig säkerhet kostar minst lika mycket men genom att det är till stor del obligatoriska säkerhetsåtgärder som tillkommer kan inte längre Söpple kommun gambla och ta risken. Finansieringen bör därför vara något av ett huvudnummer i en strategi.

Detta är skrivet under påverkan av en finsk förkylning vilket kanske gör att min vision om strategin blir litet väl hallucinatorisk. Men låt oss ändå hoppas att vår väntan belönas med något mer konkretion och problemlösning än de senaste utredningarna på området levererat.

 

Vilse på digitaliseringens hav (2)

 

Via nätet tassar jag virtuellt omkring och försöker förstå vad som händer i digitaliseringsfrågan bakom departementens dörrar. Jag ber redan nu om ursäkt om jag misstolkat något – det är inte alldeles enkelt att få en överblick.

Jag börjar med att regeringen tillsatt en utredning för att:

kartlägga och analysera i vilken utsträckning det förekommer lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga förvaltningen.

vilket innebär ställer man sig återigen inför uppgiften att försöka få ihop delarna på ett konstruktivt sätt. Jag måste dock medge att att formuleringen ”lagstiftning som i onödan försvårar” får mig att hoppa om inte högt så åtminstone medelhögt. Synsättet på lagstiftningens roll känns inte genuint respektfullt om man säger så. Mer glädjande är att utredaren ska ta hänsyn till bland annat regeringens kommande strategi om informations- och cybersäkerhet innan man redovisar sitt uppdrag i mars 2018.

Utredningen kan ses som en pendang till den utredning som tillsattes i maj med uppdrag att:

analysera och ge förslag till effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster.

Utredaren ska enligt samma uppdrag, med utgångspunkt i de nationella digitala tjänsterna Mina meddelanden och Svensk e-legitimation, analysera tjänsterna och lämna förslag till utformning av:

– organisering och ansvarsfördelning för de nationella digitala tjänsterna,

– åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och

– samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna.

Den senare utredningen har redan fått ett tilläggsuppdrag för att analysera om det vore bra att skapa en ny myndighet för att stärka digitaliseringen. Uppdraget inklusive eventuellt förslag om nya myndighetskonstruktioner ska redovisas i mars 2017(!).

Och det är här jag börjar fundera över hur regeringen ska få ihop digitalisering och informationssäkerhet. Nu finns ju ett utmärkt tillfälle att lyckas och det vore, tror jag, fatalt om detta tillfälle inte tas.

Låt mig understryka att jag tycker det är väldigt bra att regeringen visar handlingskraft i digitaliseringen och att en ny myndighet mycket väl kan vara vägen framåt. Men jag ställer mig tveksam till tidsschemat och till samordningen av de olika utredningarna. Min personliga riskanalys tyder på att risken att informationssäkerhet och integritet inte kommer att få den tyngd som är nödvändig för ett långsiktigt bra resultat är överhängande.

Vi har alltså en utredning som ska bedöma de rättsliga förutsättningarna för digital samverkan som ska redovisa i mars 2018 medan en annan utredning ett år före de rättsliga förutsättningarna är klarlagda ska komma med färdiga organisatoriska förslag. Till ytter mera visso ska utredningen om de rättsliga förutsättningarna ta hänsyn till en strategi alternativt flera strategier som ännu inte finns i sinnevärlden men som ska hantera följande:

Det förändrade omvärldsläget gör att samhällets behov av informations- och cybersäkerhet har ökat påtagligt. Digitaliseringen i samhället har bl.a. inneburit nya former av kommunikation, datahantering och datalagring, vilket medfört nya risker och sårbarheter. För att den digitala utvecklingen ska kunna fortsätta på ett säkert sätt behöver alla aktörer, såväl privata som offentliga, mer aktivt arbeta med informations och cybersäkerhet. Regeringen avser därför att utarbeta en nationell strategi som omhändertar olika perspektiv för att kunna identifiera och möta utmaningar mot samhällets informations- och cybersäkerhet. Det är också av central betydelse att genomföra EU-direktivet om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem (NIS-direktivet). Direktivet innebär bl.a. högre krav på enskilda aktörer som bedriver samhällsviktig verksamhet och som är beroende av informationssystem. Direktivet innehåller också skyldigheter för varje medlemsstat att anta en nationell strategi för ökad säkerhet i nätverk och informationssystem.

Exakt hur strategin/strategierna ska tas fram och vad de ska innehålla är för mig litet oklart eftersom den enda mer officiella beskrivningen jag hittat finns i budgetpropositionen. Men strategin/strategierna ska alltså, så vitt jag förstår, ta ut riktningen i allt från höjd beredskap till den effektivitetsinriktade vardagliga digitaliseringen, från kommunikationsinfrastuktur till ”informationssystem”. Som sagt en omfattande uppgift som påtagligt rör åtminstone fyra departement. Däremot omnämns inte den kanske mest påtagliga kravställaren på informationssäkerhetsåtgärder i närtid; dataskyddsförordningen. Med risk för att upprepa mig så sker detta samtidigt som Integritetskommittén lagt fram ett delbetänkande som borde föranleda en stark oro även hos regeringen angående de brister som uppdagats i olika sektorer då det gäller hanteringen av personuppgifter.

I det här sammanhanget är det mest anmärkningsvärda med strategin/strategierna som tycks vara i det allra första fasen av sin tillblivelse ändå ska tjäna som underlag för ett förslag som ska läggas fram om drygt ett år. Och om strategin är på samma nivå som strategier av denna typ plägar vara – ger den verkligen utredningen rätt underlag för frågeställningarna? Är det inte mer konkretiserade inriktningar som skulle behövas, d.v.s. strategins uttolkning?

Och så har vi ju förslaget till ny säkerhetsskyddslag som ligger och lurar i vassen…

Om vi dessutom plussar på med att regeringen trycker på i den näringslivsstödjande inriktningen Öppna data så är mångfalden av delvis disparata krav som ställs på den offentliga informationshanteringen överväldigande.

Som betraktare utanför departementen förfaller behovet av en samordnad plan lika överväldigande. En alternativ turordning till ovanstående skulle vara att göra en inledande utredning med uppdrag att redovisa en sammantagen bild av förutsättningarna för digitaliseringen innan man utreder hur den ska organiseras nationellt. I förutsättningar räknar jag då in kraven på informationssäkerhet i olika riktningar, t.ex. cybersäkerhet men i lika hög grad som stöd för att skydda den personligheten enligt dataskyddsförordningen eller för att ge informationen den riktighet och spårbarhet som krävs för öppna data. För att det här ska fungera skulle det vara lämpligt att regeringen inte bara initierade en utredning för att kartlägga de rättsliga förutsättningarna. Även en som kartlade och analyserade behovet av informationssäkerhet för att stödja digitaliseringen skulle behövas som underlag för en informations- och cybersäkerhetsstrategi.

Man kan ställa sig den berättigade frågan om det egentligen är så intressant hur departementen organiserar sitt inre liv. Just i det här fallet tycker jag det eftersom resultatet av vedermödorna ”drabbar” myndigheter, kommuner och landsting. En brist på samordning inom departementen leder till bristande samordning och svårigheter att prioritera hos de redan hårt pressade objekten för styrning. Kommunen säkerhetssamordnare får därmed i skarp drift försöka reda ut den samordning som departementen misslyckats med. Ökade kostnader, ineffektivitet och sämre säkerhet är en ganska realistisk konsekvens.

Digitalisering förknippas ju ofta med innovation och nytänkande. Den, i mitt tycke, fragmentiserade utredningsordningen riskerar leda till att större sammanhang inte upptäcks och att den nyorientering i organisationsfrågor som skulle behövas nog inte kommer att ske. Jag har till exempel tidigare efterlyst att informationssäkerhetsarbetet mer ska drivas av de aktörer som har ett verksamhetsbehov av god säkerhet. Det skulle bland annat vara de stora tillhandahållarna av digitaliserade tjänster liksom de som tillhandahåller e-hälsa som behöver ta krafttag om de ska infria dataskyddsförordningen, OECD:s inriktning m.m. En tänkbar lösning skulle vara att lyfta över samordningen av det informationssäkerhetsarbete som inte gäller civilt försvar till en ny digitaliseringsmyndighet. Då skulle en organisatorisk samordning uppstå på nationell nivå som skulle förenkla för kommunen som ska försöka styra sin informationshantering så att den både är effektiv och säker.

 

Varför funkar det inte? Del 9

Efter att ha spekulerat om varför informationssäkerhetsarbetet inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre. Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens rapport om informationssäkerheten vid nio myndigheter. Riksrevisionen bedömer att ”de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”. Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att ”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.”. Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.

Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare. Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.

En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar. Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar. Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter. En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.

I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå. Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas. Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är. För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp:

  • Försvarsmaktens insatser
  • Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism
  • Det civila försvaret
  • Samhällets krisberedskap
  • Stöd till myndigheter, kommuner, företag m.m. för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.

Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet. Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna. Jag tror att det är här vi måste stanna till och inse att det inte är samma informationssäkerhet som det ställs krav på i de olika sammanhangen. En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap. Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet. Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens möjligheter.

Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på. Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade. Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.

Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt. Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.

 

 

caspar_david_friedrich_-_wanderer_above_the_sea_of_fog

 

Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen. En gemensam styrmodell innebär inte att samma styrmedel används överallt. Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar. Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar. Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer. Även detta förhållande måste avspeglas i den strategiska inriktningen.

Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd. När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att det informationssäkerhetsarbete som bedrivs i normalläget integreras med statens digitaliseringssatsning. Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.

För mig är det en viktig princip att informationssäkerhetsarbetet måste styras av behov, inte av utbud. Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet. När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar. Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.