Vart leder den nationella säkerhetsstrategin?

Innan jag fortsätter diskutera e-demokrati måste jag göra ett inlägg om en aktualitet: den nationella säkerhetsstrategin som presenterades på försvarsområdets Almedalen Folk och försvar. Det är med viss förväntan jag läser strategin där ett helt avsnitt ägnas åt Informations- och cybersäkerhet, digitala risker, illustrerat av ett stridsflygplan.

Det positiva med strategin är att det litet intrasslat beskrivs att digitaliseringen förutsätter bättre informationssäkerhet även om det känns som beskrivningen känns som ihopklippt från några gamla dokument. Förväntan på att strategin ska innehålla något substantiellt och inriktande om informationssäkerhet avklingar tyvärr snabbt och stridsflygplanet visar sig vara en ganska kongenial illustration. Fokus ligger helt och hållet på att upprätthålla funktionalitet i samhällsviktig verksamhet, mycket litet om ens något sägs om integritet, mänskliga rättigheter, riktighet, kvalitet eller effektivitet i verksamheten. När tillit nämns är det tillit till digitaliseringen som nämns (!) medan demokratifrågan är mycket avlägsen. Detta att jämföra med den nationella strategi för informationssäkerhet  som togs fram 2009 som hade som målbild:

  • Medborgares fri- och rättigheter samt personliga integritet.

  • Samhällets funktionalitet, effektivitet och kvalitet.

  • Samhällets brottsbekämpning.

  • Samhällets förmåga att förebygga och hantera allvarliga störningar och kriser.

  • Näringslivets tillväxt.

  • Medborgares och verksamheters kunskap om, och förtroende för informationshantering och IT-system.

Den nu aktuella nationella säkerhetsstrategin omfattar hela säkerhetsområdet men skiljer sig också åt från andra strategier, inklusive den tidigare informationssäkerhetsstrategin, genom att inte ange några mål. Istället inleds strategin med något som kallas ”Våra nationella intressen”.  Huruvida dessa intressen är tillgodosedda idag eller inte är oklart eftersom strategin raskt kastar sig över till ”hot” och ”åtgärder”. Det ger en särskild prägel åt strategin eftersom den inte förmedlar några mål som skulle innebära nya möjligheter utan istället anlägger en defensiv hållning. Detta är ganska långt ifrån regeringens offensiva inriktning inom digitaliseringsområdet.

Utmaningar som frammanas inom cyber- och informationssäkerhetsområdet anges de endast som förekommande i form av antagonistiska hot:

Några exempel på sådana utmaningar är antagonistis­ka hot såsom informationsoperationer och elektroniska angrepp mot skyddsvärda informations- och kommunika­tionssystem, t.ex. i form av datain­trång, sabotage eller spionage, exempelvis mot totalförsvarets verksamhet. It-angrepp för att bedöma, påverka eller störa samhällsviktiga funktioner som ett förstadium till en väpnad konflikt hör också hit. It-angrepp riskerar också att otillbörligt påverka utgången av demokratiska val.

Tyvärr finns det ju inget bra kunskapsunderlag om de bakomliggande orsakerna till störningar i informationshanteringen och hur de fördelas  mellan antagonistiska respektive icke-antagonistiska incidenter. Som jag tidigare skrivit finns det indikationer att de vanligast förekommande incidenterna är av typen uppdateringsproblem och programvarufel. Detta stämmer även med den bild jag har efter rätt många år i branschen även detta liksom andra utsagor i frågan får ses som löst grundade antaganden eller anekdotiska bevisföringar. Det är därför synd att strategin ensidigt inriktar sig på de antagonistiska hoten eftersom det riskerar att ge det fortsatta arbetet en slagsida som gör effektiviteten i nationella informationssäkerhetsarbetet mer begränsad. Ytterligare en negativ aspekt med att uttala en så tydlig inriktning är att det ger intrycket av att det finns kvalitativt kunskapsunderlag i frågan. Det kan i sin tur leda till att det nödvändiga arbetet med att hitta former för att skapa och ständigt uppdatera ett sådant kunskapsunderlag inte initieras.

Vilka åtgärder föreslås då för att komma till rätta med den allvarliga situation som målats upp? Ja, det är ganska svårt att se några mer konkreta åtgärder vid sidan om sådant som redan finns eller redan är beslutat. Det talas om de risk- och sårbarhetsanalyser respektive säkerhetsanalyser som redan är föreskrivna, om it-incidenter, om förslaget på ny säkerhetsskyddslag och om den nationell strategi för informations- och cybersäkerhet som bl. a. bygger på NIS-direktivet som håller på att tas fram. I övrigt rader som:

Därtill bör arbetet med de globala dimensionerna av informations- och cybersäkerhets­frågorna intensifieras.

Vilket väl kan betyda vad som helst.

Kanske är det fel att förvänta sig något annat än det som redan framförts i andra sammanhang i den här typen av dokument, särskilt som den nationella strategin för informations- och cybersäkerhet är i antågande. Det känns ändå som ett förlorat tillfälle att inte använda en strategi för att beskriva ett framtida önskvärt tillstånd och försöka skapa en helhetsbild.

Med denna bakgrund vill jag föra fram tre centrala önskemål på vad som borde ingå i den kommande informationssäkerhetsstrategin:

  • Analysera och redovisa vilka olika syften som informationssäkerheten ska tjäna på samhällsnivå, även de som ligger vid sidan om att upprätthålla funktionalitet i beredskapssyfte. Till exempel hur informationssäkerheten ska kunna stärka tilliten i viktiga samhällsfunktioner genom att säkerställa integritet, effektivitet och kvalitet.

  • Skapa organisatoriska former där olika informationssäkerhetsintressen kan samverka i en gemensam styrmodell – om informationssäkerheten annekteras och görs om till ett rent försvarsintresse kommer digitalisering, effektivitet, integritet och demokrati inte att kunna hanteras på ett rimligt sätt

  • Skapa ett bättre kunskapsunderlag – det är  särskilt viktigt att myndigheter går i bräschen och arbetar evidensbaserat i dessa faktaresistenta tider

Både mål och åtgärder måste motsvara alla de olika behov som som informationssäkerhetsarbetet ska täcka. Om strategin för informations- och cybersäkerhet inte klarar att omfatta andra aspekter än funktionalitet i ett beredskapsperspektiv kommer det att orsaka stora problem i den offentliga verksamheten. Myndigheter, kommuner, landsting och även företag i välfärdsbranscher kommer då att bli tvungna att själva försöka skapa lösningar för att upprätthålla helhetsperspektivet på informationssäkerhet. Resultatet blir fler stuprör istället för ökad standardisering och på sikt kanske ett nytt begrepp fastställas som täcker helheten och som kan ersätta ”informationssäkerhet”.

 

 

 

Varför funkar det inte? Del 9

Efter att ha spekulerat om varför informationssäkerhetsarbetet inte funkar har jag nu tänkt skriva några inlägg om vad som bör göras för att det ska fungera bättre. Detta sammanfaller med att regeringen överlämnar en skrivelse till riksdagen angående Riksrevisionens rapport om informationssäkerheten vid nio myndigheter. Riksrevisionen bedömer att ”de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt ”. Regeringen instämmer i denna bedömning, som ju knappast kan komma som någon överraskning efter Riksrevisionens tidigare rapporter m.m., men avser bland annat att ”därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet.”. Det känns därför ganska självklart att detta första inlägg om konstruktiva åtgärder får handla om förutsättningar för en sådan strategi.

Att ta fram en strategi är inte något särskilt rafflande grepp, 2009 togs en sådan fram liksom en efterföljande handlingsplan några år senare. Varken i regeringens skrivelse eller i Riksrevisionens rapport görs någon egentlig analys av varför de tidigare strategiska samordningsförsöken trots avsevärda resurser och mandat misslyckats.

En grundläggande utgångspunkt för mig har varit att det inte är särskilt meningsfullt att göra mer av samma sak om man märker att något inte fungerar. Istället är det viktigt att ta ett steg tillbaka och analysera och göra nya problemformuleringar. Detta tror jag i hög grad gäller om man ska ta ut strategiska riktpunkter. En ny strategi bör därför föregås av ett mer omfattande förarbete och inte bestå av inskickade, icke samordnade önskelistor från myndigheter som har ansvar för olika säkerhetsområden.

I fallet med informationssäkerhet har jag försökt påvisa den stora oklarhet som råder om vad informationssäkerhet egentligen är och hur det försvårar för den enskilda organisationen, för de yrkesutövande och för samordning på nationell nivå. Detta blir än tydligare om man läser regeringens något desorienterade skrivelse där det är svårt att greppa vad det egentligen är som ska samordnas. Om vi tittar på den nationella spelplanen och bortser från de oklarheter som råder om informationssäkerhet är i första hand organisatorisk eller teknisk fråga så går det att urskilja en rad olika syften som staten länkar till ”informationssäkerhet” vad det nu än är. För att övergripande beskriva de huvudsakliga syften som sällan definieras i förhållande till varandra kan jag räkna upp:

  • Försvarsmaktens insatser
  • Det civila säkerhetsskyddet av rikets säkerhet samt mot terrorism
  • Det civila försvaret
  • Samhällets krisberedskap
  • Stöd till myndigheter, kommuner, företag m.m. för deras egen verksamhet och i samverkan för e-förvaltning, e-hälsa m.m.

Till detta kommer exempelvis de starka kraven från bland annat dataskyddsförordningen som i praktiken innebär högre nivå på spårbarhet, riktighet och konfidentialitet. Dessa olika syften ska utan närmare inriktning från staten tillgodoses i de enskilda organisationerna. Jag tror att det är här vi måste stanna till och inse att det inte är samma informationssäkerhet som det ställs krav på i de olika sammanhangen. En enskild organisation har i de flesta fall i normalläget inget internt behov av den informationssäkerhet som staten ställer krav på exempelvis rörande det civila försvaret i höjd beredskap. Att införa säkerhetsskyddsåtgärder är inte heller något som befrämjar andra säkerhetskrav som kan finnas i en löpande verksamhet som exempelvis hög tillgänglighet. Statliga certifieringskrav på tekniska komponenter i e-förvaltning är knappast heller något som gynnar regeringens inriktning på att Sverige ska bli bäst i världen på att ta till vara digitaliseringens möjligheter.

Jag behöver kanske inte fortsätta med exempel för att slå in min poäng – det finns tydliga intressekonflikter mellan olika typer av informationssäkerhet som staten ställer krav på. Det finns också aktiviteter som starkt påverkar säkerhetsarbetet där det egentligen inte finns någon intressekonflikt men som ändå inte är samordnade. Ett påtagligt exempel är att rapporteringskravet för it-incidenter till MSB inte är samordnat med i det tunga krav på incidentrapportering som följer av dataskyddsförordningen.

Ett förarbete till en strategi måste, menar jag, måla upp hela informationssäkerhetslandskapet för att kunna ta ut riktningen framåt. Ironin i att NISU och utredningen om ny säkerhetsskyddslag lägger fram sina resultat samtidigt som två helt parallella spår som aldrig mötts kommer att upprepas i nya former om inte den nödvändiga överblicken skapas.

 

 

caspar_david_friedrich_-_wanderer_above_the_sea_of_fog

 

Överblicken över syften, förutsättningar och aktörer ger också en grundval för den styrmodell som rimligen måste finnas med som ett strategiskt verktyg för att nå målen. En gemensam styrmodell innebär inte att samma styrmedel används överallt. Jag föreställer mig att regelstyrning är nödvändig ur det civila försvarets perspektiv medan incitaments- och kunskapsstyrning blir centrala för regeringens digitaliseringssatsningar. Men eftersom det är Söpple kommun som kommer att bli utsatt för de olika styrmedlen måste de integreras i en gemensam modell som också hanterar organisatoriska och ekonomiska förutsättningar. Förutsägbarhet gällande krav och ekonomiska förutsättningar är nödvändigt då allt större del av den tidigare offentliga utförda verksamheten ombesörjs av privata aktörer. Även detta förhållande måste avspeglas i den strategiska inriktningen.

Jag tror att en strategi måste vila på noggranna överväganden av hur staten ska organisera sin styrning och sitt stöd. När civilt försvar alltmer blir MSB:s huvudfråga och myndighetens uppgift är mer att jämföra med den som Överstyrelsen för civil beredskap (ÖCB) hade fram till 2002 är det sannolikt mer lämpligt att det informationssäkerhetsarbete som bedrivs i normalläget integreras med statens digitaliseringssatsning. Analysen av vad som kan tänkas fungera bäst måste vara förutsättningslös och inte utgå från olika organisatoriska särintressen.

För mig är det en viktig princip att informationssäkerhetsarbetet måste styras av behov, inte av utbud. Det gäller i den enskilda organisationen, och det bör gälla även på det nationella planet. När en strategi ska tas fram bör det därför ske tillsammans med de som äger verksamheterna vars information skyddas, inte enbart av de aktörer som levererar säkerhetslösningar. Min förhoppning är att strategin inte stressas fram på departementet av någon ensam handläggare utan att det sker i ett brett samarbete med kommuner, landsting, företag och myndigheter samt viktiga kravställare som Datainspektionen, E-hälsomyndigheten och eSam.

 

 

Kommer integritet äntligen att bli en het fråga i vården?

Av en händelse ser jag att Daniel Forslund, liberalt landstingsråd för (L) i Stockholms läns landsting med ansvar för innovation, eHälsa, IT-utveckling och patientnära tjänster, på en PR-site för ett it-bolag gör ett intressant uttalande http://www.voister.se/artikel/2016/08/nu-kliver-landstingen-in-i-framtiden/. Sammanhanget för uttalandet kan i sig tyckas symptomatiskt med tanke på den ofta litet väl nära relation som funnits mellan sjukvårdspolitiker, landstingstjänstemän och it-leverantörerna men den frågan lämnar jag för tillfället. Det som är intressant är följande avsnitt apropå de tre stora sjukvårdshuvudmännens satsning på en ny it-plattform:

Satsningen på en ny plattform som nu ska göras innebär att man nu kan öka både patientsäkerheten och integritetsskyddet på ett sätt som varit svårt tidigare.
– Förut har man varit tvungen att kompromissa mellan dem. Man har låst in data i respektive system vilket gett ett bra integritetsskydd men en sämre patientsäkerhet, men för första gången kan man nu höja nivån på båda samtidigt. Dagens tekniska system gör det möjligt att ha gemensamma databaser och ändå sätta behörigheter på informationen. Om du är kvinna och bryter ett ben behöver ortopeden inte ha tillgång till dina gynrapporter till exempel. Vi kan också kravställa spårbarhet, vem som läst din information, på ett annat sätt, samtidigt som vi kan öka patientsäkerheten, säger Daniel Forslund.

För den medborgare och/eller patient som inte haft insyn vare sig i den rådande ideologin inom sjukvården eller i den praktiska verkligheten måste detta uttalande vara ganska häpnadsväckande. Är det inte en självklarhet att integritet och patientsäkerhet måste kunna upprätthållas samtidigt? Tyvärr är svaret att under de senaste decennierna har integriteten i sjukvården steg för steg nedmonterats både som värdering och i utformningen av den informationshantering som ska stödja vårdprocesserna. Detta är inte enbart min personliga uppfattning utan finns även som en av de slutsatser som Integritetskommittén dragit i sin kartläggning  ”Hur står det till med integriteten” http://www.regeringen.se/pressmeddelanden/2016/06/kartlaggning-identifierar-allvarliga-risker-for-den-personliga-integriteten/.  Tyvärr har inte de utredningar som skett inom e-hälsoområdet heller sett detta som en prioriterad fråga.

Förhållningssättet till integritet som funnits med i digitaliseringsprocessen av vården ända sedan dess inledande faser är att det har målats upp en motsatsställning mellan patientsäkerhet och integritet. Det har också funnits ett mycket svagt intresse hos sjukvårdshuvudmän, vårdgivare och it-leverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt. Min tolkning är att man istället anpassat etik och lagstiftning efter tekniska brister.

Integritetsfrågorna har också lyfts bort från de myndigheter som normalt arbetar med att reglera och tillsyna informationshanteringen i vården, t.ex. IVO och tidigare Socialstyrelsen. Tidigare skedde en gemensam intresseavvägning mellan patientssäkerhet och integritet  inom samma myndighet som dessutom hade vården i sin helhet som uppdrag. Nu förväntas Datainspektionen med sina begränsade resurser och mandat försöka styra hanteringen av personuppgifter i rätt riktning inom vården. Intresseavvägningen mellan patientssäkerhet och integritet har därmed flyttats till den enskilde vårdgivaren som ska uttolka de olika myndigheternas  icke samordnade reglering i en informationshantering som däremot blir alltmer gemensam.  Dessutom har tillsynen av de regler för skydd av integritet som faktiskt finns varit otillräcklig.

Det är inte enbart tekniken som varit orsak till att integritetens allt lägre prioritet. Både organisationsförändringar och förändrade vårdformer har starkt påverkat synen på avgränsning och ansvar för informationen. För tjugofem år sedan var landstingen, för att hårdra förhållandena, i de allra flesta fall både huvudmän och vårdgivare för den absoluta merparten av både primär- och slutenvård. Det gjorde att vårdinformationen också i huvudsak var att se som allmänna handlingar, vilket i sin tur innebar att det fanns ett tydligt regelverk att utgå från (ända från det att vårdinformationen upprättades/inkom till dess att den arkiverades alternativt gallrades). Ansvaret för informationen var klarlagt liksom hur menprövning och åtgärder för spårbarhet skulle ske då information fördes över organisationsgränser inom en huvudman. Självklart gällde detta även i de fall då information utbyttes mellan vårdgivare under olika huvudmän. Att journaler i huvudsak hanterades som allmänna handlingar innebar också att arkivlagen tillämpades både vad gäller arkivering och gallring.

Vid sidan om offentlighetslagstiftningen fanns patientjournallagen som gav vårdgivarna ansvar att både säkerställa patientsäkerhet och integritet. Socialstyrelsen hade tillsyn enligt patientjournallagen även i de delar som gällde att värna patientens integritet. Det fanns också en yrkesgrupp som var utbildad för att professionellt hantera vårdinformation – läkarsekreterarna.

Vi som under stark motvind försökt driva integritetsfrågan i sjukvården har bemötts med i princip alla de logiska fallacier som finns i den här både lärorika och underhållande uppräkningen https://yourlogicalfallacyis.com/. Särskilt populära har i min anekdotiska erfarenhet varit:

  • Strawman: om du är för integritet och ser att den frågan inte hanterats i digitaliseringsprojekt så är du emot digitalisering i sig och vill gå tillbaka till pappersjournaler och hur bra var det med alla som sprang i journalarkiven?
  • Black or white: om du är för integritet så är du emot patientsäkerhet eftersom det framställs som omöjligt att vara för både och.
  • Anecdotal: Eftersom det inte finns någon egentlig sammanställning och utvärdering av vilka brister i informationshanteringen som lett till vårdskador så har ofta begränsningar i informationstillgången framställts som orsaken medan det kanske snarare handlat om bristande riktighet eller spårbarhet – detta bevisat genom egna anekdotiska bevis (vilket även kan ses som false cause, det vill säga att man skapar en korrelation som inte kan underbyggas).
  • Bandwagon: I och med att det funnits en gemensam acceptans för bristande integritet bland sjukvårdspolitiker och andra makthavare i vården så har det varit lätt att implicit och explicit driva en linje innebärande ”att alla gör så och varför skulle vi då ha krav på oss att göra annorlunda?”.
  • Appeal to authority: Mycket kraftfullt har varit att framställa läkare, annan vårdpersonal och vissa starka patientföreningar som innehavare av sanningen som inte går att motsäga. Att de representerar särintressen har inte alltid framkommit.
  • Begging the question: Ett vanligt exempel som jag fått höra sedan början av nittiotalet är: ”tänk när någon kommer in medvetslös på akuten och vi kan rädda hen om vi bara får tillgång till all information – hur kan du vara emot det?” I detta exempel ligger ju antal inbäddade förutsättningar som att detta är den vårdsituation som vi bör ha som mall för alla andra (vilket även är ett exempel på composition/division) och att den som förespråkat integritet därmed sagt att det aldrig finns undantag eller speciella rutiner.

Det kanske vanligaste har ändå varit härskartekniker som tystnad och osynliggörande vilket kanske varit det tråkigaste eftersom det lett till att en mer seriös diskussion inte förts och viktiga intresseavvägningar inte gjorts. Själv hoppas jag på en mer rationell diskussion som klarar att beakta flera intressen samtidigt.

Integritet har trots detta blivit en allt viktigare fråga i e-samhället och det är naturligtvis positivt att makthavare inom sjukvården också uppfattar det. Det är bara att hoppas på att det finns en seriös vilja att verkligen åstadkomma detta i 3R-projektet även om det är svårt att tolka in det i det dokument som det hänvisas till http://www.sll.se/Global/Politik/Politiska-organ/Landstingsfullmaktige/2016/2016-06-14-15/forslag-41sid19.pdf. I beslutet om upphandlingsunderlag står det:

Kärnsystemet ska stödja följande

  • skapa incitament för verksamhetsutveckling, inklusive arbete med standardisering kopplat till begrepp som process, teknik, patientsäkerhet och kvalitet
  • etablera förutsättningar för arbetet med en gemensam informationsstruktur omfattande informationsmodeller och termer/begrepp system
  • ge invånaren en ökad tillgänglighet till och enklare kommunikation med vården Stockholms läns landsting
  • ge invånaren möjlighet till att ta aktiv del i och ansvar för sin hälsa och sjukvård
  • ge vårdverksamheten tillgång till en användarvänlig informationsmiljö i realtid med besluts- och processtöd
  • ge kvalitetssäkrad information för att kunna utveckla vårdens processer och dess arbetssätt
  • ge verktyg för forskning, utveckling och utbildning
  • ge ett lättillgängligt verktyg för myndigheter och vårdgivare så att arbetet med kvalitets- och ledningssystem underlättas.

Inte så mycket om integritet alltså. Frågan i rubriken får vara obesvarad ett tag till.