Riskmenageriet

Det är lätt att bli tidsblind men jag tror att vi även efterhand kommer att uppfatta våren 2020 som den värsta krisperioden i Sverige sedan andra världskriget. Skadad av historiska studier är jag väl medveten om hur svårt det är att bedöma nutiden medan den pågår men har ändå blivit fascinerad av hur den nationella beredskapen fungerar när det som alla pratar om men ingen sett inträffar. Det vill säga den stora samhällskrisen.

En termometer på hur väl det svenska krissystemet mår är den centrala myndigheten för dessa frågor Myndigheten för samhällsskydd och beredskap, MSB. Jag hade egentligen, efter att ha studerat ett ganska stort antal allmänna handlingar, tänkt fortsätta skriva om hur myndigheten hanterat det beryktade enkätverktyget. Det är i sig en intressant historia som i delar redan skildrats av flera medier, kanske mest heltäckande av Arbetaren bland annat här. När man läser handlingarna är det så många överraskande steg allt sedan regeringen den 19 mars ger MSB ett uppdrag (Ju2020/01165/SSK) :

Regeringen uppdrar åt Myndigheten för samhällsskydd och beredskap (MSB) att säkerställa att myndigheternas information med anledning av utbrottet av det nya coronaviruset är samordnad och tydlig samt att det finns effektiva kanaler för att föra ut informationen. I uppdraget ingår att skyndsamt utarbeta ett nationellt informationsmaterial som på ett effektivt sätt ska kommuniceras till så många som möjligt.

MSB får 75 miljoner (!) för att genomföra uppdraget under 2020, ett uppdrag som till synes inte på något sätt innehåller smittspårning eller insamlande av uppgifter. Kanske är det de 75 miljonerna som snedvrider uppdraget från början, kanske lockar de 75 miljonerna till sig aktörer som ger myndigheten tips om vad de skulle kunna hitta på för att sätta sprätt på pengarna. I vilket fall så är det inte MSB:s professionella kommunikatörer som får lead i detta jättelika kommunikationsuppdrag utan Avdelningen för cybersäkerhet och säkra kommunikationer. Det formella beslutet på denna interna delning kommer den 26 mars, dagen efter att MSB bjudit in Folkhälsomyndigheten till ett möte där den förra myndigheten erbjuder den senare ett digitalt verktyg, allt enligt minnesanteckning från mötet:

Kort möte med GD Folkhälsomyndigheten (FHM) sen em 25/3.

MSB tar upp initiativ kring digitalt verktyg för digital självskattning.

GD FHM positiv, betonar att ett sådant här verktyg inte ska driva fysisk testning i fel riktning. Viktigt att anpassa svar på självskattning så respondenten inte förväntar sig att bara för att man gör digitalt test så får man fysiskt test.

Vad som händer under veckan där MSB:s samordningsuppdrag för myndigheters kommunikation angående corona övergår till att handla om ett digitalt verktyg för självskattning av smitta är för mig okänt men det är uppenbart att det är MSB som vill ha verktyget. Litet småaktigt vill jag poängtera det eftersom jag själv blivit åthutad på sociala medier av en i utvecklingsarbetet involverad konsult när jag hävdade att det var så det låg till. Några dagar efter åthutningen gick MSB officiellt ut och sa att det var på deras initiativ som verktyget tagits fram. Note to self som konsult: undvik att agera som dina kunders talesperson om du inte formellt blivit ombedd. Enligt den juridiska utredning som MSB låter en extern byrå genomföra framgår det att det inte ingår i MSB:s uppdrag att bedriva smittspårning. Därför måste man ha med sig expertmyndigheten FHM för att kunna genomföra projektet med digital självskattning. Redan här går det se de problem som snart kommer att göra att projektet blir en återvändsgränd. Rollen som samordnande myndighet kräver respekt för olika aktörers uppdrag och mandat och detta särskilt i trängda lägen, inte att man försöker ta över andra myndigheters uppgifter.

Sedan följer en närmast smärtsam historia fram till slutlig nedläggning via ett antal anhalter där det blir allt tydligare att ingen utom MSB (och leverantör samt konsulter) är intresserade av verktyget. Kontentan blir x antal miljoner i sjön (konsultkostnaderna är inte medräknade i de 6,4 miljoner som MSB ska betala till leverantören), en granskning av Konkurrensverket och ett rejält tapp i anseende när MSB som bäst skulle behöva det. Sannolikt har MSB tappat i förmåga att genomföra det egentliga uppdraget från regeringen: att samordna myndigheters information angående corona vilket knappast kan glädja uppdragsgivaren. Det går att föreställa sig mindre trivsamma samtal på regeringskansliet.

Som en slutkommentar till Arbetaren säger MSB:s pressekreterare:

Vi tar hellre kritik för att vi skyndar på att ta fram en lösning som på något sätt kan vara till hjälp när människor dör, än att få kritik för att vi sitter på händerna och inte gör något. Vi ansåg att vi var, och är, i ett läge där det var viktigt att agera när det handlar om människoliv.

MSB reagerar alltså exakt på det sätt som jag skrivit om i ett tidigare inlägg, att göra NÅGOT känns alltid bättre även om detta något är inte leder framåt eller förbättrar situationen. I krissituation är det viktiga tillit och att alla vet vem som ska göra vad. I bakhuvudet gnager en liten olustig känsla av att myndigheten kan ha reagerat på yttre påverkan vilket lett fram till haveriet. Det är lätt att glömma bort att de vanligaste påverkanskampanjerna är de ekonomiska.

Det skulle vara lätt att göra sig lustig över denna tragikomiska historia. Det är inte min intention. Istället får den mig, liksom många andra i dessa dagar, att reflektera över den svenska beredskapen och myndigheters förmåga. Framförallt funderar jag på hur MSB (och andra myndigheter) förefaller så synnerligen oförberedda på en pandemi att man är tvungen att kasta sig in i så äventyrliga och ofruktbara aktiviteter som webenkäten. Pandemi är verkligen inte en svart svan i ett riskperspektiv utan snarare vad Michele Wucker kallar en ”grå noshörning”:

A “gray rhino” is a highly probable, high impact yet neglected threat: kin to both the elephant in the room and the improbable and unforeseeable black swan. Gray rhinos are not random surprises, but occur after a series of warnings and visible evidence.

Pandemier har redan inträffat och har varit på MSB:s short list över samhällsrisker ända sedan myndigheten startade. Ändå tycks inte nödvändiga förberedelser för samordning i en pandemisituation ha gjorts. Detta ska inte MSB lastas för utan snarare de regeringar som styrt under perioden. Kanske måste djurmetaforerna gå vidare till svarta strutsar (ja, jag vet att det inte är så i verkligheten att strutsar gräver ner huvudet vid annalkande fara men det är en bra metafor).

Nu pratas det i alla politiska läger om vikten av att förbättra den civila beredskapen och kanske till och med snegla tillbaka till beredskapens guldålder i Sverige: 1970-talet. Problemet med detta är att det innebär att ett antal av dagens heliga kor måste slaktas om det ska fungera. Det är inte bara mycket stora ekonomiska resurser som behövs. Vi har under närmare 40 år demonterat den starka staten som är en förutsättning för en sammanhållen nationell beredskap och istället privatiserat och fragmentiserat ansvaret utan tanke på hur alla skärvor ska kunna skapa en helhet då det behövs. Typexemplet på detta är ansvarsprincipen som inte är inskriven i någon lag men som har haft en förödande inverkan på den gemensamma styrningen av krisberedskapen. Fragmentiseringen har inte kompenserats med en stark myndighet som nationellt nav. MSB:s roll är istället att försöka samordna utan sammanhållen nationell planering och i stort utan mandat att faktiskt styra samhällsviktiga aktörer. Fallet med webenkäten får tolkas som ett utslag av MSB:s omöjliga roll och borde vara ett exempel av många som bör leda till att ansvarsprincipen omprövas och att en verklig krisberedskapsmyndighet med fullt mandat skapas.

Nej, det är inte alltid bäst att göra ”något”

Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det. Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut. I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad. Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.

Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin. Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen. Likaså är historien rik på exempel där boten varit värre än soten, d.v.s. att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka. En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar. Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.

Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig. De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem. Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.

När vi blir utsatta för en  pressande situation får många individer och organisationer ett starkt behov av att agera. Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna. Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget). Samma sak med integritet och skyddet av personuppgifter. De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.

Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem. Okritiska reportage om hur kreativa elever fått skolor att börja använda Discord (!) i skolans uppgifter. Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning. Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”. Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar. När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion mot spårbarhet som säkerhetsdimension). Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna? Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.

När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet. Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten. En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.

Det är just i krissituationer som det systematiska informationssäkerhetsarbetet prövas. Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare. Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.  Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras. Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan. Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten. Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen. Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.

 

 

Distansarbete och informationssäkerhet under coronapandemin

Jag blev ombedd att vara med som expert i en chattpanel rörande den nu så aktuella frågan distansarbete. Det blir ju litet fragmentariskt när man svarar på inkomna frågor så jag tänkte ta tillfället i akt och sammanställa några rekommendationer rörande distansarbete. Den organisation som tagit fram (samt övat) en fungerande kontinuitetshantering och dessutom tagit fram regler för distansarbete i normalläget har naturligtvis ett stort försprång nu. För de som inte fokuserat på detta är det en längre väg att gå men då gäller det att man är på rätt väg innan man börjar gå. Utgångspunkten för nedanstående rekommendationer är att det är verksamhetens processer som ska upprätthållas. För processerna är informationen en central resurs. Informationen och organisation i centrum alltså medan it-säkerheten blir den följd av de krav som verksamheten ställer. Jag tar inte upp ergonomi eller vikten av gemensamma kaffestunder. Målbilden är att kunna arbeta lika säkert på distans som på den ordinarie arbetsplatsen.

  1. Skapa en insikt om att i nuvarande läge kommer inte all verksamhet att kunna upprätthållas utan en prioritering måste ske. Har man kontinuitetsplanerat kan man använda den prioritering av processer som redan gjorts (även om det kan behövas en liten analys för att se om tidigare prioritering fortfarande är relevant. Om kontinuitetshanteringen inte finns på plats måste ledningen göra en prioriteringen av vilka processer/funktioner som måste fungera.
  2. När prioriteringen bör en snabb processkartläggning göras för att identifiera vilken information som stödjer processen samt hur informationen hanteras, d.v.s. vilka system, tjänster eller andra bärare som telefoni och papper som används. Därefter görs en informationsklassning/riskanalys för att fastställa säkerhetskrav. Även detta bör ske enligt prioriteringen så att de mest tidskritiska processerna/funktionerna tas först.
  3. It får i uppgift att gå igenom hur befintliga lösningar kan användas för distansarbete utifrån  klassningen/riskanalyserna och kontrollera it-säkerheten i dessa lösningar. I detta ligger även att bedöma om åtkomst och kommunikation vid distansarbete kan ske på ett tillräckligt säkert sätt. Om it-säkerheten bedöms som för låg i befintliga lösningar föreslås alternativa lösningar där så behövs. Om det finns en stor kvarstående risk måste ledningen få möjlighet att acceptera risken alternativt säga att den är oacceptabel vilket kan leda till att nya lösningar arbetas fram eller så bedömningen att distansarbete är olämpligt för den aktuella aktiviteten.
  4. Börja planera och bemanna en supportfunktion som är avpassas till hur många som förväntas distansarbeta och se till att supporten finns när medarbetaren behöver hjälp. Att inte få support i en ny arbetssituation leder ofelbart till att många kommer att göra fel, gena, hoppa över säkerhetsåtgärder. Bristande support är därför ett garanterat säkerhetsproblem.
  5. Kommunicera redan från början och slarva inte med sådana frågor som att det är ledningen som tar ansvar för helheten och de åtgärder som ska vidtas. I kommunikationen bör även ingå signaler som kan leda till en positiv säkerhetskultur som att det är viktigt att medarbetare är observanta på att det kan uppstå nya risker och att det finns en tydlig punkt att rapportera detta till. Det vill säga visa respekt för medarbetarna och se dem som en resurs i säkerhetsarbetet!
  6. Ta fram über-tydliga instruktioner till medarbetarna där det bland annat framgår:
    – att samma säkerhetsregler ska användas hemma som jobbet, exempelvis att alltid låsa datorn när den är obevakad
    – hur pappersdokument ska hanteras
    – vilken typ av information som kan ses som extra känslig, exempelvis känsliga personuppgifter och känslig företagsinformation
    – att arbetsgivarens utrustning bara får användas för arbetsändamål
    – att privat utrustning inte får användas för att hantera arbetsgivarens information
    – att telefonsamtal bör ske på ett skyddat sätt
    – vilka verktyg som ska användas
    – hur de ska användas
    – att verktyg som inte godkänts av arbetsgivaren inte får användas (dubbel negation, jag vet)
    – vem som ska kontaktas för support
    – vem som ska kontaktas för säkerhetsrelaterade frågor
    – hur incidenter ska rapporteras
  7. När man kan räkna med att distansarbetet blir långvarigt bör även den fysiska säkerheten gås igenom. Det kan handla om att skaffa skåp med tillräcklig säkerhetsnivå för vissa medarbetare eller att se över det yttre skalskyddet i vissa bostäder där känslig information ska hanteras.
  8. Skapa rutiner för uppföljning där ni minst en gång i veckan går igenom hur säkerheten vid distansarbetet fungerar, om vidtagna åtgärder fallit ut som ni hoppats eller om det finns anledning att förbättra skyddsåtgärder, om ni upplever att medarbetare fått tillräckligt bra information och om det inträffat incidenter. Uppföljningen bör rapporteras till ledningen.
  9. Planera för uthållighet. De säkerhetsåtgärder som vidtas i samband med distansarbete måste planeras för längre tid och det kan vara bättre att ha en mer långsam uppbyggnad för att få en långsiktigt väl fungerande lösning än att göra quick fixes som snabbt måste ersättas till allmän irritation och med medföljande säkerhetsrisker. En fråga som tål att ställas är om verksamheten verkligen är så tidskritisk som man tror särskilt i rådande läge då ingenting riktigt fungerar som vanligt. Att slippa stressa fram lösningar leder alltid till bättre kvalitet och oftast bättre ekonomi.
  10. Försök att använda det påtvingade säkerhetsarbetet som måste göras till följd av pandemin som en resurs för framtiden. Skapa säkerhetslösningar och en säkerhetskultur som förbättrar säkerheten även i det normalläge som vi förhoppningsvis snart ska återgå till.

Och så var det riskhanteringen

Föga originellt anser jag att grundprincipen för informationssäkerhetsarbete är att det ska vara riskbaserat. Skälen till detta är många. Det starkaste är att det inte går att vidta rätt säkerhetsåtgärder om man inte vet vilka risker de avser att reducera. Utan kopplingen till risk blir säkerhetsarbetet ett självändamål vilket jag bedömer som en av de största riskerna (!) för ett effektivt säkerhetsarbete. Konsekvensen, vilket jag alltför ofta sett i praktiken, är att en organisation visserligen kan investera stora resurser i säkerhetsåtgärder men att investeringen inte alls ger en säkerhetshöjande effekt som motsvarar investeringen.

I ledningens styrning av informationssäkerheten i den egna organisationen måste riskägaren, d.v.s. ledningen, också ha den faktiska möjligheten bedöma vilka risker som är acceptabla respektive oacceptabla sett i relation till verksamhetsnyttan. Detta är grunden för ett fungerande ledningssystem.

Det finns också starka skäl till att styrningen av informationssäkerheten bör förflyttas så att tyngdpunkten ligger mer på risk än compliance. Compliance är per definition bakåtblickande – vi kan i huvudsak reglera det vi känner till – vilket inte är det mest ändamålsenliga i en starkt föränderlig situation (jag ska inte här gå in på att risk kan byggas in som ett element i en reglering utan förenklar starkt).

Organisationens övergripande riskanalys har också ett starkt samband med kontinuitets- och incidenthantering. Kontinuitetshantering innebär en prioritering av resurser, för att göra den prioriteringen måste det vara klart vilka konsekvenser som kan uppstå i verksamheten om olika delar av informationshanteringen inte fungerar. För att bedöma kunna bedöma olika incidenters grad av allvarlighet gäller samma sak, att en riskanalys är gjord som underlag för ledningens prioriteringar. Inträffade incidenter är också ett viktigt inflöde för riskhanteringen.

Vid sidan om de stora organisationsövergripande riskanalyserna består det dagliga arbetet för en informationssäkerhetsansvarig i inte oväsentlig omfattning att vara metodstöd för riskanalyser.  Riskanalyser vid utveckling, upphandling, organisationsförändringar och ett antal andra tillfällen. Informationsklassning bör ses som en form av riskanalys och båda momenten kan med fördel göras samtidigt med samma normskala.

Trots riskhanteringens centrala betydelse finns det ett antal svårigheter när man vill leva som man lär och ha ett riskbaserat informationssäkerhetsarbete. Tyvärr är min erfarenhet att stödet från ISO 27005 inte ger den praktiskt arbetande särskilt mycket. Istället måste man hantera de organisatoriska förutsättningarna i den egna verksamheten, enkelt sagt men inte utan problem i praktiken. För att illustrera detta ska jag ta upp ett par exempel på förutsättningar för riskhanteringen ur informationssäkerhetssynpunkt som är svåra att hitta ett entydigt förhållningssätt till.

En första förutsättning är att informationssäkerhetsrisker bara är en typ av risker som organisationer måste hantera. De flesta organisationer är idag skyldiga att på ett systematiskt sätt analysera och hantera vissa typer av risker. I en myndighet där jag försökte få en överblick slutade jag när jag hittat nio formella krav på riskanalyser, allt från MSB:s krav på risk- och sårbarhetsanalyser till riskanalyser ur försäkringssynpunkt. Därtill kommer inte sällan kravet på att göra en säkerhetsanalys. Detta är inte unikt för myndighetsvärlden, många privata verksamheter är underställda formella krav men har också anslutit sig till branschregelverk där riskanalyser ingår. Riskanalyserna kan vara på organisationsövergripande nivå eller på delar av organisationen, gemensamt är dock att de saknar en gemensam metod för att genomföra analysen. Det kan vara komplexa kontrollsystem som COSO eller enklare metoder som ligger som grund för de analyser som ska göras. Den informationssäkerhetsansvariga har då alternativen att antingen försöka integrera bedömningen av risker relaterade till informationssäkerhet i befintliga analyser eller lägga ytterligare en analys till de övriga.

En annan aspekt är att ett fungerande säkerhetsarbete kräver riskanalyser på ett antal nivåer. Den mest begränsade riskanalys jag gjort var på en kartotekslåda med patientuppgifter för tjugo år sedan, den mest omfattande har rört nationella förhållande. I en organisation bör det finnas ett flöde så att risker på lägre nivåer aggregeras och tillsammans ger underlag för den övergripande riskbilden. De organisationer som lever efter ISO 27000 har sannolikt även beslutat att ledningen regelbundet ska få en rapportering av riskläget. Det finns även en nedåtrörelse där ledningens riskvärdering ska distribueras i organisationen och influera bedömningarna av risker på lägre nivå.  För att det ska fungera på ett smidigt sätt är en gemensam metod en klar fördel.

Vi står alltså inför valet av horisontell eller vertikal integration; ska det finnas en gemensam metod för alla typer av riskhantering i organisationen? Eller är det enklare att försöka få till en fungerande metod för riskhantering ur informationssäkerhetssynpunkt som tillämpas på alla nivåer i organisationen? Svaret är inte givet utan måste bedömas efter noggrann analys i varje organisation.

När jag skrivit detta har jag bara skrapat tunt, tunt på ytan av allt det som finns att diskutera om riskhantering. Den som har metoder, erfarenheter eller synpunkter på ämnet får gärna höra av sig så sammanställer jag och förmedlar det här på bloggen. Inkommer ingenting finns det stor risk att jag återkommer och fortsätter att skriva om mina egna erfarenheter i frågan.