No probs sa utredaren

Den svenska förvaltningen bygger sedan gammalt på ett väloljat utredningsmaskineri som jag är djupt positiv till men som jag känner en stigande oro för. Med min bakgrund inom historieområdet har jag kunnat följa uppgången av synsättet att offentliga beslut ska vila på rationell grund och att denna grund bäst skapas genom genomlysande utredningar genomförda av högt kvalificerade företrädare för akademi och förvaltning. Hur hånade utredningarna än varit i debatten som politiska undermanövrar så har de möjliggjort insyn och ett demokratiskt samtal om de viktiga vägvalen i samhället.

Utan att gripas av allt för djup förvaltningsnostalgi försöker jag läsa och värdera de utredningar som kommer i för mig relevanta områden. Värderingen underlättas eller påverkas i alla fall av att jag själv varit expert eller på annat sätt deltagit i ett antal utredningar, bland annat som ”spökskrivare” av text som sedan hamnat i den slutgiltiga utredningen. Min slutsats av dessa erfarenheter är att de utredningar som genomförs ofta lider av brister både i utredningsarbetet, i mottagandet hos remissinstanser och i genomförandet.

I denna korta text kommer jag med nödvändighet att bli orimligt svepande och kategorisk men har ändå gjort bedömningen att det finns ett intresse i att lyfta fram vissa systemfel som jag tyckt mig se genom åren. De som har andra erfarenheter och uppfattningar uppmanar jag med emfas att delge dessa – utredningsväsendet förtjänar verkligen att diskuteras, förtjänar i positiv bemärkelse eftersom det är en så bärande institution i den svenska demokratin. Det finns ju även olika typer av utredningar men här tänker jag främst på de utredningar som tillkommer genom att regeringen tillkallar en kommitté eller en särskild utredare för att skaffa underlag för ett politiskt ställningstagande. Kommitténs uppgift är att ta fram fakta, göra analyser av dessa fakta och därefter presentera förslag på åtgärder. När uppdraget är slutfört avrapporteras resultatet oftast i form av ett betänkande, en SOU (Statens offentliga utredningar). En utredning av denna typ bör på ett rättvisande sätt inte bara beskriva förslagen utan även alternativen till dessa förslag samt vilka positiva och negativa konsekvenser som förslagen förväntas få. Efter att betänkandet är presenterat sker remissomgången där olika parter kan redovisa sina synpunkter och argumentera för eller emot betänkandet. Många utredningar stannar här, d.v.s. hamnar i en djup malpåse och blir bortglömda medan några lyckligt utvalda går vidare i beslutsprocessen. Syftet med processen är det bästa, att få rationell grund för besluten i ett öppet förfarande och dessutom en god möjlighet att revidera hur förslagen genomförts, men det är just detta gör en dyster när processen inte hanteras på ett tillräckligt bra sätt.

Förutom det generella gnället är en återkommande kritik att utredningarnas uppdrag ofta är att bekräfta en redan befintlig politisk inriktning snarare än att på ett öppet sätt undersöka en frågeställning. Annorlunda formulerat; redan problemformuleringen snöper utredningens möjlighet att nå fram till de objektivt sett mest relevanta förslagen. Naturligtvis kan inte utredningarna jämställas med akademiska undersökningar, de sker på ett politiskt uppdrag, men med tanke på att de ofta fortskrider under flera år kan en snäv och tidsbunden partipolitisk utgångspunkt snabbt göra hela utredningen daterad och oanvändbar. Denna typ av kortsiktig problemformulering leder i sin tur till två andra fatala systemfel. För det första gör det att utredningar tenderar att bli alltför operativa, det vill säga svara på en nästintill dagsaktuell fråga vilket i sin tur leder till att utredningarna blir som stuprör utan gemensam överbyggnad. Då hjälper inte det mycket tröttande tricket att låta utredningen till tre fjärdedelar bestå av kompilat från tidigare utredningar. Om inte redovisningen av redan gjorda utredningar åtföljs av en analys av hur de påverkar den aktuella utredningen undanröjer det inte på något sätt stuprörstänkandet. För det andra leder det ofta till en ytlighet i begrepp och förutsättningar. Som ett exempel på detta kan vi ta ”digitalisering” en företeelse som utretts på längden och tvären men där själva fenomenet och dess förutsättningar mycket sällan analyserats. Istället ses digitalisering som en fastställd entitet som bara kan utvecklas i en given riktning och med i princip goda konsekvenser. Denna egendomligt deterministiska syn på teknik och samhälle anammas även när Riksrevisionen granskar digitaliseringen. Då granskas inte huruvida regeringens målbild att Sverige ska vara bäst i världen på digitalisering, vilket skulle vara mycket rimligt att ifrågasätta i förhållande till samhällsnyttan, utan enbart hur långt myndigheter och regering tagit sig i den riktningen.

Om vi därefter tittar litet på utredarna och deras medhjälpare finns den vanlige utredaren som får stöd av experter av olika slag men också kommittéer. I det första fallet kan jag se två påtagliga sårbarheter. Den ena är utredaren själv som allt oftare tycks vara en jurist vilket skulle kunna tyckas rimligt med tanke på att utredningen förhoppningsvis ska leda fram till lagförslag men det kan också ses som ett exempel på den tilltagande juridifieringen efter Sveriges EU-inträde. Det är inte säkert att alla problem gynnas av att främst formuleras i juridiska termer utan att det ibland vore bättre med en utredningsprocess som inleds av de som är ämneskunniga för att först därefter bearbetas som en juridisk frågeställning.

Sedan är det experterna där det ofta synes vara en hårfin skillnad mellan expert och särintresse. Det gäller de tjänstemän som ska bevaka den egna myndighetens intresse men jag måste medge att jag grubblat över det rimliga i att tillsätta  en representant för den största leverantören som expert i en utredning om digitaliseringsrätt . Säkert mycket kunnig men kanske då lämpligare att skapa en fokusgrupp för olika leverantörer för att undvika frågan om jäv?

Lika ofta är dock avsaknaden av nödvändiga perspektiv i expertgruppen slående. Om vi till exempel tar NISU (SOU 2015:23) och utredningen om nu säkerhetsskyddslag (SOU 2015:25) samt dess efterföljare med kompletteringar (SOU 2018:82) så har dessa tre utredningar gemensamt att de helt saknar representation från kommuner och regioner. Detta trots att utredningarna måste utgå från att deras förslag till stor del ska omsättas just av kommuner och regioner. Bristen påpekades från några remissinstanser men jag tror att risken är stor att man även fortsättningsvis kommer att se utredningar med ett i huvudsak inifrån och ut-perspektiv.

Att särintressena får så stort utrymme har nackdelen att det också skapas stuprörsformation inom utredningarna. I NISU t.ex. finns ett antal förslag som uppenbart skrivits fram av de olika myndigheter som är närmast berörda. Tyvärr är inte förslagen integrerade sinsemellan, beroendeförhållande mellan förslagen är inte beskrivna, inte heller finns en prioritering gjord. Den här typen av hopplockade åtgärder måste vara mycket svåra att använda som beslutsunderlag utan vidare bearbetning.

De utredningar som bedrivs som kommittéer (exempelvis E-delegationen och Digitaliseringskommissionen) löper å andra sidan risken att utvecklas till egna särintressen och bli mer som en form av myndigheter utan ansvar.

Själv läser jag alltid utredningarnas konsekvensbeskrivningar med största intresse eftersom det är där som man enligt min mening bäst kan bedöma utredningens kvalitet. Om utredaren verkligen försökt, utan hänsyn till sina egna darlings, beskriva även de negativa konsekvenser som kan uppstå om utredningens förslag förverkligas är det en bra utredning där beslutsfattarna får stöd att fatta rätt beslut. Då ges även en möjlighet att i tid börja arbeta med att reducera eventuella risker och negativa konsekvenser. Tyvärr blir jag sällan glad när jag läser konsekvensbeskrivningar eftersom de ofta förefaller verklighetsfrämmande och främst bestående av glädjekalkyler som för att visa det geniala i utredningens förslag. Avsaknaden av relation med de som har kännedom om verkligheten är sannolikt den bakomliggande orsaken till de sangviniska konsekvensanalyser som avslutar utredarens möda. Jag har nu under ett par år funderat över hur säkerhetsskyddslagens utredare kunde komma fram till denna sammanfattning av konsekvenserna av sitt förslag:

Bedömning: Förslagen medför inte annat än marginella kostnadsökningar för vissa myndigheter som får delvis utökade upp-gifter enligt våra förslag. Dessa kostnadsökningar bedöms kunna hanteras inom nuvarande budgetramar. Förslagen bedöms inte medföra några kostnadsökningar för företag utom i de fall dessa på eget initiativ och för egen nytta begär s.k. säkerhetsintyg för leverantör, då kostnader kan upp-komma för vissa säkerhetsskyddsåtgärder. Förslagen kan medföra att något fler personer säkerhetsprövas.

Få torde idag hålla med om den bedömningen vilket bland annat framgår av remissvaren på den kompletterande utredningen då det börjat gå upp för allt fler vad den nya lagen faktiskt kommer att innebära. Vad som förbryllar mig är att alla de ökade kostnader och andra negativa konsekvenser som idag är uppenbara för de flesta inta kan ha varit särskilt svårt att förutse. Detta är inte unikt för just den här utredningen utan är, menar jag, mer att se som ett systemfel där utredare systematiskt tonar ner de negativa konsekvenserna. Möjligen beror detta på att de är rädda för att deras förslag ska ses som ”dåliga” eftersom det innebär vissa negativa effekter men det är ju en attityd som knappast gagnar utredarens uppdragsgivare.

En sista svag punkt i utredningsmaskineriet är att remissinstanserna ägnar ett så till synes svagt intresse för att läsa hela utredningen. Istället kommenterar man möjligen de delar som berör den egna verksamheten. Jag har förståelse för att många myndigheter och andra blir överösta med remisser och har svårt få tiden att räcka till för att ge kvalitativa svar på alla. Samtidigt så är remissvaren inte bara ett sätt att värja den egna verksamheten från dumma förslag. Det är också en möjlighet att bidra med juridiska och andra bedömningar för att förbättra helheten.

Nu ska jag göra ett djärvt grepp och citera Sun Tzu (tror jag) direkt ur mina djupaste hjärnvindlingar utan att kolla upp det. Han sa ungefär så här: om jag får tio dagar på mig att fälla skogens största träd ägnar jag åtta dagar åt att slipa min yxa. Ni får nu möjligheten att komma med en massa bra rättelser men vad jag vill säga är att detta skulle kunna vara ett citat som både uppdragsgivare och utredare skulle kunna tatuera in som gadd. De stora utmaningar vi står inför inom digitalisering, informationshantering, arkiv och säkerhet förtjänar de bästa utredningar som tar minst åtta dagar av de tio.

PS! Jag måste genast rätta mig själv innan någon annan hinner göra det! En mig närstående har grävt fram att det nog inte var Sun Tzu och inte ens Lincoln som myntat uttrycket men det blir en snygg tatuering om det är kinesiska tecken…

Om jag fick ställa några frågor

Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan. För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet. Rollen kräver ju en något mer nobel approach än den som småaktig bloggare. Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den. Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.

Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.

– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare. Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan. Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare. Själva vyn är osynlig genom dessa tunnlade perspektiv. När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.

I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet:

En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid. En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation. Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter. I detta ligger också omfattande utbildningsinsatser. I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer. För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet. Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning. Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk. Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.

Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet. Min fråga till statsrådet är därför var detta förslag hamnat. En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för offentliga och privata organisationer.

– Herr ordförande, två konkreta frågor angående molntjänster. I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet. Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö. Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster. Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd. En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna. Jag förstår problematiken när det gäller konkurrensfrågor m.m. men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet. Detta ställer ju  ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning. Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?

-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”. Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet. Säkerhet existerat alltid i en relation till andra värden. En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns. Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”. För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet. I digitaliseringssträvandena ligger önskan om effektivitet. Demokrati i den form vi känner den är ett centralt element insyn och delaktighet. Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter. Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.

– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige. En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer. Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter. Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer. Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga. Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området. Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog. Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism. Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier. För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.

– Herr ordförande, en sista fråga. I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram. Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser. Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet. Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer. Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?

Öppna frågor om cybersäkerhet

Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra veckan.  Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser. Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop. Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp. Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen. Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.

Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar. Först ministern, sedan myndighetscheferna i tur och ordning. Det mest förvånande är att absolut inget förvånande sägs. Det är exakt samma saker som sägs som har upprepats i 15-20 år. Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva. Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”. Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara. Axiom som att brister upptäcks när incidenter rapporteras ventileras.

Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser. Alltså i sak intet nytt. Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå. Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten. Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.

Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv. De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar. Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).

För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från SOU 2005:42 Säker information. Förslag till informationssäkerhetspolitik. För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”. Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan. Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet. Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.

  1. Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
  2. Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
  3. Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet. X konstaterar också att staten behöver egen och unik kompetens. Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
  4. Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel. I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
  5. Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.

 

 

Whoop, whoop en ny säkerhetsskyddslag?

Ett steg till mot en ny säkerhetsskyddslag är taget i och med att lagrådsremissen presenterades för någon vecka sedan. Själv utsatte jag det ursprungliga förslaget som presenterades av utredningen för en kritisk granskning och är därför av naturliga skäl nyfiken på hur regeringen hanterat förslaget och de många remissvar som kommit in.

Efter en genomläsning är min slutsats att regeringen köpt utredningens förslag med några få men viktiga förändringar initierade från remissvaren. En sådan positiv förändring är att regeringen instämmer i ett antal remissinstansers kritik av utredningens förslag att använda begreppet informationssäkerhetsklassificering trots att klassningen endast skulle bedöma konfidentialitet. Istället kommer begreppet säkerhetsskyddsklassificering vilket visserligen är otympligt men, viktigare, är mer korrekt i förhållande till vad aktiviteten innebär. Ännu bättre hade det varit om begreppet informationssäkerhet överhuvudtaget användes i lagen eftersom man definierar det på ett helt eget sätt:

Säkerhetsskyddet ska förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs (informationssäkerhet)

Det vore ju så mycket bättre att undvika begreppsförvirring och istället införa ett unikt begrepp typ informationsskydd men man får vara tacksam för det lilla i det här sammanhanget. Jag noterar också att intresset för internationell anpassning förefaller större än för att få en nationellt konsistent modell för informations-/informationssäkerhetsklassificering.

Men i huvudsak kvarstår utredningens förslag och regeringen fyller på. Den nya säkerhetsskyddslagen sägs nödvändig framförallt av tre orsaker som kan sammanfattas som: ”det förändrade omvärldsläget”, digitaliseringen och att allt större del av det som kallas säkerhetskänslig verksamhet ombesörjs av privata aktörer (inklusive i form av outsourcing m.m.). Händelserna vid Transportstyrelsen har inte heller gått obemärkt förbi om man säger så. Detta gör att den nu gällande säkerhetsskyddslagens tillämpningsområde anses för ”snävt” vilket annorlunda uttryckt innebär att man vill utvidga till att fler verksamheter och funktioner samt mer information ska klassas som säkerhetskänslig.

Det som slår mig när jag läser lagrådsremissen liksom den tidigare utredningen är bristen på systemtänkande på samhällsnivå. Här finns ett stuprörsutredande där man försöker utreda och lagstifta i delar utan att sammanhang skapas och utan att det går att se hur de olika delarna hänger ihop. Särskilt tydligt blir detta när det gäller ”säkerhetskänslig” i förhållande till ”samhällsviktig” verksamhet. Med den glidning som sker från att säkerhetsskyddet, förenklat beskrivet, varit fokuserat på antagonistiska hot mot hemlig information i offentlig verksamhet till att övergå till ett betydligt större område blir gränsdragningen än svårare. Nu har vi dels säkerhetsskydd som ska skydda

säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter

där med  säkerhetskänslig verksamhet avses:

verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd

Och så samhällsviktig verksamhet som definieras som:

  • Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället.

  • Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt

Lagrådsremissen ”förtydligar” skillnaden mellan det ena och det andra genom följande plattityd:

Verksamheter som bör omfattas av en ny säkerhetsskyddslag omfattas i regel av dessa kriterier, men karaktäriseras därutöver av att de har betydelse för Sveriges säkerhet ur ett nationellt perspektiv. Skälet för detta är att säkerhetsskyddslagen i första hand bör syfta till att skydda särskilt känsliga verksamheter mot antagonistiska angrepp, t.ex. spioneri, sabotage och terroristbrott.

Personligen uppfattar jag det som djupt problematiskt när skillnaden på det ena och det andra blir ungefär som den klassiska Fred Astaire-sången med refrängen Potato, potahto, tomato, tomahto . Det är helt enkelt väldigt svårt att avgöra skillnaden mellan samhället respektive Sverige. Den enda skillnaden i detta sammanhang är såvitt jag kan se att säkerhetsskydd ställs i relation till typen av hot (antagonistiska). När det nu blir allt tydligare att informationssäkerheten generellt är på en nivå som inte på något sätt motsvarar behovet borde en huvudfråga vara hur bättre stöd ska ges till alla de verksamheter som är säkerhetskänsliga och/eller samhällsviktiga. Att då inte kunna ge reda ut ens huvudkriterierna på ett pedagogiskt sätt förtjänar ett totalt underbetyg.  I backspegeln verkar lanseringen av samhällsviktig verksamhet som begrepp och det praktiska arbetet med att faktiskt utveckla och skydda de funktioner som vi alla är beroende av vid större störningar ha misslyckats. Det klena stödet för att identifiera vad som är samhällsviktigt kombinerat med avsaknaden av förslag på konkreta åtgärder som ska vidtas om man mot all förmodan lyckas med uppgiften är ett allvarligt problem. Säkerhetsskyddet är knappast lösningen på det problemet även om det verkar vara en tanke som vissa drabbas av.

Varken den ursprungliga utredningen eller lagrådsremissen utgör någon hjälp i det hänseende. I lagrådsremissen blandar man t.o.m. ihop begreppen som på sidan 35 där man motiverar ett ökat säkerhetsskydd med allvarliga konsekvenser i samhällsviktig verksamhet. Att det är svårt att ge exakta kriterier för säkerhetskänslig respektive samhällsviktig verksamhet har jag förståelse för men det måste ändå gå att åstadkomma betydligt mer än det som hittills presenterats. En första insats vore att en central ansträngning gjordes för att definiera vad som är skyddsvärt ur dels säkerhetsskyddsperspektiv, dels ur vad som ska räknas som samhällsviktigt. Nu trycks frågan istället ner på organisationsnivå och skapar en logisk knut: det är organisationen själv som genom en säkerhetsanalys ska fastställa om den är säkerhetskänslig men för att över huvud taget komma på att man är säkerhetskänslig måste man först göra analysen… Detta förstärks ytterligare av att lagrådsremissen uttrycker sig i termer som närmast är att likna vid fjärilseffekten:

Det kan också tänkas att ett angrepp som riktas mot en verksamhet på en förhållandevis liten geografisk yta påverkar människor som har funktioner i andra verksamheter med direkt betydelse för Sveriges säkerhet. Även flera koordinerade, eller av varandra oberoende, angrepp som resulterar i störningar av samhällsviktiga funktioner på lokal eller regional nivå kan påverka Sveriges säkerhet, t.ex. genom att det bland befolkningen generellt sprids oro och misstro mot myndigheternas förmåga att hantera situationen. Dessa exempel på frågeställningar som en verksamhetsutövare måste ta ställning till visar att bedömningen av säkerhetsskyddslagens tillämpningsområde inte enbart kan ha sin grund i geografiska områden eller antalet medborgare som potentiellt kan drabbas av ett angrepp. Även potentiella följdverkningar av en händelse måste vägas in i bedömningen.

Och visst kan säkerhetsbedömningar likna kaosforskning på sätt och vis men att kräva att kommuner, landsting och regioner ska kunna göra sådana bedömningar är att bygga in en fallucka i hela systemet eftersom det är en omöjlig uppgift. Ytterligare en dimension av detta är att privata aktörer förväntas att på ett objektivt sätt analysera om det finns funktioner som är säkerhetskänsliga i den egna verksamheten trots den kostnadsdrivande effekt en sådan bedömning skulle få. Och den spännande frågan om aggregering hos privata aktörer där intet svar ges om vem som ska ha koll på detta:

Ett annat exempel på verksamhet som kan anses ha betydelse för Sveriges säkerhet är om en leverantör svarar för driftstjänster åt ett flertal myndigheter och leverantörens samlade uppdrag kan ha betydelse för Sveriges säkerhet. Även om de enskilda uppdragen inte anses som säkerhetskänsliga kan leverantörens samlade engagemang innebära risker för alla de myndigheter som den utför tjänster åt vid ett antagonistiskt angrepp, vilket i slutändan skulle leda fram till effekter för samhället i stort.(s 46)

Ungefär på samma sätt är det med samhällsviktig verksamhet, det är organisationen själv som ska bedöma vilka delar som är samhällsviktiga och även där intuitivt kunna se långa beroendekedjor på samhällsnivå som inte finns beskrivna. Idag är det uppenbart att

1. Kommuner/landsting har ansvar en stor del av den samhällsviktiga verksamheten och även en del funktioner som är att betrakta som säkerhetskänsliga

2. Förmågan att kunna vidta rätt säkerhetsåtgärder är alldeles för låg.

Vad som förvånar mig är detta inte är något som analyseras närmare vare sig i utredningen eller lagrådsremissen, vilka åtgärder och vilket stöd som vore nödvändigt för att intentionerna ska kunna förverkligas. Riskerna med vagheten är flera. Den mest uppenbara är att säkerhetsåtgärder inte vidtas i den omfattning som vore befogat. En annan av jämförbar dignitet är att svårigheten att avgöra om det är ”säkerhetskänsligt” eller ”samhällsviktigt” gör att organisationer i en allmän ängslighet tar det säkra för det osäkra (lätt hänt efter sommarens och höstens massiva mediebevakning) och definierar information och system som säkerhetskänsliga. Detta gör att jag inte ens blir förvånad över crazylösningar som när sjukvårdshuvudmän försöker få sjukvårdssystem att bli säkerhetsskyddade, uppenbarligen utan en susning om vad det skulle innebära i praktiken. Detta är för den med minsta insikt ett totalhaveri i säkerhetstänkande och där ett förverkligande skulle innebära att en stor del av sjukvården lamslogs.

En inte oväsentlig risk är att integritets- och offentlighetsaspekter blir utdefinierade i verkligheten på samma sätt som i lagrådsremissen. Denna risk förs fram av flera remissinstanser men viftas i lagrådsremissen bort utan vidare spisning (ex s 48 och 63).

Jag funderar också rätt mycket när jag läser lagrådsremissen på risken att säkerhetsskyddet genom oklarheten i tillämpningen devalveras. Om information och system inte hör dit ändå placeras där kommer då säkerhetsskyddet verkligen att kunna upprätthållas där det verkligen behövs?

Överhuvudtaget väcker lagrådsremissen så många frågor att jag rekommenderar alla att läsa den och försöka visualisera effekten i den verkliga världen. Hur ska man till exempelvis göra för att bedöma riktighet och tillgänglighet men inte i form av klassning? Och hur få ihop säkerhetsskyddslagens legitimitet i antagonistiska hot när en stor del av störningarna i informationshanteringen och därmed i verksamheten uppstår av andra orsaker? Och vore det inte mycket bättre att inrikta sig på säkerhetskänsliga funktioner än dito verksamheter? Då skulle faktiskt statsmakten kunna peka ut vilka funktioner oavsett organisation som bedöms som väsentliga för Sverige vilket skulle vara ett enormt stöd inte minst för kommunerna.  Sammantaget: det känns inte som livet som säkerhetsmänniska blivit enklare med lagrådsremissen. Den understryker dock behovet av att förstärka arbetet med informationssäkerhet för den samhällsviktiga verksamheten.

Nya roller vid outsourcing

Sällan har uttrycket ”på förekommen anledning” förefallit så relevant som när en promemoria angående Skärpt kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet  presenterades och skickades på remiss i veckan. Den konspiratoriskt lagde funderar naturligtvis vid vilken tidpunkt promemorian initierades och hur diskussionen gick då . Nu är den i alla fall lagd och det är naturligtvis intressant att se på det faktiska innehållet. Redan här bör det dock poängteras att promemorian endast gäller statliga myndigheter och därför saknar relevans i den senaste veckans diskussioner om kommunernas säkerhetsskydd till exempel.

Såvitt jag kan se innehåller den egentligen bara tre förslag på förändringar i säkerhetsskyddsförordningen som innebär konkreta förändringar. För det första kompletteras rubriken för 16 § till att omfatta även utkontraktering (Överlåtelse och utkontraktering av verksamhet som drivs av det allmänna). På det sättet tydliggörs att reglerna även omfattar outsourcing av den typ som genomfördes vid Transportstyrelsen.

För det andra ska myndigheter som planerar att genomföra till exempel en outsourcing genomföra en särskild säkerhetsanalys:

undersöka och dokumentera vilka uppgifter i den verksamhet som myndigheten avser att utkontraktera som ska hållas hemliga med hänsyn till rikets säkerhet och som kräver säkerhetsskydd (särskild säkerhetsanalys)

Eftersom säkerhetsskyddsförordningen redan förutsätter att myndigheten ska ha koll på var det finns uppgifter som ska hållas hemliga bör detta i princip inte innebära något större merarbete. Redan initialt vid en planerad outsourcing bör det ju vara klart om det förekommer hemliga uppgifter eller inte i den information som ska outsourcas. Naturligtvis vet jag att det inte alltid är så i verkligheten men nu försöker jag ringa in vad som är det som kan tillkomma som nya element. Den tredje förändringen är också den som innebär den stora förändringen, nämligen att det inte, om förslaget går igenom, längre räcker att själv upplysa den enskilde outsourcingpartnern om att säkerhetsskyddslagen som gäller för utkontrakterade. Nu ska myndigheten också samråda med tillsynsmyndigheten (Försvarsmakten respektive SÄPO) om den planerade outsourcingen. Myndigheten ska alltså ta sin särskilda säkerhetsanalys till sin tillsynsmyndighet för samråd redan innan upphandling inleds. Tillsynsmyndigheten får också enligt förslaget ett mycket starkt mandat att styra upphandlingen och till och med stoppa den:

Tillsynsmyndigheten får förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens
krav inte kan tillgodoses trots att ytterligare åtgärder vidtas får tillsynsmyndigheten
besluta att utkontrakteringen inte får genomföras.

Utdraget till sin konsekvens ger förslaget ett helt nytt rollspel där Försvarsmakten respektive SÄPO blir ytterst ansvariga för riskbedömningen medan myndigheten som ska outsourca i princip kan skicka in sin säkerhetsanalys och därefter sätta sig på läktaren. Detta innebär både potentiella nackdelar som att ansvarsprincipen sätts ur spel och fördelar som att det tydliggörs vem som egentligen gjort bedömningen, d.v.s. tillsynsmyndigheterna. Händer det något med den information som outsourcats och alla de åtgärder som myndigheten förelagts av SÄPO kan vad jag ser inget ansvarsutkrävande ske mot myndigheten. Hur SÄPO ska kunna hålla sig uppdaterade för att kunna göra korrekta riskbedömningar är för mig svårt att riktigt förstå. Med tanke på förslagen till utvidgning av säkerhetsskyddslagens tillämpning i förslaget till säkerhetsskyddslag där det är mycket oklart vad som ska anses påverka ”Sveriges säkerhet” ser jag framför mig en ny flaskhals i den offentliga förvaltningen när SÄPO ska döma av alla större upphandlingar. Det ska bli intressant att läsa remissvaren och se hur dessa frågor diskuteras av remissinstanserna.

Några reflektioner om budgetproppen

I dessa dagar då persikorna äntligen mognar trots den sommar som aldrig var har jag egentligen inte tid med budgetproppen. Men trots att persikorna insisterar på en omedelbar syltning kommer här ändå några reflektioner med anledningen av regeringens intentioner gällande informationssäkerhet, dock med disclaimern att jag inte i detalj har studerat samtliga av de knappa 4000 sidorna.

Föga förvånande är informationssäkerhet ett prioriterat område. Efter det senaste årets skandaler samt det så beramade ”förändrade omvärldsläget” så kommer sannolikt inte regeringens satsningar på informationssäkerhet i olika former att väcka motstånd hos oppositionen. Själv skulle jag ändå vilja resa frågan om det i första hand är pengar som saknas för att förbättra säkerheten.

Men först till själva pengaregnet. När jag nu håller på att försöka formulera förslag på komponenter i en nationell styrmodell har jag tagit fram en idébild för mig själv för att förstå de många former som informationssäkerhet förekommer i på en samhällsnivå. Redan här vill jag utfärda en stark varning för bristen på logik i bilden.  Samtidigt vågar jag mig på att hävda att denna brist inte enbart beror på mina egna tillkortakommanden utan i kanske lika hög grad på att den verklighet jag försöker beskriva saknar logik.

Viktigt för att förstå bilden är samtliga fyra former av behov av/krav på informationssäkerhet kan förekomma i samma organisation. De avklingande pilarna syftar till att försöka beskriva en intresseavvägning; i det ”normala” säkerhetsarbetet sker riskbedömningar hela tiden där hänsyn hela tiden måste tas till andra värden för den egna organisationen och samhället medan i den andra änden är säkerhetskraven mer absoluta. Ett exempel på det senare är ju av att demokratiska rättigheter som insyn inte kan anföras då de ställs som säkerhetsbedömningarna. Jag kommer att återkomma till den här bilden i senare inlägg, just nu använder jag den bara för att resonera kring budgetproppen.

Det mest revolutionerande var den digitaliseringsmyndighet som regeringen beslutat ska skapas under 2018 med ett anslag första året som är något högre än ESV:s (vilket är litet ironiskt eftersom ESV har varit en av de starkaste lobbyisterna för digitaliseringsmyndighet och en kandidat för att bli det). Det är alltså ingen liten myndighet man konstruerar även om anslagen planeras att sjunka längre fram. Förutom att man slänger in hanteringen av tjänster som e-legitimation och Mina meddelanden får den nya myndigheten ansvar för att samordna arbetet med Öppna data. Myndigheten kan väl ses som ett nytt och något mer kraftfullt försök att samordna digitaliseringen efter raddan av tämligen misslyckade initiativ från Toppledareforum och framåt till e-Delegationen och Digitaliseringskommissionen. I budgetpropositionen står inget vad jag kan se om att myndigheten ska ha något särskilt ansvar för informationssäkerhet men i intervjuer med bland annat civilminister Shekarabi efter att proppen presenterats luftas sådana tankar som här. Att informationssäkerhet är en förutsättning för en lyckad digitalisering är något som både jag själv och andra framfört med emfas så principiellt är det en naturlig tanke att sammanföra frågorna. Vi är då i boxen ”normal verksamhet”. Mandatet, ansvaret och uppgiften är dock synnerligen oklart.

Det utökade förvaltningsanslaget till MSB på 40 miljoner till informationssäkerhet och psykologiskt försvar får väl ses som något som hamnar i boxarna ”samhällsviktig verksamhet” respektive ”totalförsvar/civil beredskap”. Här bör det betonas att det är tillskott till redan omfattande medel. Jag uppfattar att den generella inriktningen för MSB blir tydligare och tydligare civilt försvar och samhällsviktig verksamhet vilket sannolikt kommer att prägla även myndighetens insatser inom informationssäkerhetsområdet. Utrymmet för denna typ av spekulationer är stort eftersom det inte finns någon offentliggjord strategi från myndigheten.

SÄPO får en rundlig extra dusör för att arbeta med den nya säkerhetsskyddslagen. Vad Försvarsmakten och SÄPO i övrigt gör inom informationssäkerhetsområdet är svårt att överblicka utifrån på grund av den sekretess som råder. Att PTS föreslås få ett årligt tillskott på 13 miljoner för att ”vidta åtgärder som säkerställer myndighetens långsiktiga arbete avseende säkerhetsskydd och informationssäkerhet för att bättre möta förändrade och framtida krav som ställs.” är däremot en öppen uppgift i proppen.  Här dyker alltså återigen boxarna för totalförsvar och säkerhetsskydd upp.

Sådär kan man fortsätta att hoppa omkring i budgetpropositionen för att försöka greppa statens insatser för att förbättra informationssäkerhet. För mig framstår de krav på informationssäkerhet som ställs i den normala verksamheten och som stödjer intressen som är centrala för individen, demokratiska värden, ekonomi och effektivitet påfallande nedprioriterade. Detta trots att samma budgetproposition understryker behovet av ökad digitalisering. Det hänvisas i proppen till strategierna för informations- och cybersäkerhet respektive för digitalisering men som jag i tidigare blogginlägg beskrivit är båda dessa styrdokument egendomligt inriktade mot säkerhetsskydd. De värden jag låtit symboliseras i form av pilar blir därmed som jag ser det osynliggjorda och inte medtagna i en större riskanalys som omfattar mer en ren säkerhet. Det är till nackdel både för enskilda och för samhället i stort.

En liknande outtalad prioritering görs inom digitaliseringsområdet där öppna data lyfts fram som en viktig uppgift för den nya digitaliseringsmyndigheten medan möjligheten att förbättra den demokratiska insynen i myndigheternas verksamhet inte alls omnämns. Självklart måste Sverige följa PSI-direktivet men det vore en fördel med ett motsvarande engagemang för att förverkliga kraven som emanerar ur grundlagen på god offentlighetsstruktur och insyn. Obalansen mellan näringslivsintresset för öppna data och det demokratiska intresset av en öppen och tillgänglig förvaltning kan förmodas ha ett ursprung i att it-frågorna hittills legat på näringsdepartementet. Detta är ju tämligen ologiskt eftersom regeringens (oavsett färg) inriktning inom digitaliseringsområdet främst varit att utveckla förvaltningen vilket borde motiverat en placering tillsammans med övriga förvaltningsstyrningsfrågor. Problemformuleringen påverkas naturligtvis av i vilket politikområde som har taktpinnen. Nu tyder vissa budgetanslag på en förflyttning av frågan i rätt riktning.

Min upplevelse efter att ha läst strategierna för digitalisering respektive cyber- och informationssäkerhet tillsammans med den budgetproposition där strategiernas första steg mot ett förverkligande är att de båda områdena lider av liknande brist på inriktning. Jag har redan klankat på strategierna och budgetpropositionens riktningslöshet bekräftar mina farhågor. När det gäller säkerhetsområdet kan jag inte urskilja något som tyder på att det genomförts en riskanalys som motiverar fördelningen av medel. Istället förefaller det vara samma typ av brandsläckningsinsatser på nationell nivå som förekommer i organisationer som saknar ett systematiskt informationssäkerhetsarbete. Inte heller kan jag se något samband mellan de olika satsningarna eller stöd för de olika involverade myndigheterna att samordna sig.

För att hitta en positiv trådände så skulle det kunna finnas Ariadnetråd ut ur labyrinten om digitaliseringsmyndigheten skulle kunna formeras till en fungerande myndighet med styrkraft och som kan ta över informationssäkerhetsfrågorna för den normala verksamheten. Om värdena i de fyra pilarna lyfts fram som frågor som ska ligga i myndighetens uppdrag att driva skulle hypotetiskt sett en bättre balans mellan säkerhet och verksamhetsnytta kunna uppnås. På sätt skulle även försummade frågor som stöd för enskildas säkerhet kunna kopplas ett digitalt medborgarskap liksom relationen mellan öppenhet och slutenhet kunna lyftas fram och avvägas. En utveckling i denna riktning skulle kräva ett stort kulturskifte där digitaliseringsmyndigheten inte blir en statlig ideologifabrik av samma typ som exempelvis Digitaliseringskommissionen. Jag är inte alldeles optimistisk då jag återgår till mina husmorssysslor.

En nationell styrmodell del 1

De senaste månaderna har det knappt gått en dag utan att informations- och it-säkerhet utgör en del av medias huvudnyheter. Det känns litet ovant att helt plötsligt arbeta med ett hett ämne men mediabevakningen ger också en insikt om hur området ser ut utifrån. En inte helt uppbygglig syn: det finns stora problem som varit kända sedan länge och som det satsas omfattande resurser på för att lösa men där det råder förvirring i hur de aktörer som arbetar med frågan ska koordinera sig. Vanligt förekommande reportage är en myndighetsrepresentant som presenterar hotbilder med tillägget att den egna myndigheten har förslag på lösningar som går att fixa bara man får mer pengar. En trött metafor är klassfotboll där alla sjuåringar springer på bollen samtidigt, i mitt huvud har istället titeln på en pjäs av Pirandello dykt upp: Sex roller söker en författare. Det behövs helt uppenbart ett gemensamt manus för samhällets aktörer.

Efter några inlägg av ständigt gnäll är det dags att skriva litet mer om vad som kan göras. Då menar jag inte för den enskilda organisationen utan litet mer pretentiöst på den nationella nivån.  I några inlägg ska jag resonera om den nationella styrmodell för informationssäkerhet som den enhet jag ledde på MSB började arbeta med, ett arbete som dess värre aldrig hann fullföljas. Inläggen kommer att i huvudsak utgå från offentlig sektors behov men eftersom det finns ett stort antal privata aktörer som deltar i leveransen av det gemensamma åtagandet är det inte ett helt konsekvent perspektiv.

Utgångspunkten är att trots avsevärda insatser tycks inte informationssäkerheten förbättras nämnvärt i förhållandet till den digitala utvecklingen. Gapet mellan den verkliga säkerhetsnivån och den önskvärda ständiga ökas istället för att slutas. Eftersom bilden är genomgående och den samma oavsett om det är myndigheter, landsting eller kommuner vi pratar om får det ses som ett strukturproblem som sannolikt inte går att avhjälpa i den enskilda organisationen utan kräver en gemensam styrning. Och även om det förekommit mycket fnysande kommentarer efter både skandalen vid Transportstyrelsen och nu senast om polis-debaclet av typen ”hur svårt kan det vara?” så är nog min uppfattning att det inte så himla enkelt att göra rätt som vissa vill hävda. Orsaken är både bristen på samordning och en attityd hos de myndigheter som ska ge stöd som inte skulle ge full poäng i en kundnöjdhetsundersökning.

En annan premiss är att informationssäkerhet inte är en fråga. Även om vi bortser från det semantiska kaos som rått i den senaste tidens mediabevakning där begreppen informations-, it- och cybersäkerhet flugit som konfetti i luften återstår ett behov av att se olika dimensioner. En grundläggande skillnad ligger i å ena sidan verksamhetens eget behov och å andra sidan statens krav på verksamheten. Statens krav är sig mångtydiga från att skydda rikets säkerhet till att se till samhällets funktionalitet vilket inte är riktigt samma sak och dessutom tillkommer all upptänklig lagstiftning som innebär implicita krav på säkerhet. Informationssäkerhet kan rimligen ses som en metodlåda som kan och ska användas i olika syften som är delvis motstridiga. För att ta ett aktuellt exempel fick i dagarna FRA och MUST förstärkning med närmare en halv miljard för att åtgärder inom informations- och cybersäkerhetsområdet. I kommentarer framgår det att avsikten är att utöka övervakningen med bland annat ytterligare sensorsystem. Samtidigt ställer dataskyddsförordningen krav på stärkt personlig integritet vilket föranleder ett antal informationssäkerhetsåtgärder. Att säga att ökad trafikövervakning inte direkt gynnar den personliga integriteten är väl inte att ta till överord. Och så har vi NIS-direktivet som ska införas och som inte heller har mycket att komma med i det hänseendet mer än detta:

Paragrafen genomför artikel 14.1–2 i NIS-direktivet. Valet av säkerhetsåtgärder enligt 11 och 12 §§ ska grunda sig på en riskanalys. Analysen ska kunna användas som beslutsstöd för leverantörens prioriteringar och avvägningar mellan olika typer av säkerhetsåtgärder i förhållande till tjänstens funktionalitet, finansiella och administrativa konsekvenser samt skyddet för den personliga integriteten.

Medan OECD tycker det är integritetsfrågorna är livsviktiga för den digitala ekonomin och att integritet och informationssäkerhet tillsammans måste tjäna som en plattform för diverse positiva utvecklingsfaktorer.

Security and privacy are essential for the digital economy to continue to serve as a platform for innovation, new sources of economic growth and social development. The OECD focuses on the development of better policies to ensure that security and privacy foster economic and social prosperity in an open and interconnected digital world.

Informationssäkerhet är alltså en mädchen für alles från totalförsvaret till den enskildes säkerhet vid e-handel. Många organisationer får därför hantera en mycket komplex kravbild på informationssäkerhet som idag inte är samordnad. En styrmodell för informationssäkerhet skulle fylla en väsentlig funktion genom att integrera mångfalden av delvis motstridiga krav till en helhet. Om detta inte sker på nationell nivå tvingas varje enskild organisation försöka lösa samma frågor med varierande resultat. Förutom ett gigantiskt resursslöseri leder det också till försämrad förmåga att samverka i den gemensamma informationshantering som idag redan är uppbyggd samt till kvalitetsproblem. Som så ofta vill jag här peka på kommunernas prekära situation när de med små organisationer ändå förväntas klara detta.

Utanför själva styrmodellen ligger en avgörande förutsättning: den offentliga sektorns användning av olika typer av it-resurser. Informationssäkerheten måste vara utformad så den svarar på de behov som användningen av it skapar. De säkerhetsåtgärder som behövs är av helt olika typ beroende på om den strategiska inriktningen är att man ska fortsätta på den väg mot ”cloud first” som tidigare beslutats eller om det ska ske en återgång mot mer drift och förvaltning i egen regi. Detta påverka även faktorer som långsiktiga behov av investeringar i teknik och kompetensförsörjning. Men inte bara de explicita målen för it-politiken spelar roll. Att it-politik idag fortfarande, liksom under Alliansens regeringstid, ligger kvar som en näringspolitisk fråga ger en väsentlig förklaring till avsaknaden av tydlig inriktning för offentlig sektors digitalisering. Detta är inte bara ett signalvärde utan gör att digitaliseringen ligger utanför den övriga förvaltningspolitiken. Mycket påtagligt präglar det den lätt förvirrade strategin för digitalisering.

Ryggmärgsreflexen för många i säkerhetsbranschen när man talar om styrning är ”reglering”, ett kvardröjande arv från den militär-polisiära bakgrunden. Jag tror dock att det finns stora fördelar i att försöka se på styrningen av informationssäkerhet som på styrningen av övriga områden inom staten och den offentliga sektorn. Att begrunda hur den svenska förvaltningsstyrningen generellt är tänkt att fungera är ett fruktbart spår där lärdomar kan dras till exempel från ESV:s breda uppdrag. Personligen menar jag att den inom informationssäkerhetsområdet kanske mest underutnyttjade men samtidigt mest effektiva styrformen är kunskapsstyrning.
Styrningen kan inte heller ske enbart från de myndigheter ”med särskilda uppgifter inom området informationssäkerhet”. En stor del av kraven på informationssäkerhetsåtgärder genereras från annat håll och då inte enbart från dataskyddsförordningen utan en mängd lagar, avtal och överenskommelser. Min tolkning är att den förändrade kravbilden också kommer att förskjuta styrningen mot mer proaktivitet än den i huvudsak reaktiva inriktning som hittills varit rådande där insatser som tillsyn och incidentrapportering varit prioriterade.

Som den löshäst jag numera är, utan de förpliktigande hämskor som tyvärr vidlåder den statlige tjänstepersonen idag, tänkte jag unna mig att fritt spekulera i några inlägg om förutsättningarna för en nationell styrmodell och hur den skulle kunna se ut. Inledningsvis ska jag uppmärksamma olika aktörer inom informationssäkerhetsområdet, vad de erbjuder idag samt (något förmätet) försöka bedöma en eventuell utvecklingspotential.

 

Att upphandla eller inte upphandla – det är frågan

Känslor är en inte oviktig komponent i säkerhetsarbetet. Gott så, insikter och säkerhetsmedvetande kan inte enbart byggas på logiska resonemang utan förutsätter också en djupare upplevelse. Men ibland kan det bli väl mycket känslor och litet för litet analys. Jag tänker på skandalen vid Transportstyrelsen som inte enbart lockar fram det skarpaste hos människor och då menar jag inte på mängden av skadeglada och litet barnsliga ”vad var det vi sa”-kommentarer som är nog så ansträngande. Framför allt tycker jag att den osorterade diskussion där all offentlig användning av outsourcing och molntjänster jämställs med den lagstridiga outsourcingen vid Transportstyrelsen är osaklig och vilseledande. Istället tror jag att vi måste landa i en mer sansad diskussion om hur den offentliga sektorn ska få ett så välfungerande it-stöd som möjligt vilket inkluderar allt från infrastruktur till appar. Förhoppningsvis skulle en sådan diskussion kunna utmynna i en it-strategi för det offentliga Sverige.

Detta tänker jag återkomma till i ett senare blogginlägg där jag utvecklar det jag skrev i den här artikeln . Artikeln har fått positiv respons. Någon enstaka har misstolkat den och annat som att jag skulle vara för en ohämmad användning av outsourcing och molntjänster, något jag finner ironiskt med tanke på hur ofta det antytts (mer eller mindre explicit) att jag är en säkerhetsbromskloss som motarbetar alla nya härliga digitala tjänster. Det kan vara en trösterik illusion men jag är ändå övertygad om att det är i mellanrummet mellan de fasta positionerna som vägen framåt går. Lösningarna är inte svarta eller vita utan olika delar i en gemensam informationsinfrastruktur måste analyseras i sin egen rätt. I denna struktur kommer icke statligt ägda komponenter att ingå i form av infrastruktur, utrustning, applikationer och tjänster. Så är det redan i dag i hög grad och det är svårt att förstå hur staten skulle kunna utveckla denna helhet i egen regi. Om en intention mot ökad statligt ägande och utvecklande av infrastruktur, utrustning, applikationer och tjänster borde detta föregås av en ordentlig riskanalys där de faktiska riskerna faktiskt värderas. Det skulle motverka känslotänkandet och ge en mer rationell grund för en strategi. Observera att jag uppfattar att det finns argumentation som främst vilar på känslor i båda riktningar, både hos dem som förordar marknadslösningar och hos de som hävdar att säkerheten alltid är bättre i statligt ägda lösningar.

I väntan på en inriktning kommer det på gott och ont att fortsätta att upphandlas både outsourcing och molntjänster av alla möjliga typer. Myndigheter erbjuder även varandra sourcing och tjänster vilket kanske t.o.m. är ännu mer komplicerat ut säkerhetssynpunkt (vilket jag diskuterade i mitt förra blogginlägg). Jag tycker dock inte att vi ska låta oss förtvivlas över detta. Bara för att Transportstyrelsen var dåliga (milt sagt!) på att genomföra en upphandling behöver inte alla myndigheter vara dömda att vara det.

Om vi utgår från att en stor del av it-relaterade tjänster även fortsättningsvis kommer att upphandlas av kommersiella aktörer bör en viktig säkerhetsåtgärd vara att inrikta sig på de offentliga upphandlingarna. Detta kan ske på två nivåer; dels på en gemensam övergripande nivå, dels hos den enskilda myndigheten eller kommunen som ska göra en upphandling.

På den nationella nivån identifierade SOU 2015: 23 Informations- och cybersäkerhet i Sverige (NISU)  säker upphandling som ett av sex strategiska mål. I den nyligen framlagda cybersäkerhetsstrategin  finns däremot inte upphandling bland de sex strategiska prioriteringarna. Det finns ett kortare stycke på sidan 15 som i vaga ordalag säger att stödet för upphandling ska stärkas och därtill kommer att regeringen ska verka för att:

myndigheternas kompetens avseende upphandling av nätverk, produkter och system stärks och att myndigheterna vid upphandlingar säkerställer att hänsyn tas till säkerhetsaspekter

Inte så kraftfullt och det är svårt att se att outsourcing och molntjänster kan inrymmas under ”nätverk, produkter och system”.

För mig förefaller det finnas betydligt större möjligheter för att nationellt förbättra informationssäkerheten i upphandling än vad som framkommer strategin. En viktig del är att ägna större intresse åt molntjänster eftersom det sannolikt är där den stora ökningen av externa tjänster kommer att ske. En del finns att hämta i den rapport som Pensionsmyndigheten levererade som resultatet av ett regeringsuppdrag. För transparensens skull medger jag att jag deltog som expert i den utredningen. Ett förslag i rapporten var att ge MSB i uppdrag att genomföra en riskanalys av användning av molntjänster och andra externa IT-tjänster ur ett nationellt perspektiv, och att föreslå eventuella åtgärder. Detta förslag har dock inte, såvitt jag vet, anammats men borde genomföras, inte nödvändigtvis av MSB utan hellre av en mer sammansatt gruppering. Rätt genomförd där olika alternativ granskas utgör en sådan analys mycket viktig input till en mer strukturerad inriktning av offentlig it.

Upphandlingsmyndigheten omnämns också i förbifarten i cybersäkerhetssäkerhetsstrategin, däremot inte Statens inköpscentral under Kammarkollegiet som trots allt ingår ramavtalen för it och telekom för hela den offentliga sektorn. I ramavtalshanteringen tror jag att det finns en stor potential där det går att ställa tydligare krav på leverantörerna men också att ge betydligt bättre stöd för de avropande myndigheterna att komplettera ramavtalets krav. Att göra bra upphandlingar bygger på att det finns en tydlig kommunikation mellan kund och leverantör vilket i sig förutsätter att kunden kan formulera sina krav. När man tittar på avrop som gjorts innehåller de påfallande litet om informationssäkerhet (en studie har gjorts av detta som tyvärr inte finns tillgänglig på MSB:s webbplats). Min tolkning efter mina kontakter med myndigheter, kommuner och landsting är att man

  1. Tror att ramavtalen tagit hand om säkerhetsfrågorna
  2. Tycker sig sakna kompetens och metoder att ställa rätt krav
  3. Utgår från att leverantörerna med automatik levererar tjänsterna med rätt säkerhet (de har ju säkert fått alla krav redan från andra kunder…).

Sammanfattningsvis tror jag helt enkelt att detta är en för svår fråga för små och medelstora (kanske t.o.m. för stora) myndigheter att hantera autonomt – det finns ett stort behov av effektivt stöd.  Innan jag slutade på MSB började jag arbeta med ett koncept för standardiserade skyddsnivåer som skulle kunna användas bland annat vid upphandlingar. Alltså om kravet är hög nivå på riktighet innebär det de här kraven på tekniska och organisatoriska åtgärder (kraven måste naturligtvis omges av en hög grad av förvaltning så att de hålls aktuella). Min tanke var att detta skulle utgöra en gemensam plattform för kunder och leverantörer där inte unika krav behövde tas fram för varje upphandling. Detta tror jag fortfarande är en bra lösning som borde utvecklas som stöd för alla typer av it-relaterade upphandlingar.

Staten skulle även kunna använda marknadskrafterna till sin fördel och agera som en samlad förhandlingspartner till de stora internationella leverantörerna av molntjänster. Krav på t.ex. var svenska myndigheters information ska hanteras (inom landet), dedikerade/kontrollerad personal och att följa ett  gemensamt regelverk skulle kunna ställas. Detta har redan skett i Tyskland och jag ser inte varför inte Sverige skulle följa detta exempel. I den bästa av världar skulle staten då få både kontroll över sin information och samtidigt få tillgång till de lösningar som de kommersiella leverantörerna kan erbjuda. Detta är en lösning som definitivt bör noggrant utvärderas innan beslut om statliga moln eller koncentration av statlig it-drift beslutas.

Detta är bara några möjligheter för att förbättra på nationell nivå men det finns också mycket i teorin som den enskilda myndigheten eller kommunen kan göra. När jag arbetade på MSB skrev jag en vägledning för informationssäkerhet vid upphandling av it-relaterade tjänster. Så här i efterhand kan jag säga att om Transportstyrelsen kunnat följa vägledningen skulle inte Stefan Löfven behövt avbryta sin semester och två ministrar avgå…

Tanken var att så konkret som möjligt beskriva hur informationssäkerhet på ett bra sätt tas med vid upphandlingar. Vissa har påpekat att det är ett utopiskt tillstånd av väl planerade upphandlingar som redovisas i vägledningen. Jag är naturligtvis medveten om att många upphandlingar sker under stark tidspress och att de upphandlade organisationerna är sällan-köpare som nog saknar den vana och kompetens som skulle krävas för de komplicerade upphandlingar som det ofta gäller. Om man ska gena är det ändå bra att veta vad man inte har gjort som man kanske borde ha gjort. Vägledningen innehåller vissa förenklingar som kanske kan ifrågasättas som t.ex.:

Riskanalysen bör inledas med att kartlägga vilken roll systemet eller tjänsten ska ha i organisationen samt vilka interna och externa intressenter som finns till lösningen när den är i drift. För att kunna göra riskanalysen krävs därför att man översiktligt beskriver vilken information som ska hanteras och på vilket sätt . Vissa aspekter bör säkerställas initialt eftersom de är avgörande för vilka lösningar som är möjliga, som till exempel:

  • Innehåller informationen personuppgifter? Om ja, är dessa uppgifter att betrakta som känsliga personuppgifter?
  • Kan lösningen komma att hantera information som påverkar rikets säkerhet?

Om lösningen är tänkt att hantera denna typ av information kommer det att finnas särskilda säkerhetskrav i lagstiftning som redan från början kan utesluta vissa typer av lösningar som exempelvis molntjänster.

Vän av ordning kan naturligtvis hävda att det går att använda molntjänster och outsourcing för den här typen av information med rätt säkerhetsåtgärder vidtagna. Jag menar dock att det i praktiken innebär krav på kompetens och resurser som flertalet organisationer saknar. Och om man skärskådar verkligheten så kan nog inte mindre myndigheter och kommuner följa vägledningen eftersom de saknar kompetens och resurser att göra ens det. Detta trots att molntjänster och outsourcing innebära en möjlighet att höja säkerheten (för information som inte faller under säkerhetsskyddslagen eller innehåller känsliga personuppgifter). Att undvika att molntjänster när personuppgifter är också ett råd som är allt svårare att följa eftersom även ordinära kontorstjänster som mail, kalender och samarbetsytor naturligtvis innehåller personuppgifter och t.o.m. känsliga personuppgifter. När det är precis de tjänsterna som de flesta myndigheter och kommuner vill köpa som molntjänster uppstår ett dilemma som sannolikt bara går att lösa genom den typ av nationellt avtal som jag tidigare beskrev.

När jag är ute och pratar om upphandling är det två punkter som jag trycker extra hårt på förutom informationsklassning/riskanalys. För det första att man måste första att en upphandling är en process där åtminstone fyra aktörer ingår:

  • Verksamheten som behöver it-stödet
  • It-chef
  • Informationssäkerhetsansvarig
  • Inköpare/upphandlare

Dessa fyra aktörer brukar ofta ha divergerande uppfattningar om både hur upphandlingen ska genomföras och vad den ska leda fram till. Informationssäkerhet är sällan vara en prioriterad del av upphandlingen och många är väl vi som en kravspec i handen med kommentarer av typen: ”kan du slänga in säkerhetskraven till i början av nästa vecka?”

Därför finns det en processbeskrivning med i vägledningen med markering av de aktiviteter där informationssäkerheten bör finnas med.

Tyvärr tror jag även detta är ett råd som är svårt att tillämpa eftersom många organisationer saknar en fastställd process för upphandling – det finns alltså inte struktur att fästa säkerhetsåtgärderna i. I vissa fall kan ett ledningssystem för informationssäkerhet fungera som ett lok som skapar ordning i generella processer genom sin kravställning men alltför många gånger kommer säkerheten in alldeles för sent och med alldeles för liten betydelse.

Det andra jag brukar trycka på är att när vi allt som oftast säger att det måste finnas en beställarkompetens är det inte bara under själva upphandlingen som detta behövs. Som syns i processbeskrivningen så behövs det beställarkompetens inom informationssäkerhetsområdet ända tills att avtalet. Detta glöms ofta bort och det fortlöpande säkerhetsarbetet kommer aldrig till stånd och en inte oväsentlig faktor är att det är svårt för den enskilda myndigheten att få till en metod för att genomföra det. Även den myndighet som varit duktig när det gäller att ställa de initiala kraven får därför en avklingande säkerhet som så småningom övergår till osäkerhet.

Upphandlingsfrågan har länge varit en favorit för mig och jag har predikat på längden och på bredden om dess vikt. Trots att jag in i det längsta vill se konkreta lösningar för att förbättra informationssäkerheten i den enskilda organisationen så förstår läsaren av det här inlägget säkert redan nu att jag ser det som en ganska hopplös uppgift. I offentlig sektor behöver myndigheter, kommuner och regioner en stark nationell plattform för upphandlingar av it-relaterade tjänster för att kunna ta sitt eget ansvar. Med plattform menar jag i all stillsamhet en strategi för hur regeringen tänker sig informationsförsörjningen, en styrmodell för ansvar, mer utvecklade ramavtal, upphandlingsstöd till enskilda organisationer, standardiserade skyddsnivåer och ett nationellt avtal med Microsoft m.fl. Att alla de utredningar som skett inom området inte lyckas greppa frågan uppfattar jag som ett misslyckande och litet av ett svek mot alla de myndigheter, kommuner och landsting som gör så gott de kan för att sköta sina upphandlingar fast de i realiteten kanske har möjlighet att göra det.  De journalister som vill gräva efter undermåliga avtal när det gäller säkerhet kommer sannolikt inte att gå lottlösa i fortsättningen heller. Min fråga i rubriken är helt retorisk. Vi är ett läge där upphandlingar sker och kommer att fortsätta ske. Att se till att de sker med god informationssäkerhet kräver nationella lösningar mycket snart. Om inte annat nafsar dataskyddsförordningen oss alla allt ihärdigare i bakhasorna och finns det inte en nationell beredskap för det så bör general-, region- och kommundirektörerna sova mycket oroligt.

Regeringen måste ha en egen idé om framtidens IT

Eftersom vissa inte kunna läsa den debattartikel som publicerades 4 augusti i SvD eftersom den är låst bakom en betalvägg lägger jag ut texten här.

Det finns flera intressekonflikter när det gäller informationssäkerhet. Så länge ­regeringen är otydlig med vad som ska prioriteras, kan inte myndigheter på egen hand förväntas klara avvägningarna. Det skriver säkerhetsexperten Fia Ewald

Nu pågår en omfattande diskussion rörande Transportsstyrelsens skandal. Den diskussion som förts efter att händelsen blivit känd har kommit att handla om allt möjligt som informationssäkerheten generellt, statliga moln med mera vilket händelsen på Transportsstyrelsen inte egentligen har någon bäring på.

Jag ser istället händelsen som ett symptom på regeringens otydlighet i it-politiken där man inte lyckas skapa en strategisk inriktning som både omfattar ­effektivitet och säkerhet. Detta skapar en kognitiv dissonans* i styrningen som jag menar är den egentliga förklaringen till varför i övrigt kompetenta och förnuftiga generaldirektörer ger sig in i huvudlösa upphandlingar av it-relaterade tjänster.

Informationshantering på samhällsnivå innebär ett antal intressekonflikter; stat kontra ­individ, slutenhet kontra öppenhet, integritet kontra övervakning och så vidare. Den i det här mest intressanta är konflikten effektivitet/ekonomi/verksamhetsnytta och ”säkerhet”. Motsägelsefullheten uppstår när intressekonflikten negligeras eller i vissa fall till och med skapas. I nuläget har regeringen å ena sidan formulerat ett antal förslag rörande att informationssäkerhet och säkerhetsskydd ska stärkas och å andra sidan imperativa budskap om ökad användning av molntjänster och om att bli världsbäst på e-förvaltning kompletterat med önskemål om att statens it-kostnader generellt bör sänkas. Till detta kommer förslaget till ny säkerhetsskyddslag som är mycket otydligt om vad som egentligen ska räknas som inverkande på rikets säkerhet.

Dessa olika intressen går inte att förena fullt ut, det vill säga staten kan inte alltid välja cloud first lika litet som dåligt avvägd säkerhet kan få förhindra verksamhet att fungera på ett effektivt och någorlunda ekonomiskt försvarbart sätt. Min uppfattning är att så länge de här intressekonflikterna inte lyfts fram, diskuteras och blir föremål för en gemensam avvägning på nationell nivå kommer myndighetsledningar att vara utsatta för motstridiga signaler där det är omöjligt att avgöra hur den egna it-verksamheten ska utformas så att den tillgodoser samtliga intressen.

I år har regeringen presenterat både en ­cyber- och informationssäkerhetsstrategi och en digitaliseringsstrategi. Ingen av dessa strategier ger såvitt jag kan se något stöd för myndigheter i hur de ska möta framtiden och hur de ska hantera de olika intressekonflikter som finns. Jag menar att dessa strategier bör få sjunka in i glömskan och ersättas av en ­offentlig it-strategi där olika intressen sammanvägs på ett strukturerat sätt.

För att kunna ta fram en fungerande strategi krävs dock en helt annan nivå på utredandet än hittills och också att man försöker hitta fungerande lösningar för framtiden och inte ägnar sig åt att lösa gårdagens frågor. Det kan visserligen finnas skäl att skapa en statlig molntjänst för lagring och att säkra upp ­datorhallar där så kallad säkerhetskänslig statlig information hanteras. Detta är dock bara dellösningar. Verkligheten idag är att alltmer offentlig information hanteras i molntjänster och dessa molntjänster erbjuder inte bara lagring utan funktionalitet som inte går att erbjuda på annat sätt. När det sägs att outsourcing/molntjänster används av ekonomiska skäl är detta en sanning med stor modifikation – de används snarare i allt högre grad för att uppnå verksamhetsnytta. Dessutom kan molntjänster, rätt upphandlade och med rätt beställarkompetens, innebära en klart förbättrad säkerhet för många verksamheter.

Medan det stormar vidare på regeringsnivå hoppas jag att pendeln inte slår över för långt, att vettskrämda politiker och generaldirektörer uppfattar outsourcing i sig som problemet och fattar beslut som leder till att vi börjar backa in i framtiden. Jag är övertygad om att outsourcing och framför allt molntjänster kommer att öka i betydelse – detta är en verklighet med en mix av egna och köpta lösningar som vi måste lära oss hantera. Det går inte heller att fokusera enbart på statlig it-verksamhet. En övervägande del av samhällsviktig verksamhet ombesörjs av landsting, kommuner och privata aktörer. Informationsflödena sker också mellan alla dessa aktörer i alltmer gemensamma infrastrukturer. Om god informationssäkerhet ska uppnås på samhällsnivå måste dessa olika aktörer samverka och utgå från samma strategiska inriktning.

I ett samhälles it-strategi måste ett vägval göras: Om det är regeringens uppfattning att det är så stora risker att använda kommersiella molntjänster att merparten av offentlig information måste hanteras i lokaler, utrustning, applikationer och tjänster som ägs av myndigheter – då måste det formuleras. Det andra alternativet är att dagens mixade verklighet ska utvecklas.

Oavsett vilket val som görs måste det finnas resurser och kompetens att hantera det valda alternativet. Detta gäller inte minst informationssäkerheten där ett säkerhetsskydd av flera anledningar inte kan utgöra svaret. ­Säkerhetsskydd bör sparas som den yttersta åtgärden för att skydda rikets säkerhet. En ­vidare tillämpning leder bland annat till ­oacceptabla inskränkningar i medborgerliga rättigheter samtidigt som säkerhetsåtgärderna som ingår i säkerhetsskyddet inte svarar mot de krav på tillgänglighet och skydd av personlig integritet som ställs inom samhällsviktig verksamhet.

Tyvärr förefaller många av förslagen som framförts hittills illa genomtänkta, såsom det ofta blir när man reagerar på en akut situation och en specifik händelse. Förhoppningsvis leder inte dessa förslag till snabba åtgärder – istället behövs ett mer analytiskt skede där en helhetsbild av den nuvarande röriga argumentationen sorteras upp. Vi bör också komma överens om att det inte finns en typ av säkerhet eller en lösning. Istället måste vi inse att ”säkerhet” är ett paraplybegrepp där många intressen måste leda fram till en mängd olika lösningar som tillsammans kan leda till ett säkrare samhälle.

För mig förefaller inte lösningarna ligga främst i att styra placeringen av utrustningen utan att på olika sätt styra informationshanteringen genom avtal, tydligt ansvar, upphandlingskompetens, organisation, mjuka tekniska lösningar och kunskap. Men den viktigaste insikten är att så länge inte regeringen ger en inriktning om hur intressekonflikterna ska hanteras kan inte myndigheterna förväntas göra det.

 

Pendelrörelser

En standardscen ur mitt arbetsliv 2010-2015: ett möte angående e-förvaltning, e-hälsa eller liknande på nationell nivå. Jag sträcker upp handen och säger något i stil med ”vi måste få in informationssäkerhet”, ”riskanalys, informationsklassning, kravställning, ansvarsfördelning”, ”den personliga integriteten är en viktig säkerhetsdimension”. Mina inlägg möts som alltid antingen med invändningar med innebörden att säkerhet motverkar verksamhetens syfte eller, i de flesta fallen, tystnad. Efter något år sa jag, aningen ironiskt, ”ni vet vad jag kommer att säga och nu säger jag det så kan ni gå vidare”. På andra möten med myndigheter med så kallat särskilt ansvar för informationssäkerhet mötte jag samma oförstående reaktioner inför de verksamhetskrav som finns bland annat inom hälso- och sjukvård. Jag kände mig som ett växelrelä mellan två världar med begränsad förståelse för varandras förutsättningar med mantrat: effektivitet och säkerhet, säkerhet och effektivitet.

Händelserna på Transportstyrelsen belyser med neon de negativa konsekvenserna av oförmågan att styra den digitala utvecklingen på ett sammanhållet sätt. Jag tänker här inte den kommentera de politiska förvecklingarna även om de är dramatiska utan istället resonera om några av de förslag som framförts på lösningar för att förhindra liknande händelser. Min huvudtes är att förslagen lider av att det saknas en tydlig problemformulering – vad är det egentligen lösningarna avhjälpa?

Säkerhetsskydd och informationssäkerhet

Det som väckt mest intresse är att det i Transportstyrelsens outsourcing ingått information som faller under säkerhetsskyddslagen. Detta är naturligtvis helt huvudlöst och jag är fortfarande förvånad över att SÄPO inte lyckades förhindra det. Att det ingått hemlig information har dock gett hela den efterföljande diskussionen en olycklig slagsida mot att all outsourcing av myndigheters informationshantering är ett säkerhetsproblem (vilket också är rätt konstigt med tanke på att privata leverantörer står för rätt stor av bland annat utrustning, fordon, konsulter o.s.v. inom t.ex. Försvarsmakten). Så är inte fallet menar jag – rätt genomförd kan outsourcing och användande av molntjänster ha en säkerhetshöjande effekt för många myndigheter. Många myndigheter har problem med att få tillräckliga resurser och kompetens för att kunna upprätthålla en rimlig it-säkerhet och då har vi ändå inte talat om kommuner och landsting. Det är också något lätt verklighetsfrämmande i att hävda det skulle vara möjligt att backa bandet och hämta tillbaka all information som idag hanteras i molntjänster som är den alltmer dominerande formen av outsourcing. Skämtsamt brukade jag redan på andra sidan decennieskiftet hävda att det förvarades mer allmänna handlingar på Projektplatsen än i Riksarkivet. Idag kan myndigheter upphandla sina kontorstjänster i form av molntjänster via Kammarkollegiet vilket också allt fler gör. Kommunal verksamhet liksom hälso- och sjukvård byggs i snabb takt på allt fler molntjänster och inte bara för traditionella it-tjänster utan även för telefoni, välfärdsteknologi o.s.v.. Vad som förbigås i den nu pågående diskussionen är att molntjänsterna inte handlar om lagring av information utan de allt oftare ersätter verksamhetssystemen. De ger också helt nya integrationsmöjligheter mellan funktioner som tidigare varit inlåsta i olika system. Min inte helt originella prognos är att ”system” på det sätt vi tänker idag inom 10 år är döda och har ersatts funktionalitet som hämtas från olika tekniska lösningar som interagerar via internet. Det leder också till att den traditionella outsourcingen som nu ägnas ett så stort intresse också kommer att få en klart minskad betydelse.

Jag som ägnat mycket tid åt att skriva om teknikskiftet inom massaindustrin på 1800-talet känner igen ett teknikskifte när jag ser ett. Historien visar ganska entydigt på att båtar föga att försöka gå emot ett sådant – det är snabb anpassning till nya förutsättningar som är den viktiga framgångsfaktorn i en sådan situation. Det gäller även för informationssäkerhetsområdet menar jag.

Om att vi nu, vilket vissa tycks mena och den förslaget till säkerhetsskyddslag antyder, skulle inkludera samhällsviktig verksamhet i det som ska falla under säkerhetsskyddslagen – vad blir konsekvenserna? Det skulle visserligen kunna förhindra outsourcing i många fall men det skulle också ett antal andra negativa konsekvenser. Den gällande säkerhetsskyddslagen gäller skyddet av information som kan påverka rikets säkerhet om den blir röjd för obehöriga. Detta är tydligt avgränsade informationsmängder som ska vara identifierade och kända för organisationen som hanterar dem. Skyddsåtgärder av både organisatoriskt och teknisk karaktär finns beskrivna och ska tillämpas oavsett kostnad eller organisationens krav på effektivitet. Det är alltså ett binärt förhållande som inte är riskbaserat – en organisations ledning har egentligen ingen egen möjlighet att påverka hanteringen och äger inte risken. Detta är motsatsen till ett systematiskt informationssäkerhetsarbete som bygger på att ledningen ska styra säkerheten genom att väga säkerhetsåtgärder i förhållande till risker för verksamheten. I det systematiska informationssäkerhetsarbetet är ekonomiska avväganden en naturlig del.

Säkerhetsskyddet utgör inte ett skydd för något annat än rikets säkerhet i bemärkelsen röjande av hemlig information för obehöriga. De säkerhetsåtgärder som stipuleras är inriktade på konfidentialitetsaspekten och till viss del på någon slags robusthet. Om man ser på samhällsviktig verksamhet så är kravbilden helt annorlunda med exempelvis höga krav på tillgänglighet, spårbarhet och riktighet. I den allmänna röran har även uppgifter om skyddade personuppgifter, skydd för den personliga integriteten och säkerhetsskydd förekommit i samma andetag. Det är då viktigt att förstå att säkerhetsskyddet inte avser skydd för den personliga integriteten.

För mig förefaller det märkligt att det finns en önskan om att devalvera betydelsen av rikets säkerhet. Som SÄPO påpekar i sin vägledning angående säkerhetsskydd finns det ingen legal definition av ”rikets säkerhet” men det får ändå sägas att det får vara rätt rejäla saker för att uppfylla kraven:

Någon legaldefinition av begreppet rikets säkerhet finns inte. Rikets säkerhet kan dock sägas avse såväl den yttre säkerheten för det nationella oberoendet som den inre säkerheten för det demokratiska statsskicket.

Det är alltså det nationella oberoendet respektive det demokratiska statsskicket som är det egentliga skyddsobjektet. Merparten av samhällsviktig verksamhet kan knappast sägas nå upp till den nivån mer än i enskildheter. Däremot har man mycket stora behov av informationssäkerhet men det är en annan fråga. Jag menar att säkerhetsåtgärderna på den yttersta nivån som säkerhetsskyddet innebär måste sparas till det syfte som de är avsedda för i annat fall kommer säkerhetsskyddet i sin helhet att urholkas. Det är en generell erfarenhet att säkerhetsåtgärder som inte kan motiveras löper en stor risk att kringgås och då får man en situation med en fiktiv säkerhet vilket kanske är den mest svårhanterliga situationen av alla.

Låt oss ändå leka med tanken att säkerhetsskyddsåtgärder börjar tillämpas i en vidare omfattning, typ för information som är ”känslig” eller samhällsviktig. Det skulle ju i så fall inte bara påverka outsourcing utan även myndigheternas interna verksamhet. Yippie – bort med de kreativa flexikontoren! Men också bort med de smidiga molntjänsterna och de resefria mötena. Och hur vård och omsorg ska klara sig är en gåta, ska varje enstaka server i den nationella infrastrukturen utformas som enligt SÄPO:s krav, ska all vårdpersonal klassas? Bäva månde de redan hårt prövade patienterna.

Önskan att vilja utvidga säkerhetsskyddet så att det även ska kunna tillämpas för att skydda det som ligger utanför det som definieras som rikets säkerhet är förståelig. Har man en hammare så ser allt ut som spikar eller hur det nu brukar heta. I ny situation griper man ofta efter det man har till hands och just nu verkar tanken på ett utvidgat säkerhetsskydd vara en tröst för många. Jag menar att detta är en lösning som är en tankevurpa vilket jag skrivit ett längre blogginlägg om apropå förslaget till nu säkerhetsskyddslag . Istället bör det upprätthållas en distinkt gräns mellan säkerhetsskydd och systematiskt informationssäkerhetsarbete med verksamhetsinriktning. Likaså bör en tydlig linje gå mellan säkerhetsskydd och samhällsviktig verksamhet.

I detta fall borde problemformuleringen vara: vi har ett stort antal offentliga och privata verksamheter som har ett stort behov av att förbättra sin informationssäkerhet. Vissa av verksamheterna, exempelvis inom vård och omsorg, har kanske de mest komplexa kraven på informationssäkerhet över huvud taget i samhället.  På dessa krav är inte säkerhetsskydd en lösning. Istället måste det byggas upp stöd för att dessa verksamheter ska kunna bygga upp ett systematiskt informationssäkerhetsarbete som motsvarar deras behov. Stödet måste vara utformat så att det kan hantera den snabba tekniska och organisatoriska utvecklingen samt integrera i strukturer där många aktörer samverkar. Ansvarsförhållandena för informationshanteringen och informationssäkerheten måste vara närmast övertydliga.

Statliga molntjänster

Andra har vädrat morgonluft och fört fram den nygamla idéen att Statens servicecenter ska få uppdraget att skapa en statlig ”molntjänst” eller kanske infrastruktur. Låt mig redan här säga att jag inte är kategoriskt emot statlig samordning eller inte ser problemet med att staten outsourcar stora informationsmängder till privata aktörer. En fråga jag bevakat är exempelvis Hälsa för mig där jag senast uttalade mig i DN tidigare i år. Däremot är jag inte övertygad om att storskalig statlig datadrift är lösningen på de problem som bör prioriteras. Dessutom ser jag ett antal frågeställningar som måste hanteras om en statlig ”molntjänst” ska bli en framgång ens för statlig verksamhet.

I Statens servicecenters rapport från februari är det endast lagring och datakraft som ska erbjudas. Eller som generaldirektören säger i en DN-artikel:

– Jag sa till regeringen att: bilda tio stycken stora datacentraler där vi lägger in servrarna. Vi föreslog helt enkelt en statlig molntjänst som skulle innebära att staten äger datahallen och servrarna, säger Thomas Pålsson.

I samma artikel uttalar sig civilminister Ardalan Shekarabi på detta något enigmatiska sätt:

I stället vill Shekarabi bygga upp en gemensam struktur för de mest säkerhetskänsliga myndigheter.

– Så att vi kan insourca verksamheter. Det är det som är i pipeline just nu, säger han.

– Då handlar det om att gemensamt bygga upp en verksamhet så att man kan insourca det man har outsourcat. Så att man minskar behovet av att outsourca. Helst ska man inte outsourca.

Ministern påpekar dessutom att den rapport som Statens Servicecenter lämnat där de vill ta hand om myndigheters information ”saknar säkerhetstänk”. Precis nu (torsdag den 27 juli) ger Shekarabi ett uppdrag till PTS att ta fram en modell för säkra it-utrymmen för säkerhetskänsliga myndigheter.

Frågorna hopar sig. Att Statens Servicecenter vill utöka sitt uppdrag är tydligt men exakt vad är det man vill erbjuda? Det ministern verkar avse är någon slags gemensam datacentral för säkerhetskänsliga myndigheter vilka dessa nu är. Min bedömning är att det som i detta skulle kunna vara en vettig och framkomlig väg är att skapa en gemensam infrastruktur för information som faller under säkerhetsskyddslagen eftersom det ställer så sära tekniska och organisatoriska krav. Den skulle dock knappast vara lämplig att lägga hos Statens Servicecenter.

Jag ställer mig däremot tveksam till fördelen med att staten skulle skapa en egen molntjänstleverantör (eller om det nu är sourcing man egentligen avser) för en bredare målgrupp även om jag kan se behovet hos särskilt mindre myndigheter (egendomligt nog bygger Statens servicecenters utsagor när det gäller behov på intervjuer med de 15 största myndigheterna). I Statens servicecenters rapport framgår inte hur en statlig leverantör skulle vara konkurrenskraftig i förhållande till stora it- och molntjänstleverantörer och innehåller inte heller ekonomiska beräkningar som stödjer det caset. En inte helt oviktig faktor är den svårighet att rekrytera rätt och tillräcklig kompetens till en statlig it-leverantör. Det gäller inte bara effektivitet utan även säkerhet. Min högst subjektiva uppfattning är att kompetensen och den möjliga leveransen hos de kommersiella leverantörerna ligger rätt långt över vad statliga myndigheter kan leverera. Problemet är att staten generellt inte är bra beställare, särskilt inte inom säkerhetsområdet.  Risken är alltså att myndigheterna får sämre och dyrare lösningar. Här tror jag att det finns viktiga erfarenheter från Kommundata som var it-leverantör åt kommunerna under en period under 90-talet.

Den aspekten blir ännu mer akut när man tänker på vad som ska levereras.  Det som Statens servicecenter kallar molntjänster är lagring och datakraft men det är inte den typen av ”primitiva” molntjänster som kommer att dominera i myndighetsvärlden. Det är sammanväxta lösningar av kommunikation, samarbetsytor, planeringsstöd och ärendehantering som på sikt kan komma att ersätta ett antal verksamhetssystem. Dessa lösningar kommer endast att vara tillgängliga som molntjänster och att Statens Servicecenter ska kunna ta fram likvärdiga produkter som exempelvis Microsoft finner jag tämligen osannolikt.

Det är också välkänt att det är svårt för staten att vara leverantör åt staten – detta har varit ett återkommande tema i e-förvaltningsarbetet. Eftersom statliga myndigheter inte kan sluta avtal med varandra har kundmyndigheterna betydligt svagare ställning i förhållande till en systermyndighet än till en kommersiell leverantör. Det visade sig också under Statens Servicecenters första tid när myndigheter var skyldiga att överlåta bland annat lönehantering till servicecentret men inte hade reella möjligheter att genomdriva sina säkerhetskrav. Vilket leder över till ett annat, som jag ser det, avgörande principiellt problem, nämligen vem som har ansvar för den information som lagras hos en servicemyndighet. Jag hävdar att det är informationsägaren, det vill säga kundmyndigheten, som har ansvar för att informationen hanteras med tillräcklig säkerhet. Detta ansvar går inte att uppfylla om man inte kan skriva bindande avtal med sin leverantör. I denna oklarhet i ansvar ligger en mycket stor risk som visserligen delvis skulle kunna hanteras genom en professionell struktur av skyddsnivåer som kunden kan välja mellan, detta räcker dock inte. Sannolikheten att kärnverksamhetens säkerhet börjar styras från servicemyndigheten men att ansvaret ligger kvar hos kundmyndigheterna är överhängande. Det är verkligen att sätta vagnen framför hästen och skapar ytterligare en dimension av oklarhet i ansvar. Om det blir ett informationsläckage eller om bristande tillgänglighet i myndighetsinformationen leder till skada för tredje man vems är då ansvaret? När internationella jämförelser görs glömmer man ofta bort den svenska förvaltningsstrukturen med självständiga myndigheter med eget ansvar. Det här är en fråga som måste klarläggas även legalt liksom kundmyndigheternas möjlighet att styra så att inte samkörning görs av olika myndigheters information. Sett ur ett integritetsperspektiv förefaller idag privata leverantörer ha ett större intresse för att skydda enskildas integritet än myndigheter vilket måste ses som risk då större mängder information ska sammanföras från olika myndigheter.

Ett annat problem med den här typen av lösningar är den vertikala integrationen där staten både är kund och leverantör. Som kund vill man ha maximal output, som leverantör vill man ha maximal intäkt. I offentlig verksamhet leder detta ofta till stora svårigheter i styrningen eftersom man hamnar i ingenmansland mellan intäkts- respektive budgetfinansiering. Även här finns lärdomar från Kommundata men också Inera och dess föregångare i landstingsvärlden. Resultatet blir negativt och oförutsägbart för kunden eftersom man inte kan styra genom att välja en annan leverantör men samtidigt inte har makt över monopolleverantören.

Min mest avgörande invändning är dock att det idag inte går att avgränsa informationshanteringen till att vara ”statlig”. Myndigheter, kommuner, landsting och privata aktörer samverkar allt mer integrerat och frågan är då vad som ska hanteras i det statliga molnet. Ska även privata aktörer som utför uppdrag åt staten ingå? Ska kommuner som utbyter information med Försäkringskassan ingå? Hur stort ska det statliga molnet egentligen bli? Och, slutligen, jag tror inte de största riskerna idag ligger hos de statliga myndigheterna utan hos kommuner och landsting som både står för merparten av den samhällsviktiga verksamheten och ofta har sämst möjligheter skapa säkra lösningar. Med en dåres envishet upprepar jag att detta är vad som borde prioriteras framför allt annat.

Det var ju inte särskilt konstruktivt

Medan det stormar vidare på regeringsnivå hoppas jag att pendeln inte slår över för långt, att vettskrämda politiker och generaldirektörer uppfattar outsourcing i sig som problemet och fattar beslut som leder till att vi börjar backa in i framtiden. Jag är övertygad om att outsourcing och framför allt molntjänster kommer att öka i betydelse – detta är en verklighet med en mix av egna och köpta lösningar som vi måste lära oss hantera.

Jag kommer ihåg när jag på tidigt 1990-tal besökte en liten vårdcentral som vi kan kalla Söpple VC för att se över informationshanteringen. En läkare pekade på vårdcentralens dator som satt fastspänd under skrivbordet på det där sättet som kanske inte alla kommer ihåg. Han sa: ”Nu vill de ta datorn ifrån oss och ha vår information i distriktets datorhall, hur ska jag då kunna skydda mina patienter?” Hans fråga är lika relevant idag som då efter att informationen förflyttas från den enskilda datorn till distriktets datorhall, till landstingets datorhall, till nationell nivå och nu till molnet. Det är vår uppgift som säkerhetsmänniskor att ge svaret på den frågan. Vi har inte lyckats särskilt bra i tidigare skeden med tanke på hur det ser ut, därför bör vi mobilisera på ett konstruktivt sätt nu.

Det vore bra om vi innan vi går vidare kan enas om att avvägningen mellan effektivitet och säkerhet inte är en enkel fråga utan det finns reella intressekonflikter som måste hanteras. Vi bör också komma överens om att det inte finns en typ av säkerhet eller en lösning. Istället måste vi inse att ”säkerhet” är ett paraplybegrepp där många intressen måste leda fram till en mängd olika lösningar som tillsammans kan leda till säkrare samhälle.  Och som sagt: vi måste bli mycket duktigare på att problemformulera för att kunna hitta rätt lösningar. För mig förefaller inte lösningarna ligga främst i att styra placeringen av utrustningen utan att på olika sätt styra informationshanteringen genom avtal, upphandlingskompetens, organisation, mjuka tekniska lösningar och kunskap. Jag utlovar att i ett senare inlägg återkomma till mer konkreta förslag.