Distansarbete och informationssäkerhet under coronapandemin

Jag blev ombedd att vara med som expert i en chattpanel rörande den nu så aktuella frågan distansarbete. Det blir ju litet fragmentariskt när man svarar på inkomna frågor så jag tänkte ta tillfället i akt och sammanställa några rekommendationer rörande distansarbete. Den organisation som tagit fram (samt övat) en fungerande kontinuitetshantering och dessutom tagit fram regler för distansarbete i normalläget har naturligtvis ett stort försprång nu. För de som inte fokuserat på detta är det en längre väg att gå men då gäller det att man är på rätt väg innan man börjar gå. Utgångspunkten för nedanstående rekommendationer är att det är verksamhetens processer som ska upprätthållas. För processerna är informationen en central resurs. Informationen och organisation i centrum alltså medan it-säkerheten blir den följd av de krav som verksamheten ställer. Jag tar inte upp ergonomi eller vikten av gemensamma kaffestunder. Målbilden är att kunna arbeta lika säkert på distans som på den ordinarie arbetsplatsen.

  1. Skapa en insikt om att i nuvarande läge kommer inte all verksamhet att kunna upprätthållas utan en prioritering måste ske. Har man kontinuitetsplanerat kan man använda den prioritering av processer som redan gjorts (även om det kan behövas en liten analys för att se om tidigare prioritering fortfarande är relevant. Om kontinuitetshanteringen inte finns på plats måste ledningen göra en prioriteringen av vilka processer/funktioner som måste fungera.
  2. När prioriteringen bör en snabb processkartläggning göras för att identifiera vilken information som stödjer processen samt hur informationen hanteras, d.v.s. vilka system, tjänster eller andra bärare som telefoni och papper som används. Därefter görs en informationsklassning/riskanalys för att fastställa säkerhetskrav. Även detta bör ske enligt prioriteringen så att de mest tidskritiska processerna/funktionerna tas först.
  3. It får i uppgift att gå igenom hur befintliga lösningar kan användas för distansarbete utifrån  klassningen/riskanalyserna och kontrollera it-säkerheten i dessa lösningar. I detta ligger även att bedöma om åtkomst och kommunikation vid distansarbete kan ske på ett tillräckligt säkert sätt. Om it-säkerheten bedöms som för låg i befintliga lösningar föreslås alternativa lösningar där så behövs. Om det finns en stor kvarstående risk måste ledningen få möjlighet att acceptera risken alternativt säga att den är oacceptabel vilket kan leda till att nya lösningar arbetas fram eller så bedömningen att distansarbete är olämpligt för den aktuella aktiviteten.
  4. Börja planera och bemanna en supportfunktion som är avpassas till hur många som förväntas distansarbeta och se till att supporten finns när medarbetaren behöver hjälp. Att inte få support i en ny arbetssituation leder ofelbart till att många kommer att göra fel, gena, hoppa över säkerhetsåtgärder. Bristande support är därför ett garanterat säkerhetsproblem.
  5. Kommunicera redan från början och slarva inte med sådana frågor som att det är ledningen som tar ansvar för helheten och de åtgärder som ska vidtas. I kommunikationen bör även ingå signaler som kan leda till en positiv säkerhetskultur som att det är viktigt att medarbetare är observanta på att det kan uppstå nya risker och att det finns en tydlig punkt att rapportera detta till. Det vill säga visa respekt för medarbetarna och se dem som en resurs i säkerhetsarbetet!
  6. Ta fram über-tydliga instruktioner till medarbetarna där det bland annat framgår:
    – att samma säkerhetsregler ska användas hemma som jobbet, exempelvis att alltid låsa datorn när den är obevakad
    – hur pappersdokument ska hanteras
    – vilken typ av information som kan ses som extra känslig, exempelvis känsliga personuppgifter och känslig företagsinformation
    – att arbetsgivarens utrustning bara får användas för arbetsändamål
    – att privat utrustning inte får användas för att hantera arbetsgivarens information
    – att telefonsamtal bör ske på ett skyddat sätt
    – vilka verktyg som ska användas
    – hur de ska användas
    – att verktyg som inte godkänts av arbetsgivaren inte får användas (dubbel negation, jag vet)
    – vem som ska kontaktas för support
    – vem som ska kontaktas för säkerhetsrelaterade frågor
    – hur incidenter ska rapporteras
  7. När man kan räkna med att distansarbetet blir långvarigt bör även den fysiska säkerheten gås igenom. Det kan handla om att skaffa skåp med tillräcklig säkerhetsnivå för vissa medarbetare eller att se över det yttre skalskyddet i vissa bostäder där känslig information ska hanteras.
  8. Skapa rutiner för uppföljning där ni minst en gång i veckan går igenom hur säkerheten vid distansarbetet fungerar, om vidtagna åtgärder fallit ut som ni hoppats eller om det finns anledning att förbättra skyddsåtgärder, om ni upplever att medarbetare fått tillräckligt bra information och om det inträffat incidenter. Uppföljningen bör rapporteras till ledningen.
  9. Planera för uthållighet. De säkerhetsåtgärder som vidtas i samband med distansarbete måste planeras för längre tid och det kan vara bättre att ha en mer långsam uppbyggnad för att få en långsiktigt väl fungerande lösning än att göra quick fixes som snabbt måste ersättas till allmän irritation och med medföljande säkerhetsrisker. En fråga som tål att ställas är om verksamheten verkligen är så tidskritisk som man tror särskilt i rådande läge då ingenting riktigt fungerar som vanligt. Att slippa stressa fram lösningar leder alltid till bättre kvalitet och oftast bättre ekonomi.
  10. Försök att använda det påtvingade säkerhetsarbetet som måste göras till följd av pandemin som en resurs för framtiden. Skapa säkerhetslösningar och en säkerhetskultur som förbättrar säkerheten även i det normalläge som vi förhoppningsvis snart ska återgå till.

Skriften och minnet

Jag ska nu framföra den något inopportuna åsikten att det dokumenteras för litet i organisationerna. Inopportun eftersom vi fortfarande lever i en tid med oändlig övertro på fragmentiserade mätvärden, checklistor, matriser och inkodande, väl skildrat här. Huvudsak blir bisak och frågan är allt oftare för vems skull allt detta registrerande sker, kanske inte för patienten eller eleven utan för att försörja något multinationellt företags omätliga begär efter data?

Det är inte denna typ av dokumentation jag skriver om här utan snarare när matriser ersätter resonemang och utvecklade bedömningar. För att ta informationssäkerhetsområdet som ett exempel ser jag som regel snarare än undantag informationsklassningar och riskanalyser vars värde kan ifrågasättas, särskilt i det längre perspektivet. Det som återstår efter timmar av nedlagd arbetstid och noggrann analys är alltför ofta en matris eller ett excel-ark utan förklaringar. Deltagare eller roller som ingått framgår inte och inte heller hur resultatet ska hanteras. Men mest saknas på vilka grunder bedömningen gjorts. Att arbeta på det här sättet är som att skriva i vatten.

Skrivandet, när det sker på ett beständigt sätt, är i sig ett stöd för tanken. Medan man skriver formulerar man sina tankar, utvecklar och förtydligar, hittar svagheter, gör synteser och lägger grunden för kommunikation. Man skapar förutsättningar för en diskussion som vaskar fram de bästa praktiska lösningarna.

Både informationsklassningar och riskanalyser ska naturligtvis ske återkommande. En väl dokumenterad tidigare klassning eller riskanalys är ovärderligt stöd då proceduren ska upprepas. Istället för att börja från noll kan man gå igenom vilka faktorer som kvarstår eller ändrats, om man fått fördjupad kunskap som påverkar bedömningarna, om åtgärder vidtagits som påverkar risken eller om lagstiftning tillkommit för att ta några exempel. Utan bra dokumentation kommer inte ens de som deltagit i den förra övningen hur diskussionen gick, än mindre de som kommer till.

Att det organisatoriska minnet skapar effektivitet är en sak. Ytterligare en är att dokumentationens syfte inte enbart är att kommunicera utan det är också ett sätt att aggregera kunskap inte bara i enstaka situationer utan genom att skapa ett större kunskapsunderlag som kan återanvändas i nya situationer. Detta bör även ses som en del i organisationens generella riskarbete. Det skrivna ordet är vår kapsel för kunskap vilket även går att översätta till mänsklighetens utveckling.

Låt mig ta ett sista argument för bättre dokumentation och organisatoriskt minne, nämligen att det är verktyg för att skapa ett sammanhang för de som arbetar i organisationen. En fullödig dokumentation lägger fram de rationella skälen till gjorda bedömningar och motiverar i förlängningen säkerhetsåtgärder. Detta leder till en positiv säkerhetskultur kan växa fram där det är naturligt att samtala om säkerhet och där det är tillåtet att ifrågasätta säkerhetsbedömningar. Den som arbetar med säkerhet behöver inte känna sig pressad och defensiv när någon frågar varför ett visst tillvägagångssätt ska tillämpas eftersom det finns mer än siffra att bygga sin motiverande argumentation på.  KASAM, känslan av sammanhang, var ett begrepp som myntades av  sociologen Aaron Antonovsky på 1960-talet och innebär i korthet att om omvärlden ter sig begriplig, hanterbar och meningsfull så har du lättare att hantera svåra situationer. Jag menar att det organisatoriska minnet är en betydelsefull del i om vi upplever kasam eller inte på vår arbetsplats. Bättre rutiner för att ta fram och återanvända meningsfull dokumentation ökar vår förmåga att känna delaktighet och motverkar stress. Detta är inte på något sätt oväsentligt i dessa dagar då allt fler mår dåligt på jobbet.

Se alltså detta inlägg som en plädering för att skriva bättre och läsa mer. Den som känner sig osäker i sitt skrivande måste få öva, öva, öva och att skriva bra bör uppvärderas och ses som en omistlig kompetens för den som arbetar med informationssäkerhet.

Vad kan vi lära av den falska officeren?

Jag har grubblat en hel del över den falske officeren som i hägn av den svenska försvarsmakten lyckades ta sig ända in i Natos högkvarter.  Som en bakgrund kan sägas att jag aldrig arbetat inom Försvarsmakten men varit i nära kontakt med representanter för myndigheten i olika sammanhang, inte minst då jag arbetade på MSB. Dessutom gav utbildningen till signalskyddschef som jag genomgick för många år sedan en inblick i Försvarsmaktens syn på säkerhet.

Tillåt mig att framföra några obekväma iakttagelser som helt baserar sig på uppgifter i media. Min egen upplevelse har varit att representanter från Försvarsmakten har självbilden att säkerheten i denna verksamhet är mycket bättre både vad gäller omfattning och kvalitet än den som den civila världen lyckas leverera. Denna bild förefaller som så självklar att den aldrig ens diskuteras och påverkar även verksamheter utanför Försvarsmakten. Det går ofta så långt att man vill exportera de säkerhetslösningar som tillämpas inom försvaret till andra delar av samhället. Själv har jag ofta reflekterat över huruvida Försvarsmaktens (och säkerhetsskyddets) lösningar verkligen är ”bättre” än civila respektive kommersiella dito samt om de över huvud taget är möjliga att implementera i en mindre styrd miljö än Försvarsmaktens. Skillnaderna mellan mål, organisation, kultur och teknik är så i grunden olika varandra att jag betvivlar att en rak export från Försvarsmakten är vare sig möjlig eller önskvärd. Tvivlet har förstärkts av den attityd som kan finnas hos de som kommer från det gröna hållet, en viss överlägsenhet och ovilja att ta till sig att andra mål och medel är centrala i det civila livet. Vid ett antal anställningsprocesser har jag också varit med om att militärer ansett sig lämpade som informationssäkerhetsspecialister i det civila trots att de saknat erfarenhet både från den rekryterande verksamhetens bransch och av informationssäkerheten. Att ha jobbat i Försvarsmakten har varit en tillräcklig merit för dessa sökande. Eftersom min grundprincip för säkerhetsarbete är att säkerheten måste anpassas till de unika förutsättningar som råder i varje organisation har denna inställning förefallit missriktad för den som vill förbättra säkerheten. Det behöver kanske inte tilläggas att representanter för den hållningen inte skapar förutsättningar för en givande diskussion med respekt från båda håll.

Vart vill jag då komma med dessa anekdotiska grundade beskyllningar sammanförda med skandalincidenten den falska officeren? En del är min egen förundran över att en verksamhet med ovanstående rykte och självbild som ”säkerhetsexperter” hamnat i en säkerhetsskandal som enligt min mening faktiskt slår den i Transportstyrelsen. Här har man gett en uppenbart opålitlig person fått en säkerhetsklassad tjänst på Must, fått samordna signalskyddstjänsten och haft tillgång till kryptonycklar! Därefter har utlandstjänster med mera följt, också dessa tjänster med reella möjligheter att åstadkomma stor skada. Slutligen blev han även en av Kustbevakningens kontaktpersoner för den ryska säkerhetstjänsten FSB. Sammantaget en karriär med potentiell tillgång till mycket känslig information under ett par decennier.

Lustigt nog förekommer samma kommentarer från Försvarsmakten och Must som från Transportstyrelsen där man vill reducera allvaret i händelsen genom att hävda att inget tyder på att någon skada är skedd. Dessutom sägs att rutinerna för säkerhetskontroller skärpts de senaste tio åren. Båda dessa defensiva kommentarer är problematiska menar jag. Det förefaller svårt att på någon månad  grundligt reda ut eventuella skadeverkningar av ett bedrägeri som vad jag förstår av media pågått i ett par decennier och dessutom i mycket känslig verksamhet. Sakförhållanden borde föranleda en mycket  större utredning med tanke på hur länge han varit där och hur kort tid som Försvarsmakten känt till förhållandena. För mig som okunnig utomstående borde bara vetskapen om de insiderjobb Wennerström och Bergling genomförde framkalla frossa och en oerhörd iver att verkligen ta reda på vad som hänt. Kanske sker också detta i det tysta men den till synes obekymrade hållningen i media inger inte förtroende. Argumentet att säkerhetskontrollerna blivit så mycket bättre på senare år motsägs av att bedragaren under just de senaste åren manövrerat sig mellan olika känsliga positioner ända fram till Nato. Det tyder inte på att noggranna kontroller gjorts.

Att verifiera de uppgifter en sökande lämnar vid ansökningsförfarandet uppfattar jag ändå som en slags basnivå. I min okunnighet förfaller det som en relativt enkel uppgift när det gäller officerstjänster. Den aktuella bedragaren hade ljugit om akademiska studier vilket är en sak. En annan att han uppgivit att han genomfört officersutbildning vilket är en lögn som är mycket svårare att förstå att han lyckades slå i sina arbetsgivare. När ett företag eller myndigheter ska anställa finns det ofta bokstavligen hundratals möjliga studiemeriter med utländska universitet inräknade. Försvarsmakten har däremot en potentiell totalkoll på inflödet till officerstjänster, de kontrollerar ju den enda möjliga meriten. Det finns mig veterligen inga alternativa eller privata officersutbildningar. Att då någon ändå slipper igenom är högst förvånande. När falska läkare avslöjas går det snabbt att kontrollera mot Socialstyrelsens förteckning över vilka som är legitimerade. Då finns det ändå c.a. 42 000 läkare jämfört med c.a. 9000 yrkesofficerare vilket borde vara litet enklare att hålla reda på.

På sociala medier har jag fått upplysningen av mer insatta i branschen att det här sannolikt är ett fall av vad som kallas ”bäste bror”. Jag tolkar det som en kåranda där man av rädsla att uppfattas som ifrågasättande av en officerskollegas kompetens eller heder underlåter att genomföra de rutinkontroller som beslutats. Kanske känns det pinsamt att fråga någon som man borde känna utan och innan vad de egentligen har för formella meriter. I en så liten yrkesgrupp som 9000 officerare kan naturligtvis en sådan tendens förstärkas.

Det känns inte som detta är förklaringen till varför Försvarsmakten inte reagerade när det fick uppgifterna från Kustbevakningen om de fynd myndigheten gjort angående ”officerens” meriter. Det är bara obegripligt för en utomstående att den informationen inte ledde till omedelbara åtgärder. Faktiskt känns det som det hela kunna fortgå än om inte Dagens Nyheter uppmärksammat det hela och ställt de frågor som fortfarande i stort är obesvarade.

Vad kan vi lära av detta när det gäller säkerhet i allmänhet, förutom att pressen gör ett viktigt renhållningsarbete när myndigheterna själva inte klarar av det? Min första tanke är hur svårt det är att få till en fungerande säkerhet. Även om säkerhetsarbete alltför ofta framställs som enkelt att genomföra bara man följer de rätta ”mallarna” känner jag och troligen många andra som arbetat i praktiken en stor ödmjukhet inför uppgiften. Det är så mycket som inte står i manualerna, det är så många procedurer som ska fungera, det är så många människor som ska tänka, känna och göra rätt. Och det räcker inte att det fungerar en gång, det ska fungera åt efter år. I det aktuella fallet är det ju de i allmänhet så hånade ”medarbetarna” som slarvat utan de som gjort säkerhetskontrollerna (eller borde ha gjort) måste ju vara människor med utpekat säkerhetsansvar. Även detta kan jag på någon nivå förstå, att det känns fånigt och pinsamt att be någon man kanske jobbat ihop med länge presentera formella meriter och sedan dessutom kontrollera dessa merithandlingar som är utfärdade av i princip den egna arbetsgivaren. En hel del säkerhetsarbete är ”going through the motions”, att man utan större engagemang utför repetitiva kontroller och hur frestande är det då inte att gena litet grann. Den uthållighet som krävs här underskattas ofta.

Det är (relativt) lätt att besluta som säkerhetsregler men det blir en stor säkerhetsrisk om de regler som beslutats av olika anledningar inte tillämpas. Orsakerna till att reglerna inte efterlevs är många, vi behöver inte gå in på dem alla, här vill jag bara peka på den situation som kan uppstå när alla låtsas som att reglerna fungerar fast alla egentligen vet att det fuskas. En sådan säkerhetsmässig potemkinkuliss är en större risk anser jag än en beslutad lägre säkerhetsnivå som faktiskt  fungerar. Nu menar jag inte att det i det aktuella fallet fanns ett alternativ utan detta är mer en reflektion efter de senaste årens säkerhetshausse där många organisationer har beslut och styrande dokument som anvisar säkerhetsåtgärder som det i realiteten finns ambition att införa. Kort sagt: verklig säkerhet trumfar fantasier! För mig som arbetar med säkerhet är det en viktig uppgift att i dialog med ledningen för den aktuella organisationen bedöma vilken säkerhet som går att införa och vilka risker som olika alternativ innebär.

Det sämsta alternativet är när ledningen har uppfattningen att allt är hunky dory och att organisationen har en väl fungerande säkerhet medan verkligheten är en helt annan. En sådan ledning kan ha mycket svårt att hantera situationer där stora brister uppdagas eftersom det strider helt mot deras verklighetsuppfattning. Hypotetiskt skulle man kunna tänka sig hur svårt det var för Försvarsmaktens ledning att ta in att man huserat en bedragare i det allra känsligaste i ett par decennium utan att detta upptäckts. Lika hypotetiskt kan man då förstå att detta kan leda till beslutsångest och oförmåga att agera trots att korten ligger på borden, som när Försvarsmakten fick information av Kustbevakningen och inte tycktes kunna hantera den. Jag tror helt enkelt att det är farligt att vara alltför övertygad om att man per definition är bra på säkerhet. Att vara bra på säkerhet är att ständigt ompröva och vara medveten om alla brister som hela tiden finns oavsett vilka insatser som görs.

Ytterligare en tankeställare ligger i att skandalen inte skulle ha upptäckts om inte DN lagt ner omfattande insatser på att gräva och gräva. Att seriösa media är en förutsättning för icke-korrupta myndigheter är en slutsats man kan dra, en annan att det saknas interna funktioner som säkerställer compliance på ett effektivt sätt. Det är inte så att jag vill måla f-n på väggen men jag tror att rätt många nu grubblar hur många andra som kunnat slinka in i systemet om kontrollerna är så obefintliga.

Nu har vi ett exempel på hur illa det kan gå. Det bästa vi kan göra med det exemplet att återkommande hålla upp det framför oss och ställa frågan: kan det hända även här? Och sedan försöka svara ärligt på det.

 

Tillägg 2020-02-05: Nu visar det sig att anställda själva kunnat lägga in sin meriter hos Försvarsmakten utan att kontroll skett hos arbetsgivaren. Ganska häpnadsväckande.

 

Finns det en informationssäkerhetskultur?

Som jag litet surt påpekat några gånger är kunskapsgrunden för informationssäkerhetsarbetet påfallande svagt. Det är därför en händelse av stort intresse när en ny forskningsantologi inom informationssäkerhetsområdet publiceras som nu då Informationssäkerhet och organisationskultur presenteras. Än mer så när den är inriktad på organisation och inte enbart teknik som den övervägande del av de svenska forskningsinsatser varit.

Antologin bygger på resultatet från ett antal olika forskargrupper som finansierats av MSB i ett femårigt forskningsprogram relaterat till frågor om informationssäkerhetskultur. I programmet genomfördes en omfattande enkätundersökning som använts av flera av de ingående forskningsgrupperingarna.

Att det är ett konglomerat av olika discipliner som deltagit är både en styrka och en svaghet i antologin. Styrka eftersom det ger en i delar ny och intressant belysning av informationssäkerhet, svaghet då den röda tråden i antologin känns väl tunn och att det mer har handlar om paketering än en reell knytning till just säkerhetskultur. Att det inte är ett inarbetat forskningsområde visar sig också i att den litteratur som använts i förvånande hög grad är utgiven för tio år sedan eller mer.

Först två allmänna reflektioner efter genomläsning. För det första beskrivs informationssäkerhet påfallande ofta direkt och indirekt som en statisk entitet, d.v.s. på ett icke-relationellt sätt, som här t.ex:

Informationssäkerhetskultur kan vara bra såväl som dålig. Den är bra om den gynnar informationssäkerheten.

Jag menar att informationssäkerheten inte är ett värde i sig utan att det är organisationens intressen som ska gynnas av informationssäkerhetskulturen, d.v.s. att den goda informationssäkerhetskulturen stödjer organisationen i att identifiera sitt behov av olika informationssäkerhetsåtgärder.

Den andra reflektionen är den i mitt tycke en övertro på regelstyrning. I några av inläggen framstår det som att informationssäkerhetskulturens främsta och möjligen enda uppgift är att motivera medarbetarna att följa regler. Med erfarenhet från att vara informationssäkerhetsansvarig alternativt konsult i rätt många organisationer har jag upplevt att det stora behovet av säkerhetskultur är att den lägger grunden för en dialog om informationssäkerhet. Verksamheten måste vara involverad eftersom det är den som känner de egentliga behoven av säkerhet men behöver hjälp med att kanalisera dem och över huvud taget definiera dem som säkerhetsrelaterade. I detta är exempelvis verksamhetens förmåga och intresse av att uppmärksamma risker och kommunicera dem. Och när det gäller styrningen är det också aningen förvånande att ledarskap inte diskuteras – när organisationskultur i allmänhet brukar ses som i en nära samvariation med ledarskap. Här tänker jag inte enbart på det generella ledarskapet i en organisation. Minst lika viktigt är det ledarskap som de som arbetar med informationssäkerhet utövar både nationellt och i sina respektive organisationer. Min uppfattning, som saknar vetenskapligt belägg, är att detta ledarskap fortfarande är starkt präglat av en patriarkal kultur hämtad från en militär-polisiär tradition som är illasittande i de flesta moderna organisationer. Detta kommer ytterligare att förstärkas när Metoo-revolutionen, som inte bara handlar om sextrakasserier utan även manligt maktmissbruk bland annat på arbetsplatser, rullar vidare.

Några av inläggen läser jag med känsla av: var det inte mer? Det är inte sååå upphetsande med en slutsats som att tjänstemän som arbetar i regelföljande organisationsklimat anammar informationssäkerhetsregler bättre än tjänstemän i organisationer utan detta klimat. Eller att informationssäkerhetskulturen gynnas av att ledningen uttrycker att informationssäkerhet är en viktig fråga för organisationen (även om detta ändå touchar ledarskapsfrågan som jag tidigare skrev att jag saknade).

I andra fall blir jag uppriktigt förbryllad. Avsnittet om ”praktikanpassad informationssäkerhetspolicy” blandar alla nivåer av styrande dokument på ett sätt som jag som strukturfascist känner mig ytterst obekväm med. Bara att skriva informationssäkerhetspolycier i plural …  Ett annat exempel som leder grubbel är detta:

Historiskt sett baseras informationssäkerhetsarbetet på tre tekniskt orienterade principer: sekretess, riktighet och tillgänglighet.

Författarna vill komplettera dem med ”organisatoriskt orienterade och beteendebaserade principer som ansvar, rollintegritet, förtroende och etiskt handlande”. Jag gillar känslan av att få mattan undanryckt under fötterna, för mig har aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet varit definitioner av vad som ska uppnås i tillräcklig grad med både organisatoriska och tekniska åtgärder. Tyvärr kan jag inte säga att den nya vinklingen som författarna från Handelshögskolan i Örebro lanserar känns uppenbar ens vid en närmare genomläsning. ”CIA”-begreppen ifrågasätts även av filosofen Björn Lundgren som vill ersätta dem med den s.k. RIGHT-definitionen. Trots att jag har en del högskolepoäng i filosofi går mig delar av hans resonemang förbi, kanske för att jag fastnar på ett tidigt skede eftersom det förefaller som om hans utgångspunkt är att det finns ett läge där information är ”säker”. I min uppfattning strider detta mot det riskbaserade säkerhetsarbetet där det snarare handlar om att rikta in sig mot ett ständigt rörligt mål och få en acceptabel riskmiljö.

Andra inlägg är mer givande. Den etnologiska studien av den konfliktfyllda kultur som råder runt framtagandet av informationssäkerhetsstandarder bör leda till eftertanke men har också  vissa (ofrivilligt?) komiska inslag.

Flera av inläggen handlar om informationssäkerhet i hälso- och sjukvård och det är kanske här antologin är som mest intressant särskilt med den tydliga kopplingen till integritetsfrågor. När nu många nya aktörer börjat visa intresse för integritetsfrågor i samband med dataskyddsförordningen har det ett generellt intresse.  Jag ska därför göra en fördjupning rörande ett av antologins inlägg.

Integritet och hälso- och sjukvård

Jag har i olika sammanhang ifrågasatt säkerheten och hanteringen av personuppgifter i den nationella tjänsten Hälsa för mig och kan därför säkert uppfattas som jävig men vill ändå hävda att Peter Johanssons och Sofie Hellbergs bidrag som handlar om den tjänsten är det mest givande avsnittet i antologin. Detta inte enbart för att sjukvårdens informationssäkerhet och hantering av integritetsfrågor är så viktiga i sig utan också för att de frågeställningar de lyfter fram kan generaliseras.

Bidraget inleds med en effektiv genomgång av tidigare forskning om integritet samt om några möjliga synsätt. Själva förordar de ett s.k. kontextdrivet förhållningssätt i motsats att försöka skapa en allomfattande och evig definition av integritetsbegreppet:

Vi delar uppfattningen om att nyckeln till att förstå och hantera personlig integritet ligger det sammanhang där integritetsfrågorna uppstår. En fördel med detta förhållningssätt är att man redan i designfasen av nya tekniker och system kan inkludera skydd för den personliga integriteten eller sätt upp regler kring nya teknikers användningsområden. Utan ett sådant kontextdrivet förhållningssätt finns en risk att man vare sig kan identifiera eller hantera situationer där den personliga integriteten hotas.

Detta stämmer väl med privacy by design (som ju föreskrivs i dataskyddsförordningen) även om jag hellre skulle beskriva det som privacy by design i processer än i system.

Forskarna identifierar de två parallella trenderna där accelererande mängder information insamlas och bearbetas samtidigt som individen får en ökad tillgång till information om sig själv. Med denna bakgrund studerar forskarna den tidigare regeringens satsning på tjänsten Hälsa för mig.

Hur ansvaret för säkerhet och integritet ska fördelas i det informationshanteringslandskapet är inte uppenbart vilket caset med Hälsa för mig visar. Att trycka ner ansvaret till individen med krav på hen själv ska ”styra” sin integritet har varit en bekväm lösning som myndigheter och tjänsteleverantörer. Individens möjlighet att göra rimliga avvägningar är av flera skäl mycket begränsad av att hen inte kan överblicka användningen av informationen, konsekvenserna av detta och dessutom är i ojämn maktrelation med leverantören av tjänsten. En egen reflektion är att författarna i marginalen låter ett inslag i den kultur som formats runt e-hälsa skymta fram när man skriver:

Att personlig integritet är något som kan upplevas stå i vägen för e-hälsoutvecklingen har vi noterat vid olika e-hälsokonferenser. Där har vi lyssnat på olika talare som raljerat över ”integritetsivrare”, vilket vi uppfattar som mycket problematiskt då det appliceras svepande på bland annat läkare och patientföreningar som representerar särskilt sårbara patientgrupper.

Potentiellt negativa effekter för integriteten tonas dock ner.

Detta är en kultur jag känner igen sedan åtminstone början av nittiotalet. Som verksam inom informationshanteringen i vården blev jag vittne till ett tydligt perspektivskifte.  Från att tystnadsplikt och integritet hade varit kärnvärden i läkarkåren och vården i stort skedde en snabb relativisering (ja, jag vet att allt inte var idealiskt tidigare heller men pratar här om de uttalade etiska ståndpunkterna). Relativiseringen av integriteten blev ett förhållningssätt som funnits med i digitaliseringsprocessen av vården ända sedan dess begynnelse, där det har målats upp en motsatsställning mellan patientsäkerhet och integritet. Bakgrunden till detta är att det har funnits en motvilja hos sjukvårdshuvudmän, vårdgivare och systemleverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt. Min uppfattning är att denna relativisering främst bottnade i att sjukvårdshuvudmännen m.fl. inte prioriterade att ta fram organisatoriska beskrivningar av hur ”vårdrelation” ska definieras, d.v.s. vilka medarbetare som verkligen har anledning att ta del av den enskilda patientens vårdinformationen. Detta kompletterat med att systemleverantörerna inte klarade av att leverera digitala lösningar med en för ändamålet avpassad behörighetshantering gjorde att den personliga integriteten framställdes som ett hinder för verksamheten och ett hot för patienten. Ett tydligt tecken var den ständigt återkommande bilden på konferenser och andra sammanhang där det beskrevs hur en medvetslös patient kommer in på akuten och personalen p.g.a. att patienten kan ge samtycke inte kommer åt information som överkänslighet eller annan medicinsk bakgrund med följd av att patienten avlider. Att flertalet patienter inte är medvetslösa, inte på akuten och att behörighetsstyrningen kan ske situationsanpassat försvann i detta scenario som gjorde det överväldigande tydligt för många att integritet är av ondo. En rådande doktrin var också att behörighetsstyrning var onödigt och att loggning var lösningen på kontroll av åtkomst. Att loggning i detta syfte skulle kräva att det är mycket tydligt vem som har åtkomsträtt, d.v.s. i princip samma förutsättning som för den behörighetshantering som man sa sig inte kunna åstadkomma, förträngdes. Effekten blev usel informationssäkerhet samt att etiken och i förlängningen lagstiftning anpassades efter organisatoriska och tekniska brister. Detta vore ytterst intressant att läsa om i en forskningsstudie.

Den inneboende paradoxen med självstyrd integritet samtidigt som individen inte har det egentliga valet eller möjligheten att styra begränsningen av användningen av personuppgifter är inte unik för Hälsa för mig. Den möjlighet att spärra uppgifter som patienten fick i patientdatalagen (PDL) 2008 har i praktiken inte realiserats utan på många sätt motarbetats av vårdgivare. Bidraget om Hälsa för mig och den bristande integritetsanalysen i det projektet illustrerar en historisk utveckling formad genom tekniska ofullkomligheter men därefter stödd av en säkerhetskultur som legitimerar den bristande säkerheten, ja rent av gör den till en dygd. Den bristande analysen i fråga om integritet i Hälsa för mig har lett till att Datainspektionen listat ett antal förelägganden som måste åtgärdas innan tjänsten kan tas i bruk. E-hälsomyndigheten har överklagat detta till förvaltningsrätten men i dagsläget verkar det oklart om tjänsten kommer att kunna tas i bruk.

För mig är detta antologins absolut viktigaste bidrag när det gäller att vissa betydelsen av en positiv respektive negativ informationssäkerhetskultur. Dessutom att den kulturella påverkan på intet sätt är begränsad till en enskild organisation utan kan omfatta en hel sektor. Här finns verkligen möjlighet till vidare forskning. I dessa dataskyddsförordningstider är det också av stor betydelse att visa att integritet inte handlar om teknikaliteter utan om kultur och värderingar.

 

Sammantaget illustrerar antologin ett spretigt kunskapsområde med oklar teori och en ganska lång väg kvar att gå. Svaret på frågan i rubriken tycker jag mig kunna se som: ja, det finns både positiv och negativ informationssäkerhetskultur och vi måste förstå mer för att kunna stärka den positiva kulturen.

 

Informationssäkerhetens paradigm

På svenska är ”säkerhet” ett begrepp medan på engelska finns både ”safety” och ”security”. Begreppen används i kunskapsområden relaterade till säkerhetsfrågor som till exempel inom trafiksäkerhet. I korthet innebär safety åtgärder för att motverka oavsiktliga fel, misstag, negativa avvikelser, produktfel o.s.v. medan security är skydd mot avsiktliga, antagonistiska hot.  Det är en avgörande skillnad mellan de risker som safety-åtgärder avser att reducera jämfört med security-relaterade risker. Information security är också ett område som traditionellt varit inriktat mot antagonistiska hot vilket i hög grad har övertagits av de svenska aktörerna inom informationssäkerhetsområdet.

Både på engelska och svenska är spåren från denna bakgrund mycket tydliga.  Jag har länge funderat över varför det rådande paradigmet inom informationssäkerhetsområdet fortfarande är så inriktat på antagonistiska hot. Det anspråkslösa empiriska material som finns kring vilken typ störningar i informationshanteringen som ger stor verksamhetspåverkan tyder ju snarare på att det stora problemet ligger i exempelvis bristande uppdateringar i it-lösningar. Om syftet med informationssäkerhetsarbetet är att reducera störningar som påverkar olika verksamheters möjlighet att upprätthålla sin leverans med acceptabel kvalitet så förefaller fokuseringen på antagonistiska hot kontraproduktiv. Trots att jag tror att de flesta som sysslat med informationssäkerhet vet att det förhåller sig på det här sättet, både när det gäller hotbilden och fokuseringen på antagonistiska hot, är det märkligt besvärligt att föra en diskussion om frågan. Orsaken till att det är svårt att diskutera frågan är att security-begreppet skapat en hegemoni som så starkt styr synsätt och de underliggande begreppen och därmed skapar ett paradigm där andra synsätt utesluts.

Att tala om paradigm i samband med informationssäkerhet kan ju tyckas både paradoxalt och onödigt teoretiserande. Paradoxalt eftersom jag tidigare hävdat att informationssäkerhetsområdet är anti-intellektuellt och paradigm kan ju tolkas som ett akademiskt genomarbetat teoribygge. Detta är dock en felsyn eftersom ett paradigm ofta helt eller i delar är ett omedvetet tolkningsmönster, integrerat i iakttagarens blick. Det är också det som gör det svårhanterligt, paradigmet ligger som ett filter över verkligheten och gör att endast det som går att passa in i tolkningsmönstret slipper in. En situation som gjorde mig brydd och som kan illustrera paradigmets kraft var när jag deltog i ett arbete på en myndighet som förutsatte att vi kunde nå fram till en definition av vad en incident är.

Med min bakgrund i verksamhetsnära informationssäkerhet var det uppenbart att begreppet incident som måste innefatta alla typer av händelser i informationshanteringen som leder till störningar i verksamheten. Eftersom både it, informationshantering och informationssäkerhet har sitt existensberättigande som stödfunktioner för kärnverksamhetens processer så är grundorsaken till en störning för verksamheten irrelevant, antagonistisk eller inte. Detta synsätt delades dock inte alls av deltagaren som skulle tillföra ett it-säkerhetsperspektiv. Hen hävdade outtröttligt att endast händelser med ett antagonistiskt ursprung kan innefattas i begreppet incidenter. Buggar, uppdateringsfel och brister i rutiner, oavsett hur dramatiska effekter på verksamheten de får, är inte incidenter enligt detta synsätt. Varje möte i vår arbetsgrupp strandade på denna fråga. När jag försökte framföra att denna definition av begreppet, bortsett från allt annat, även skulle leda till stora praktiska problem eftersom det ibland kan ta dygn eller ännu längre innan det går att hitta orsaken till en störning. Ska de då räknas som incidenter och hanteras enligt fastställd incidentrutin eller inte? Och ska en organisation ha två olika rutiner för ”negativa händelser” i informationshanteringen beroende på dess upphov trots att verksamhetspåverkan är exakt den samma? Jag kan nu se orsaken till att vi inte kunde kommunicera på ett konstruktivt sätt i denna viktiga fråga var security-paradigmet så skymde sikten att de verkliga frågeställningarna försvann.

Att det skulle vara onödigt teoretiskt att tala om paradigm är kanske ett allvarligare felslut eftersom det är just den medvetna eller omedvetna teorin som stödjer oss i att hantera de högst praktiska frågor som leder till en bättre informationssäkerhet. Jag tänker ganska ofta på en organisation i flygbranschen där jag var konsult under några månader och intervjuade ett stort antal personer. Det slående var att alla som var oinvigda i informationssäkerhetens mysterier men väl insatta i trafik och kommunikation frågade om jag avsåg security eller safety när jag pratade om informationssäkerhet. För dem var distinktionen självklar och funktionell; att ha säkerhetskontroller på flygplatser för att förhindra terrorister är en viktig uppgift men minst lika viktigt är att ta bort isen från flygplansvingar så att planet fungerar på bästa sätt. Som passagerare är jag ytterst tacksam för den vikt som läggs vid safety-frågor som sannolikt har större betydelse för att så få trots allt blir skadade i trafiken generellt. Detta gäller inte bara flyget naturligtvis. Säkerhetsbältet i bilen skyddar mig inte mot terrorister men sannolikheten för att råka ut för en oavsiktlig trafikolycka bedömer jag som betydligt större och säkerhetsbältets påverkan på dödade och skadade i trafiken kan knappast överskattas.

Jag vill därför förorda att vi börjar arbeta mot ett paradigmskifte där ”Information Safety” blir lika prioriterat som ”Information Security”. Det betyder att något överge krigsretoriken med ständiga antagonister, attacker och hot och mer inrikta sig på ett kvalitetsarbete i den gråa vardagen, att prioritera upp uppdateringar, rutiner, dokumentation, planering och utvärdering på ett systematiskt sätt. Att kunna upprätthålla två samtidiga perspektiv är nödvändigt om vi verkligen vill att viktiga verksamheter ska kunna upprätthållas med tillräcklig kvalitet.

Vart leder den nationella säkerhetsstrategin?

Innan jag fortsätter diskutera e-demokrati måste jag göra ett inlägg om en aktualitet: den nationella säkerhetsstrategin som presenterades på försvarsområdets Almedalen Folk och försvar. Det är med viss förväntan jag läser strategin där ett helt avsnitt ägnas åt Informations- och cybersäkerhet, digitala risker, illustrerat av ett stridsflygplan.

Det positiva med strategin är att det litet intrasslat beskrivs att digitaliseringen förutsätter bättre informationssäkerhet även om det känns som beskrivningen känns som ihopklippt från några gamla dokument. Förväntan på att strategin ska innehålla något substantiellt och inriktande om informationssäkerhet avklingar tyvärr snabbt och stridsflygplanet visar sig vara en ganska kongenial illustration. Fokus ligger helt och hållet på att upprätthålla funktionalitet i samhällsviktig verksamhet, mycket litet om ens något sägs om integritet, mänskliga rättigheter, riktighet, kvalitet eller effektivitet i verksamheten. När tillit nämns är det tillit till digitaliseringen som nämns (!) medan demokratifrågan är mycket avlägsen. Detta att jämföra med den nationella strategi för informationssäkerhet  som togs fram 2009 som hade som målbild:

  • Medborgares fri- och rättigheter samt personliga integritet.

  • Samhällets funktionalitet, effektivitet och kvalitet.

  • Samhällets brottsbekämpning.

  • Samhällets förmåga att förebygga och hantera allvarliga störningar och kriser.

  • Näringslivets tillväxt.

  • Medborgares och verksamheters kunskap om, och förtroende för informationshantering och IT-system.

Den nu aktuella nationella säkerhetsstrategin omfattar hela säkerhetsområdet men skiljer sig också åt från andra strategier, inklusive den tidigare informationssäkerhetsstrategin, genom att inte ange några mål. Istället inleds strategin med något som kallas ”Våra nationella intressen”.  Huruvida dessa intressen är tillgodosedda idag eller inte är oklart eftersom strategin raskt kastar sig över till ”hot” och ”åtgärder”. Det ger en särskild prägel åt strategin eftersom den inte förmedlar några mål som skulle innebära nya möjligheter utan istället anlägger en defensiv hållning. Detta är ganska långt ifrån regeringens offensiva inriktning inom digitaliseringsområdet.

Utmaningar som frammanas inom cyber- och informationssäkerhetsområdet anges de endast som förekommande i form av antagonistiska hot:

Några exempel på sådana utmaningar är antagonistis­ka hot såsom informationsoperationer och elektroniska angrepp mot skyddsvärda informations- och kommunika­tionssystem, t.ex. i form av datain­trång, sabotage eller spionage, exempelvis mot totalförsvarets verksamhet. It-angrepp för att bedöma, påverka eller störa samhällsviktiga funktioner som ett förstadium till en väpnad konflikt hör också hit. It-angrepp riskerar också att otillbörligt påverka utgången av demokratiska val.

Tyvärr finns det ju inget bra kunskapsunderlag om de bakomliggande orsakerna till störningar i informationshanteringen och hur de fördelas  mellan antagonistiska respektive icke-antagonistiska incidenter. Som jag tidigare skrivit finns det indikationer att de vanligast förekommande incidenterna är av typen uppdateringsproblem och programvarufel. Detta stämmer även med den bild jag har efter rätt många år i branschen även detta liksom andra utsagor i frågan får ses som löst grundade antaganden eller anekdotiska bevisföringar. Det är därför synd att strategin ensidigt inriktar sig på de antagonistiska hoten eftersom det riskerar att ge det fortsatta arbetet en slagsida som gör effektiviteten i nationella informationssäkerhetsarbetet mer begränsad. Ytterligare en negativ aspekt med att uttala en så tydlig inriktning är att det ger intrycket av att det finns kvalitativt kunskapsunderlag i frågan. Det kan i sin tur leda till att det nödvändiga arbetet med att hitta former för att skapa och ständigt uppdatera ett sådant kunskapsunderlag inte initieras.

Vilka åtgärder föreslås då för att komma till rätta med den allvarliga situation som målats upp? Ja, det är ganska svårt att se några mer konkreta åtgärder vid sidan om sådant som redan finns eller redan är beslutat. Det talas om de risk- och sårbarhetsanalyser respektive säkerhetsanalyser som redan är föreskrivna, om it-incidenter, om förslaget på ny säkerhetsskyddslag och om den nationell strategi för informations- och cybersäkerhet som bl. a. bygger på NIS-direktivet som håller på att tas fram. I övrigt rader som:

Därtill bör arbetet med de globala dimensionerna av informations- och cybersäkerhets­frågorna intensifieras.

Vilket väl kan betyda vad som helst.

Kanske är det fel att förvänta sig något annat än det som redan framförts i andra sammanhang i den här typen av dokument, särskilt som den nationella strategin för informations- och cybersäkerhet är i antågande. Det känns ändå som ett förlorat tillfälle att inte använda en strategi för att beskriva ett framtida önskvärt tillstånd och försöka skapa en helhetsbild.

Med denna bakgrund vill jag föra fram tre centrala önskemål på vad som borde ingå i den kommande informationssäkerhetsstrategin:

  • Analysera och redovisa vilka olika syften som informationssäkerheten ska tjäna på samhällsnivå, även de som ligger vid sidan om att upprätthålla funktionalitet i beredskapssyfte. Till exempel hur informationssäkerheten ska kunna stärka tilliten i viktiga samhällsfunktioner genom att säkerställa integritet, effektivitet och kvalitet.

  • Skapa organisatoriska former där olika informationssäkerhetsintressen kan samverka i en gemensam styrmodell – om informationssäkerheten annekteras och görs om till ett rent försvarsintresse kommer digitalisering, effektivitet, integritet och demokrati inte att kunna hanteras på ett rimligt sätt

  • Skapa ett bättre kunskapsunderlag – det är  särskilt viktigt att myndigheter går i bräschen och arbetar evidensbaserat i dessa faktaresistenta tider

Både mål och åtgärder måste motsvara alla de olika behov som som informationssäkerhetsarbetet ska täcka. Om strategin för informations- och cybersäkerhet inte klarar att omfatta andra aspekter än funktionalitet i ett beredskapsperspektiv kommer det att orsaka stora problem i den offentliga verksamheten. Myndigheter, kommuner, landsting och även företag i välfärdsbranscher kommer då att bli tvungna att själva försöka skapa lösningar för att upprätthålla helhetsperspektivet på informationssäkerhet. Resultatet blir fler stuprör istället för ökad standardisering och på sikt kanske ett nytt begrepp fastställas som täcker helheten och som kan ersätta ”informationssäkerhet”.

 

 

 

Varför funkar det inte? Del 8

Jag har tidigare skrivit om att jag ser kommunikation som det centrala verktyget i informationssäkerhetsarbetet och kanske det tydligast inte funkar. Det här inlägger kommer att ytligt behandla om några aspekter av det vittomfattande ämnet, nämligen förutsättningar och förförståelse, innehåll och form.

Att kommunikationen internt inom informationssäkerhetsområdet har jag redan försökt beskriva i ett tidigare inlägg. Det saknas arenor och samtalsformer för att utveckla kunskap och samsyn. Det språkbruk och de metaforer som uppstår i denna dysfunktionella kultur gör även att vår kommunikation inte fungerar i samspelet med de vi vill engagera. Ofta framstår både vi själva och det vi säger uppfattas som ovidkommande, auktoritärt, svårbegripligt och alarmistiskt (källa: de många verksamhetsföreträdare jag samverkat med under ett par decennier).

Själv uppfattar jag kommunikationen i informationssäkerhetsfrågor ibland som direkt vilseledande för civila organisationer. Ett exempel är den nednötta metaforen om att skydda sina guldägg. Den underförstådda tanken är att alla organisationer har avgränsade informationsmängder eller hård/mjukvara som ska skyddas mot främst obehörig åtkomst (?) framför alla andra. Detta menar jag är en feltolkning av hur dagens informations- och it-infrastrukturer fungerar där det snarare handlar om komplexa samband där olika men i många fall lika viktiga krav ställs på olika delar för att helheten ska fungera. För att ta ett exempel från verkligheten så är det i en kommunal verksamhet meningslöst att försöka peka ut vad som skulle vara ”guldägg”. I den kommunala äldreomsorgen bör det ställas mycket höga krav på tillgänglighet i trygghetslarmen, lika höga krav på riktighet och spårbarhet i journaldokumentationen och mycket höga krav på konfidentialitet i alla delar. För den ekonomiska redovisningen kommer peakar i tillgänglighetskraven vid vissa perioder under bokföringsåret. Jag kan fortsätta uppräkningen med att peka på PuL, algoritmer, webbplatser m.m., m.m. men det enda jag vill komma fram till är att jakten på ”guldägg” leder tanken och därmed kommunikationen helt fel. Andra vanliga påståenden på konferenser och i marknadsföring är att medarbetarna skulle vara det största problemet. I beg to differ. Detta påstående saknar belägg och den organisation som skulle se medarbetarna som den största risken tror jag får anledning att snabbt göra en förnyad riskanalys.

guldagg2

Den som tycker att ovanstående kan ses som bagateller behöver sannolikt mer övergripande argumentation om den problematiska kommunikationen. Låt oss se ett grundscenario som både gäller i den enskilda organisationen och på ett nationellt plan. Å ena sidan finns informationssäkerhetsexperterna som ser generella risker och som har organisatoriska och tekniska metoder för att reducera dessa risker (i alla fall hypotetiskt). Å andra sidan finns det organisationer för vilka informationen är en resurs för verksamhetens olika processer. Det är de senare som har den faktiska möjligheten och resurserna att genomföra informationssäkerhetsåtgärder. För att uppnå fungerande informationssäkerhet krävs insatser från båda parter. Enda sättet att skapa en sådan gynnsam situation är god kommunikation, den goda kommunikation som jag menar ofta saknas. Resultatet blir alltför ofta att verksamhet och informationssäkerhet samexisterar som olja och vatten. Trots att det är verksamheten som har behov av informationssäkerhet för att kunna leverera talar informationssäkerhetsspecialisten för döva öron. Ett aktuellt exempel på hur det kan gå är när eHälsomyndigheten, som objektivt sett är en av de svenska organisationer som har mest behov av god informationssäkerhet, levererar två regeringsuppdrag om framtiden och överhuvudtaget inte analyserar behovet av just informationssäkerhet . Jag kommer återkomma till detta i ett senare inlägg.

Sammantaget är min erfarenhet som statlig tjänsteman som försökt förbättra informationssäkerheten inom e-förvaltning och e-hälsa att försöket mötts med en ganska avsevärd brist på förståelse från båda lägren. De som arbetar med informationssäkerhet nationellt har haft begränsat intresse av och insikt om behovet av informationssäkerhet i verksamheter som är utpräglat civila. De som arbetar med digitalisering i förvaltning och sjukvård har med två undantag sagt typ: ”jaja, det är säkert viktigt med säkerhet men det tar vi sedan när vi realiserat våra lösningar – säkerhet innebär ju bara en massa krångel som kan leda till att vi inte kan genomföra det vi vill.” Förutsättningen för kommunikationen är alltså en ömsesidig misstro som måste överbryggas.

Behovet av informationssäkerhet finns främst hos organisationerna själva även om det på aggregerad nivå naturligtvis i hög grad är ett samhällsintresse. Ansvaret för kommunikationen ligger dock på informationssäkerhetsspecialisterna eftersom organisationerna inte är medvetna om sitt behov. Här uppstår dock ett avgörande problem eftersom kommunikationen om informationssäkerheten som skapas i denna situation i de flesta fall är utbudsstyrd istället för behovsstyrd. Det är informationssäkerhetsspecialisterna som försöker sälja in sitt utbud av standardiserade synsätt och metoder till en verksamhet som har ett behov, ett behov som tyvärr formuleras på verksamhetens egna premisser. Detta gäller även det nationella planet där det är myndigheterna med ett utbud som fått styra strategier och handlingsplaner, inte de civila verksamheterna med behov. Och som alltid vid utbudsstyrning är det svårt att sätta nivån och inriktningen eftersom behovet inte är definierat – utmärkt situation för ett kommersiellt företag men knappast då man försöker styra med begränsade resurser.

Kommunikationen är en produkt av områdets kultur. Den blir därför alltför ofta inriktad på envägskommunikation, förutsätter att de man riktar sig till är okunniga (”hur ska vi få dem att förstå”) samt på lösningar som är helt omöjliga i praktiken (som att använda signalskyddslösningar i sjukvården). Den känslomässiga argumentationen kring attacker och antagonistiska hot lämnar mottagaren i ett rationellt limbo, kvar blir rädda människor underkastade olika auktoriteter. Den auktoritära kommunikationsformen är naturligtvis också ett resultat av vår bristande kunskap inom informationssäkerhetsområdet (se tidigare inlägg), om man är osäker ger man sig ogärna in i dialog och diskussion.  Inte så få av de ”kommunikationsplaner” jag sett har enbart innehållit aktiviteter där avsändaren förmedlat budskap men inga aktiviteter av inlyssnande.

Hur ska vi då förbättra vår kommunikation så att organisationerna drivs av en inre motivation och på så sätt får ett ständigt förbättrat informationssäkerhetsarbete? Jag tror det viktigaste förhållningssättet är att bestämma sig för en rollfördelning där informationssäkerhetsspecialisten (både i en enskild organisation och i form av myndigheter på nationell nivå) är en stödfunktion. Ytterst få organisationer har informationssäkerhet som sin kärnverksamhet. Informationssäkerheten tjänar istället syftet att organisationen ska kunna upprätthålla sitt uppdrag och sin leverans med tillräcklig kvalitet och utan störningar (i detta ligger naturligtvis även att kunna uppfylla externa krav). För att kunna ge stöd måste informationssäkerhetsspecialisten förstå verksamheten, den unika informationshanteringen och de unika behoven.  Helt enkelt förstå att en pågående dialog, ett ömsesidigt utbyte är nödvändigt i lika hög grad för den som ska stödja som den blir stödd.

Varför funkar det inte? Del 7

Under senare år har frågan om säkerhetskultur blivit alltmer aktuell. Att få medarbetare i en organisation att vara medvetna och motiverade i säkerhetsfrågor ses av allt fler som något som inte bara är ett komplement till den traditionella regelstyrningen.

Tidigare har jag skrivit om betydelsen av en profession inom informationssäkerhetsområdet. Även för en profession är det centralt att ha någon form av kultur som både skapar gemenskap inom gruppen men också bär upp de handlingar, synsätt och värderingar som gruppen förmedlar till utomstående. Kort sagt kan ett kollektivs kultur ge gruppen en enighet om mål och medel som inte bara beskrivs i standarder, strategier och andra dokument utan som ett socialt kitt och ett ethos. Kultur handlar i första rummet inte om beteenden utan om det som ligger bakom beteenden, som innebörder, förståelser, idéer, värden, trosföreställningar, prioriteringar och förgivettaganden. Kulturens betydelse finns belagd i en ganska ymnig forskning inom olika fält som jag inte här kommer att gå närmare in på utan bara som icke-expert nicka och säga: ja, detta verkar relevant även för oss som arbetar med informationssäkerhet.

Det kan verka flummigt men jag tror detta är en mer central fråga än vad det först kan tyckas eftersom den kulturella grunden kan peka ut vägen för gruppen långsiktigt. De kulturella värderingarna ger också underlaget för prioriteringar i det vardagliga arbetet.  Sist men inte minst är en grupps kultur kärnan i den kommunikation som sker med de utanför för gruppen, de kulturella budskapen som gruppen förmedlar överröstar i princip alltid själv sakinnehållet i kommunikationen. Eftersom jag ser kommunikation som det viktigaste verktyget i arbetet med informationssäkerhet blir därför kulturfrågan central.

kultur3

Vad är då våra gemensamma värderingar och vad leder de till för beteenden? Ingen har, såvitt jag vet, gjort en kulturanalys av aktiva inom säkerhetsområdet utan jag ska försöka uttolka de gemensamma tendenser jag tyckt mig se genom åren. Redan nu ber jag om ursäkt för de kategoriska och säkert missvisande beskrivningar som följer men jag har för närvarande enbart tillgång till mina egna erfarenheter (vilket i sig är en del av kulturen eftersom denna typ av diskussion aldrig förs).

En första reflektion är att den militär-polisiära bakgrunden fortfarande vilar tung över oss. Det tar sig många uttryck som i den metaforvärld som används där ”attacker”, ”hot” och ”antagonism” bara är några exempel. Detta skapar naturligtvis en speciell atmosfär men eftersom det inte bara är så att tankar som styr ord utan i lika hög grad det omvända: att våra metaforer styr våra tankar kommer detta att påverka vårt agerande. Jag dristar mig till att säga att traditionella informationssäkerhetsmänniskor finner det betydligt enklare att fokusera på ”attacker” än att inrikta sig på de störningar i informationshanteringen som uppstår av andra orsaker som uppdateringsfel, buggar, bristande rutiner, ineffektivitet som gör att medarbetarna är mer eller mindre tvungna att bryta mot reglerna m.m. Vårt mindset är helt enkelt mer inriktat på attacker och det är också det vi kommunicerar exempelvis med ledningarna i de organisationer där vi verkar. Men denna kulturella värdering kan leda oss fel även i praktisk handling för om ENISA har rätt i sin rapport så är det inte antagonistiska hot som skapar flertalet störningar:

 

 

enisa

Även om alla säkert kan vara överens om att incidentrapportering är problematiskt som underlag för att bedöma vad som egentligen händer och i ännu högre grad om vilka hot som finns är ENISA:s redovisning intressant, särskilt som det väl för Sveriges del inte finns någon som är mer relevant. Om vi nu antar att ENISA:s uppgifter stämmer så är det stora problemet störningar i kommunikationen som leder till störningar i system. Malicious actions är däremot en mycket liten kategori. Flera rimliga frågor inställer sig som vad som orsakat störningarna i kommunikationen. En annan vanlig kommentar när den här typen av siffror redovisas är att det finns ett stort mörkertal när det gäller attacker m.m. Där är jag helt beredd att hålla med, vi ju är långt ifrån att ha en heltäckande redovisning av inträffade incidenter, men rimligen är mörkertalet lika stort eller större när det gäller icke-antagonistiska incidenter. Min poäng är i all enkelhet att den kulturella styrningen mot antagonistiska hot kan leda till felprioriteringar i informationssäkerhetsarbetet.

Att vara inriktad på antagonistiska hot är också belönande i så måtto att det enklare att få uppmärksamhet både från ledningar och media om man pratar om spännande hotbilder med antagonister än om frågeställningarna tangerar den vardagliga verksamhetsutvecklingen. I den nu rådande kulturen finns en påtaglig fara för att informationssäkerhetschefen medverkar till att ledningen beslutar om säkerhetsåtgärder som inte motsvarar den faktiska riskbilden. Och här gömmer sig kanske också ett kulturellt problem eftersom det finns två mål för säkerhetsarbetet; att avvärja hot respektive att stödja att informationshanteringen uppfyller verksamhetens krav på konfidentialitet, riktighet, spårbarhet och tillgänglighet. Det förstnämnda liknar mer än militär uppgift medan det andra är mer att jämföra med ett kvalitetsarbete och inbegriper en nära dialog med verksamheten. Om vi ska arbeta mer aktivt med kulturfrågan måste vi förtydliga vilken som är vår gemensamma målbild och också vår roll.

För att skissa vidare på den kultur jag uppfattar finns i vårt sammanhang så ser jag också ett auktoritärt drag. Detta drag har förmodligen samma militär-polisiära bakgrund som det tidigare men kanske det svaga kunskapsunderlag vi ofta har för det vi föreslår också spelar in. Exempel på vad jag menar med det auktoritära draget är att jag tycker att det finns en övertro på regler och compliance jämfört med andra typer av styrning som mer bygger på diskussion och tvåvägskommunikation. Jag uppfattar också att kultur och former för diskussioner som alltför litet öppna och ”akademiska”, kanske för att det inte forum som inbjuder till det. De forum som finns är i de flesta fall konferenser där ”heliga” sanningar presenteras utan återkoppling. Denna attityd förstärks genom att informationssäkerhetsspecialistens legitimitet oftare hämtas i externa krav som lagstiftning eller standarden än verksamhetens egna behov.

Det finns också dragning mot hemlighetsfullhet. Detta kan härledas till när säkerhetsarbetet i första hand var inriktat på att skydda rikets säkerhet men kanske också till att vi har svårt att rationellt argumentera för olika åtgärder. Det kan då vara enklare att antyda att det finns hot som tyvärr inte kan yppas än att tydligt redogöra för olika risker och låta ledningen eller verksamheten avgöra vad som är nödvändiga åtgärder. Detta är en bräcklig position som jag också tror skapar osäkerhet hos många i branschen. Jag uppfattar inställningen som felriktad därför att betoningen på det hemliga, förutom att göra de flesta samtal till återvändsgränder, också gör att andra lika viktiga frågor kommer helt i bakgrunden. I myndigheter finns till exempel kravet på öppenhet i offentlighetsprincipen som ställer stora krav på riktighet och spårbarhet i de offentliga informationsflödena. Informationssäkerhetsspecialisten har, i min mening, ett lika tungt uppdrag i att medverka till detta som att skydda mot obehörig åtkomst.

Detta är ett exempel på statusbalansen i kulturen, sekretess har högre status än öppenhet, men det finns även andra statusförhållanden som kan diskuteras. Ett sådant är förhållandet mellan teknik och organisation som ofta omnämns som ”hårda” respektive ”mjuka” frågor. Man behöver inte ha läst genusvetenskap för att tolka att den egentliga innebörden är att de hårda, manliga frågorna är aningen viktigare än de mjuka, kvinnliga. Så är det i det övriga samhället och det finns inga skäl att tro att det set annorlunda ut inom informationssäkerhetsområdet. I praktiken leder denna inställning ofta till en överbetoning av tekniska lösningar framför organisatoriska och också till ett ofta väl teknokratiskt förhållningssätt även i organisatoriska åtgärderna. Det blir litet märkligt i kombination med standardens tydliga organisatoriska inriktning men det är en dissonans som har accepterats.

Slutligen är en annan viktig aspekt av kulturen den tydliga mansdominansen. Jag ser det som ett svaghetstecken för en yrkeskår när det måste skapas särskilda forum för kvinnor vilket nu skett på flera håll. Kanske känns det nödvändigt för att kunna leva vidare i den auktoritära och teknokratiska kultur som jag frammanat ovan. Jag skulle dock hellre se att vi gick vidare och försökte utveckla en mer ändamålsenlig kultur för de uppgifter vi har att lösa och där alla kan delta i ett gemensamt samtal på lika villkor.

Varför funkar det inte? Del 6

En profession behöver metoder

För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder. Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.

 

lojlfammal

I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat. I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering. Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter. Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat. Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.

Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet. För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs. Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning. Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter. Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta. Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas. En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer. Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder. Detta var dock inte en uppfattning som delades av alla. Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.

I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik. Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas. I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.

Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade. Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.  Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.

Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod. Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade. Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.

Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp. Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella. ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod. Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna. Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i en organisation när information i allt högre grad flödar över organisationsgränser. ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare. Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.

Varför funkar det inte? Del 5

I ett tidigare inlägg skrev jag om vad jag uppfattar som ett bristande vetenskapligt stöd för det informationssäkerhetsarbete som bedrivs. Att inte kunna bottna sitt arbete i etablerad kunskap skapar av naturliga skäl avgörande hinder i det kunskapssamhälle som numera är vårt. Men om vi kontrafaktiskt skulle anta att det fanns en välutvecklad akademisk kunskap om informationssäkerhet skulle inte denna kunskap vara tillräcklig för att få en verkligt fungerande informationssäkerhet i organisationer och i samhället i stort. Det behövs också aktörer som vet ”hur” man ska göra, det vill säga tillför techne och fronesis till episteme.

Behovet av en profession

Vad jag avser är en profession av låt oss kalla det informationssäkerhetsspecialister. Behovet av att skapa nya professioner följer med utvecklingen av det moderna samhället från skråväsendets tillkomst under medeltiden till dagens på olika sätt legitimerade eller auktoriserade yrken. Professionen skapar legitimitet åt yrkesutövarna, ”paketerar” deras kompetens så att den blir hanterbar även för externa parter som är intresserade av att använda den och, inte minst, utgör en dialogpartner för den akademiska kunskapsutvecklingen.

Den fruktbara relationen mellan profession och akademin kan kanske mest arketypiskt ses inom det medicinska fältet där läkarna genomgått en professionaliseringsprocess under mycket lång tid. Numera har även andra yrkesgrupper som sjuksköterskor och fysioterapeuter gjort samma resa men för enkelhetens skull ska jag fortsättningsvis hålla fast vid läkarna som exempel.

För den som läst något om medicinhistoria är det uppenbart att samspelet mellan de praktiserande läkarna och den akademiska forskningen varit nödvändigt för att nå fram till dagens möjligheter att faktiskt bota, förebygga och lindra allehanda sjukdomstillstånd. Sextonhundratalets fältskärer skulle inte genom praktiskt karvande i sårade soldater kunnat generalisera sin kunskap så att den skulle kunna beskriva sårinfektioner på ett allmängiltigt sätt. Lika litet skulle de medicinska forskarna som faktiskt fanns vid denna tid kunnat avvara den praktiska kunskapen hos dem som dagligdags mötte patienter, om än med bensågen i högsta hugg. För att detta samspel skulle kunna utvecklas på det fruktbara sätt som faktiskt skett var en viktig faktor att de praktiserande läkarna kom att utgöra en alltmer skarpt avgränsad profession med bestämd kompetens och enhetliga metoder.

Jag gör analogin till informationssäkerhetsområdet där vi har samma behov av att förena teori och praktik. En professionell yrkesutövning kan borga för den kvalitet som är nödvändig i den praktiskt utövande delen av kunskapsområdet och av denna anledning bör en profession av informationssäkerhetsspecialister skapas.

Krav på en profession

Utvecklandet av en profession är som sagt den normala gången inom olika kunskapsområden och det finns också en omfattande forskning på temat. Både inom gruppen själv och för externa parter som arbetsgivare in spe måste det gå att beskriva vad professionens Unique Selling Proposition eller Unique Selling Point (USP) är och också skapa organisatoriska strukturer för att upprätthålla denna USP. Några av de moment i professionsbildandet som brukar tas upp litteraturen är följande:

Definition av kunskapsområde

En grund då en profession vill formalisera sig är att man annekterar ett kunskapsområde och hävdar att den egna gruppen är den främsta/enda som äger denna kunskap, jämför läkare och medicinen. Förutsättningen är att det går att definiera kunskapsområdet på ett sätt som både gruppen internt och omvärlden kan vara eniga om. Här finns ett problem för informationssäkerhetsspecialisterna om den beskrivningen av oklarheten i vad kunskapsområdet egentligen består i godtas. Är det en organisatorisk eller teknisk kompetens som utgör kärnan för att bara ta en av de många frågor som kan ställas.

Krav på teoretisk och praktisk kunskap som säkerställs genom etablerad procedur

För att få tillhöra en profession måste det definieras vilken teoretisk och praktisk kunskap man måste besitta. Det måste också finnas en procedur som är erkänd även av utomstående som garanterar att de som utger sig för att tillhöra professionen verkligen kan antas inneha den rätta kompetensen. Det räcker alltså inte med att man själv kallar sig ”informationssäkerhetsexpert” eller att man har lösliga grupperingar av typen communities. En ganska självklar del i detta är en formaliserad utbildning vilket idag saknas inom informationssäkerhetsområdet. De utbildningar som erbjuds på högskolenivå (vilket vi väl får anta är rimligt att kräva) har ett mycket spretigt innehåll från ”Internationella aktörer och regelverk” till ”It-forensik” för att bara ta ett par exempel från högskolekurser som beskriver sig som utbildning i informationssäkerhet.

Andra utbildningar går in på ren it-säkerhet eller på praktiska metoder men kunskapsområdets otydlighet avspeglar sig i utbildningsutbudet. Om vi tittar på innehållet i olika populära certifieringar blir bilden än mer otydlig, i en CISSP-certifiering uppges bland annat telekommunikation och mjukvaruutveckling ingå.
Kravet på formaliserad utbildning blir därmed i dag svårt att uppfylla liksom två andra vanliga krav på en profession: inträdeskrav och avgränsning av de som inte hör dit. För att sammanfatta så kan vem som helst oavsett utbildning, erfarenhet eller personlig lämplighet utge sig för att vara informationssäkerhetsspecialist utan att någon kan hävda motsatsen.

Normer och kultur

En profession definieras inte bara av kunskap utan också av de specifika normer och den kultur som dess medlemmar ansluter sig till. Exempel på detta är, förutom läkaretiken, de normer som upprätthålls av advokatsamfundet. Det innebär också en kollegial kontroll över de attribut som yrkestitel som följer med professionen. Detta förutsätter i sin tur någon form av kollegial organisation som kan utöva kontroll och utveckla en yrkesmässig kultur och etik.

Informationssäkerhetens professionalisering – hur ska vi gå vidare?

Idag saknas flertalet av de förutsättningar som krävs för en professionalisering inom informationssäkerhetsområdet. Behovet är av en sådan är dock stort och om man ska dra slutsatser av andra yrkesgruppers historia måste frågan drivas av de yrkesverksamma själva. En svårighet är att det inte finns fackföreningar eller starka intresseföreningar inom området som skulle kunna inleda en sådan process. Ett första steg är att börja diskutera framtiden på ett öppet sätt och försöka hitta vägar framåt. Är lämpligt med ett brett anslag där hela den spännvidd som nu ryms under beteckningen informationssäkerhet men med en specialisering på samma sätt som läkarkåren? Eller bör vi resonera oss fram till en tydligare avgränsning mot it-säkerhet och cybersäkerhet?  Frågorna är många men än saknas forat att diskutera dem i.