Finns det en informationssäkerhetskultur?

Som jag litet surt påpekat några gånger är kunskapsgrunden för informationssäkerhetsarbetet påfallande svagt. Det är därför en händelse av stort intresse när en ny forskningsantologi inom informationssäkerhetsområdet publiceras som nu då Informationssäkerhet och organisationskultur presenteras. Än mer så när den är inriktad på organisation och inte enbart teknik som den övervägande del av de svenska forskningsinsatser varit.

Antologin bygger på resultatet från ett antal olika forskargrupper som finansierats av MSB i ett femårigt forskningsprogram relaterat till frågor om informationssäkerhetskultur. I programmet genomfördes en omfattande enkätundersökning som använts av flera av de ingående forskningsgrupperingarna.

Att det är ett konglomerat av olika discipliner som deltagit är både en styrka och en svaghet i antologin. Styrka eftersom det ger en i delar ny och intressant belysning av informationssäkerhet, svaghet då den röda tråden i antologin känns väl tunn och att det mer har handlar om paketering än en reell knytning till just säkerhetskultur. Att det inte är ett inarbetat forskningsområde visar sig också i att den litteratur som använts i förvånande hög grad är utgiven för tio år sedan eller mer.

Först två allmänna reflektioner efter genomläsning. För det första beskrivs informationssäkerhet påfallande ofta direkt och indirekt som en statisk entitet, d.v.s. på ett icke-relationellt sätt, som här t.ex:

Informationssäkerhetskultur kan vara bra såväl som dålig. Den är bra om den gynnar informationssäkerheten.

Jag menar att informationssäkerheten inte är ett värde i sig utan att det är organisationens intressen som ska gynnas av informationssäkerhetskulturen, d.v.s. att den goda informationssäkerhetskulturen stödjer organisationen i att identifiera sitt behov av olika informationssäkerhetsåtgärder.

Den andra reflektionen är den i mitt tycke en övertro på regelstyrning. I några av inläggen framstår det som att informationssäkerhetskulturens främsta och möjligen enda uppgift är att motivera medarbetarna att följa regler. Med erfarenhet från att vara informationssäkerhetsansvarig alternativt konsult i rätt många organisationer har jag upplevt att det stora behovet av säkerhetskultur är att den lägger grunden för en dialog om informationssäkerhet. Verksamheten måste vara involverad eftersom det är den som känner de egentliga behoven av säkerhet men behöver hjälp med att kanalisera dem och över huvud taget definiera dem som säkerhetsrelaterade. I detta är exempelvis verksamhetens förmåga och intresse av att uppmärksamma risker och kommunicera dem. Och när det gäller styrningen är det också aningen förvånande att ledarskap inte diskuteras – när organisationskultur i allmänhet brukar ses som i en nära samvariation med ledarskap. Här tänker jag inte enbart på det generella ledarskapet i en organisation. Minst lika viktigt är det ledarskap som de som arbetar med informationssäkerhet utövar både nationellt och i sina respektive organisationer. Min uppfattning, som saknar vetenskapligt belägg, är att detta ledarskap fortfarande är starkt präglat av en patriarkal kultur hämtad från en militär-polisiär tradition som är illasittande i de flesta moderna organisationer. Detta kommer ytterligare att förstärkas när Metoo-revolutionen, som inte bara handlar om sextrakasserier utan även manligt maktmissbruk bland annat på arbetsplatser, rullar vidare.

Några av inläggen läser jag med känsla av: var det inte mer? Det är inte sååå upphetsande med en slutsats som att tjänstemän som arbetar i regelföljande organisationsklimat anammar informationssäkerhetsregler bättre än tjänstemän i organisationer utan detta klimat. Eller att informationssäkerhetskulturen gynnas av att ledningen uttrycker att informationssäkerhet är en viktig fråga för organisationen (även om detta ändå touchar ledarskapsfrågan som jag tidigare skrev att jag saknade).

I andra fall blir jag uppriktigt förbryllad. Avsnittet om ”praktikanpassad informationssäkerhetspolicy” blandar alla nivåer av styrande dokument på ett sätt som jag som strukturfascist känner mig ytterst obekväm med. Bara att skriva informationssäkerhetspolycier i plural …  Ett annat exempel som leder grubbel är detta:

Historiskt sett baseras informationssäkerhetsarbetet på tre tekniskt orienterade principer: sekretess, riktighet och tillgänglighet.

Författarna vill komplettera dem med ”organisatoriskt orienterade och beteendebaserade principer som ansvar, rollintegritet, förtroende och etiskt handlande”. Jag gillar känslan av att få mattan undanryckt under fötterna, för mig har aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet varit definitioner av vad som ska uppnås i tillräcklig grad med både organisatoriska och tekniska åtgärder. Tyvärr kan jag inte säga att den nya vinklingen som författarna från Handelshögskolan i Örebro lanserar känns uppenbar ens vid en närmare genomläsning. ”CIA”-begreppen ifrågasätts även av filosofen Björn Lundgren som vill ersätta dem med den s.k. RIGHT-definitionen. Trots att jag har en del högskolepoäng i filosofi går mig delar av hans resonemang förbi, kanske för att jag fastnar på ett tidigt skede eftersom det förefaller som om hans utgångspunkt är att det finns ett läge där information är ”säker”. I min uppfattning strider detta mot det riskbaserade säkerhetsarbetet där det snarare handlar om att rikta in sig mot ett ständigt rörligt mål och få en acceptabel riskmiljö.

Andra inlägg är mer givande. Den etnologiska studien av den konfliktfyllda kultur som råder runt framtagandet av informationssäkerhetsstandarder bör leda till eftertanke men har också  vissa (ofrivilligt?) komiska inslag.

Flera av inläggen handlar om informationssäkerhet i hälso- och sjukvård och det är kanske här antologin är som mest intressant särskilt med den tydliga kopplingen till integritetsfrågor. När nu många nya aktörer börjat visa intresse för integritetsfrågor i samband med dataskyddsförordningen har det ett generellt intresse.  Jag ska därför göra en fördjupning rörande ett av antologins inlägg.

Integritet och hälso- och sjukvård

Jag har i olika sammanhang ifrågasatt säkerheten och hanteringen av personuppgifter i den nationella tjänsten Hälsa för mig och kan därför säkert uppfattas som jävig men vill ändå hävda att Peter Johanssons och Sofie Hellbergs bidrag som handlar om den tjänsten är det mest givande avsnittet i antologin. Detta inte enbart för att sjukvårdens informationssäkerhet och hantering av integritetsfrågor är så viktiga i sig utan också för att de frågeställningar de lyfter fram kan generaliseras.

Bidraget inleds med en effektiv genomgång av tidigare forskning om integritet samt om några möjliga synsätt. Själva förordar de ett s.k. kontextdrivet förhållningssätt i motsats att försöka skapa en allomfattande och evig definition av integritetsbegreppet:

Vi delar uppfattningen om att nyckeln till att förstå och hantera personlig integritet ligger det sammanhang där integritetsfrågorna uppstår. En fördel med detta förhållningssätt är att man redan i designfasen av nya tekniker och system kan inkludera skydd för den personliga integriteten eller sätt upp regler kring nya teknikers användningsområden. Utan ett sådant kontextdrivet förhållningssätt finns en risk att man vare sig kan identifiera eller hantera situationer där den personliga integriteten hotas.

Detta stämmer väl med privacy by design (som ju föreskrivs i dataskyddsförordningen) även om jag hellre skulle beskriva det som privacy by design i processer än i system.

Forskarna identifierar de två parallella trenderna där accelererande mängder information insamlas och bearbetas samtidigt som individen får en ökad tillgång till information om sig själv. Med denna bakgrund studerar forskarna den tidigare regeringens satsning på tjänsten Hälsa för mig.

Hur ansvaret för säkerhet och integritet ska fördelas i det informationshanteringslandskapet är inte uppenbart vilket caset med Hälsa för mig visar. Att trycka ner ansvaret till individen med krav på hen själv ska ”styra” sin integritet har varit en bekväm lösning som myndigheter och tjänsteleverantörer. Individens möjlighet att göra rimliga avvägningar är av flera skäl mycket begränsad av att hen inte kan överblicka användningen av informationen, konsekvenserna av detta och dessutom är i ojämn maktrelation med leverantören av tjänsten. En egen reflektion är att författarna i marginalen låter ett inslag i den kultur som formats runt e-hälsa skymta fram när man skriver:

Att personlig integritet är något som kan upplevas stå i vägen för e-hälsoutvecklingen har vi noterat vid olika e-hälsokonferenser. Där har vi lyssnat på olika talare som raljerat över ”integritetsivrare”, vilket vi uppfattar som mycket problematiskt då det appliceras svepande på bland annat läkare och patientföreningar som representerar särskilt sårbara patientgrupper.

Potentiellt negativa effekter för integriteten tonas dock ner.

Detta är en kultur jag känner igen sedan åtminstone början av nittiotalet. Som verksam inom informationshanteringen i vården blev jag vittne till ett tydligt perspektivskifte.  Från att tystnadsplikt och integritet hade varit kärnvärden i läkarkåren och vården i stort skedde en snabb relativisering (ja, jag vet att allt inte var idealiskt tidigare heller men pratar här om de uttalade etiska ståndpunkterna). Relativiseringen av integriteten blev ett förhållningssätt som funnits med i digitaliseringsprocessen av vården ända sedan dess begynnelse, där det har målats upp en motsatsställning mellan patientsäkerhet och integritet. Bakgrunden till detta är att det har funnits en motvilja hos sjukvårdshuvudmän, vårdgivare och systemleverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt. Min uppfattning är att denna relativisering främst bottnade i att sjukvårdshuvudmännen m.fl. inte prioriterade att ta fram organisatoriska beskrivningar av hur ”vårdrelation” ska definieras, d.v.s. vilka medarbetare som verkligen har anledning att ta del av den enskilda patientens vårdinformationen. Detta kompletterat med att systemleverantörerna inte klarade av att leverera digitala lösningar med en för ändamålet avpassad behörighetshantering gjorde att den personliga integriteten framställdes som ett hinder för verksamheten och ett hot för patienten. Ett tydligt tecken var den ständigt återkommande bilden på konferenser och andra sammanhang där det beskrevs hur en medvetslös patient kommer in på akuten och personalen p.g.a. att patienten kan ge samtycke inte kommer åt information som överkänslighet eller annan medicinsk bakgrund med följd av att patienten avlider. Att flertalet patienter inte är medvetslösa, inte på akuten och att behörighetsstyrningen kan ske situationsanpassat försvann i detta scenario som gjorde det överväldigande tydligt för många att integritet är av ondo. En rådande doktrin var också att behörighetsstyrning var onödigt och att loggning var lösningen på kontroll av åtkomst. Att loggning i detta syfte skulle kräva att det är mycket tydligt vem som har åtkomsträtt, d.v.s. i princip samma förutsättning som för den behörighetshantering som man sa sig inte kunna åstadkomma, förträngdes. Effekten blev usel informationssäkerhet samt att etiken och i förlängningen lagstiftning anpassades efter organisatoriska och tekniska brister. Detta vore ytterst intressant att läsa om i en forskningsstudie.

Den inneboende paradoxen med självstyrd integritet samtidigt som individen inte har det egentliga valet eller möjligheten att styra begränsningen av användningen av personuppgifter är inte unik för Hälsa för mig. Den möjlighet att spärra uppgifter som patienten fick i patientdatalagen (PDL) 2008 har i praktiken inte realiserats utan på många sätt motarbetats av vårdgivare. Bidraget om Hälsa för mig och den bristande integritetsanalysen i det projektet illustrerar en historisk utveckling formad genom tekniska ofullkomligheter men därefter stödd av en säkerhetskultur som legitimerar den bristande säkerheten, ja rent av gör den till en dygd. Den bristande analysen i fråga om integritet i Hälsa för mig har lett till att Datainspektionen listat ett antal förelägganden som måste åtgärdas innan tjänsten kan tas i bruk. E-hälsomyndigheten har överklagat detta till förvaltningsrätten men i dagsläget verkar det oklart om tjänsten kommer att kunna tas i bruk.

För mig är detta antologins absolut viktigaste bidrag när det gäller att vissa betydelsen av en positiv respektive negativ informationssäkerhetskultur. Dessutom att den kulturella påverkan på intet sätt är begränsad till en enskild organisation utan kan omfatta en hel sektor. Här finns verkligen möjlighet till vidare forskning. I dessa dataskyddsförordningstider är det också av stor betydelse att visa att integritet inte handlar om teknikaliteter utan om kultur och värderingar.

 

Sammantaget illustrerar antologin ett spretigt kunskapsområde med oklar teori och en ganska lång väg kvar att gå. Svaret på frågan i rubriken tycker jag mig kunna se som: ja, det finns både positiv och negativ informationssäkerhetskultur och vi måste förstå mer för att kunna stärka den positiva kulturen.

 

Informationssäkerhetens paradigm

På svenska är ”säkerhet” ett begrepp medan på engelska finns både ”safety” och ”security”. Begreppen används i kunskapsområden relaterade till säkerhetsfrågor som till exempel inom trafiksäkerhet. I korthet innebär safety åtgärder för att motverka oavsiktliga fel, misstag, negativa avvikelser, produktfel o.s.v. medan security är skydd mot avsiktliga, antagonistiska hot.  Det är en avgörande skillnad mellan de risker som safety-åtgärder avser att reducera jämfört med security-relaterade risker. Information security är också ett område som traditionellt varit inriktat mot antagonistiska hot vilket i hög grad har övertagits av de svenska aktörerna inom informationssäkerhetsområdet.

Både på engelska och svenska är spåren från denna bakgrund mycket tydliga.  Jag har länge funderat över varför det rådande paradigmet inom informationssäkerhetsområdet fortfarande är så inriktat på antagonistiska hot. Det anspråkslösa empiriska material som finns kring vilken typ störningar i informationshanteringen som ger stor verksamhetspåverkan tyder ju snarare på att det stora problemet ligger i exempelvis bristande uppdateringar i it-lösningar. Om syftet med informationssäkerhetsarbetet är att reducera störningar som påverkar olika verksamheters möjlighet att upprätthålla sin leverans med acceptabel kvalitet så förefaller fokuseringen på antagonistiska hot kontraproduktiv. Trots att jag tror att de flesta som sysslat med informationssäkerhet vet att det förhåller sig på det här sättet, både när det gäller hotbilden och fokuseringen på antagonistiska hot, är det märkligt besvärligt att föra en diskussion om frågan. Orsaken till att det är svårt att diskutera frågan är att security-begreppet skapat en hegemoni som så starkt styr synsätt och de underliggande begreppen och därmed skapar ett paradigm där andra synsätt utesluts.

Att tala om paradigm i samband med informationssäkerhet kan ju tyckas både paradoxalt och onödigt teoretiserande. Paradoxalt eftersom jag tidigare hävdat att informationssäkerhetsområdet är anti-intellektuellt och paradigm kan ju tolkas som ett akademiskt genomarbetat teoribygge. Detta är dock en felsyn eftersom ett paradigm ofta helt eller i delar är ett omedvetet tolkningsmönster, integrerat i iakttagarens blick. Det är också det som gör det svårhanterligt, paradigmet ligger som ett filter över verkligheten och gör att endast det som går att passa in i tolkningsmönstret slipper in. En situation som gjorde mig brydd och som kan illustrera paradigmets kraft var när jag deltog i ett arbete på en myndighet som förutsatte att vi kunde nå fram till en definition av vad en incident är.

Med min bakgrund i verksamhetsnära informationssäkerhet var det uppenbart att begreppet incident som måste innefatta alla typer av händelser i informationshanteringen som leder till störningar i verksamheten. Eftersom både it, informationshantering och informationssäkerhet har sitt existensberättigande som stödfunktioner för kärnverksamhetens processer så är grundorsaken till en störning för verksamheten irrelevant, antagonistisk eller inte. Detta synsätt delades dock inte alls av deltagaren som skulle tillföra ett it-säkerhetsperspektiv. Hen hävdade outtröttligt att endast händelser med ett antagonistiskt ursprung kan innefattas i begreppet incidenter. Buggar, uppdateringsfel och brister i rutiner, oavsett hur dramatiska effekter på verksamheten de får, är inte incidenter enligt detta synsätt. Varje möte i vår arbetsgrupp strandade på denna fråga. När jag försökte framföra att denna definition av begreppet, bortsett från allt annat, även skulle leda till stora praktiska problem eftersom det ibland kan ta dygn eller ännu längre innan det går att hitta orsaken till en störning. Ska de då räknas som incidenter och hanteras enligt fastställd incidentrutin eller inte? Och ska en organisation ha två olika rutiner för ”negativa händelser” i informationshanteringen beroende på dess upphov trots att verksamhetspåverkan är exakt den samma? Jag kan nu se orsaken till att vi inte kunde kommunicera på ett konstruktivt sätt i denna viktiga fråga var security-paradigmet så skymde sikten att de verkliga frågeställningarna försvann.

Att det skulle vara onödigt teoretiskt att tala om paradigm är kanske ett allvarligare felslut eftersom det är just den medvetna eller omedvetna teorin som stödjer oss i att hantera de högst praktiska frågor som leder till en bättre informationssäkerhet. Jag tänker ganska ofta på en organisation i flygbranschen där jag var konsult under några månader och intervjuade ett stort antal personer. Det slående var att alla som var oinvigda i informationssäkerhetens mysterier men väl insatta i trafik och kommunikation frågade om jag avsåg security eller safety när jag pratade om informationssäkerhet. För dem var distinktionen självklar och funktionell; att ha säkerhetskontroller på flygplatser för att förhindra terrorister är en viktig uppgift men minst lika viktigt är att ta bort isen från flygplansvingar så att planet fungerar på bästa sätt. Som passagerare är jag ytterst tacksam för den vikt som läggs vid safety-frågor som sannolikt har större betydelse för att så få trots allt blir skadade i trafiken generellt. Detta gäller inte bara flyget naturligtvis. Säkerhetsbältet i bilen skyddar mig inte mot terrorister men sannolikheten för att råka ut för en oavsiktlig trafikolycka bedömer jag som betydligt större och säkerhetsbältets påverkan på dödade och skadade i trafiken kan knappast överskattas.

Jag vill därför förorda att vi börjar arbeta mot ett paradigmskifte där ”Information Safety” blir lika prioriterat som ”Information Security”. Det betyder att något överge krigsretoriken med ständiga antagonister, attacker och hot och mer inrikta sig på ett kvalitetsarbete i den gråa vardagen, att prioritera upp uppdateringar, rutiner, dokumentation, planering och utvärdering på ett systematiskt sätt. Att kunna upprätthålla två samtidiga perspektiv är nödvändigt om vi verkligen vill att viktiga verksamheter ska kunna upprätthållas med tillräcklig kvalitet.

Vart leder den nationella säkerhetsstrategin?

Innan jag fortsätter diskutera e-demokrati måste jag göra ett inlägg om en aktualitet: den nationella säkerhetsstrategin som presenterades på försvarsområdets Almedalen Folk och försvar. Det är med viss förväntan jag läser strategin där ett helt avsnitt ägnas åt Informations- och cybersäkerhet, digitala risker, illustrerat av ett stridsflygplan.

Det positiva med strategin är att det litet intrasslat beskrivs att digitaliseringen förutsätter bättre informationssäkerhet även om det känns som beskrivningen känns som ihopklippt från några gamla dokument. Förväntan på att strategin ska innehålla något substantiellt och inriktande om informationssäkerhet avklingar tyvärr snabbt och stridsflygplanet visar sig vara en ganska kongenial illustration. Fokus ligger helt och hållet på att upprätthålla funktionalitet i samhällsviktig verksamhet, mycket litet om ens något sägs om integritet, mänskliga rättigheter, riktighet, kvalitet eller effektivitet i verksamheten. När tillit nämns är det tillit till digitaliseringen som nämns (!) medan demokratifrågan är mycket avlägsen. Detta att jämföra med den nationella strategi för informationssäkerhet  som togs fram 2009 som hade som målbild:

  • Medborgares fri- och rättigheter samt personliga integritet.

  • Samhällets funktionalitet, effektivitet och kvalitet.

  • Samhällets brottsbekämpning.

  • Samhällets förmåga att förebygga och hantera allvarliga störningar och kriser.

  • Näringslivets tillväxt.

  • Medborgares och verksamheters kunskap om, och förtroende för informationshantering och IT-system.

Den nu aktuella nationella säkerhetsstrategin omfattar hela säkerhetsområdet men skiljer sig också åt från andra strategier, inklusive den tidigare informationssäkerhetsstrategin, genom att inte ange några mål. Istället inleds strategin med något som kallas ”Våra nationella intressen”.  Huruvida dessa intressen är tillgodosedda idag eller inte är oklart eftersom strategin raskt kastar sig över till ”hot” och ”åtgärder”. Det ger en särskild prägel åt strategin eftersom den inte förmedlar några mål som skulle innebära nya möjligheter utan istället anlägger en defensiv hållning. Detta är ganska långt ifrån regeringens offensiva inriktning inom digitaliseringsområdet.

Utmaningar som frammanas inom cyber- och informationssäkerhetsområdet anges de endast som förekommande i form av antagonistiska hot:

Några exempel på sådana utmaningar är antagonistis­ka hot såsom informationsoperationer och elektroniska angrepp mot skyddsvärda informations- och kommunika­tionssystem, t.ex. i form av datain­trång, sabotage eller spionage, exempelvis mot totalförsvarets verksamhet. It-angrepp för att bedöma, påverka eller störa samhällsviktiga funktioner som ett förstadium till en väpnad konflikt hör också hit. It-angrepp riskerar också att otillbörligt påverka utgången av demokratiska val.

Tyvärr finns det ju inget bra kunskapsunderlag om de bakomliggande orsakerna till störningar i informationshanteringen och hur de fördelas  mellan antagonistiska respektive icke-antagonistiska incidenter. Som jag tidigare skrivit finns det indikationer att de vanligast förekommande incidenterna är av typen uppdateringsproblem och programvarufel. Detta stämmer även med den bild jag har efter rätt många år i branschen även detta liksom andra utsagor i frågan får ses som löst grundade antaganden eller anekdotiska bevisföringar. Det är därför synd att strategin ensidigt inriktar sig på de antagonistiska hoten eftersom det riskerar att ge det fortsatta arbetet en slagsida som gör effektiviteten i nationella informationssäkerhetsarbetet mer begränsad. Ytterligare en negativ aspekt med att uttala en så tydlig inriktning är att det ger intrycket av att det finns kvalitativt kunskapsunderlag i frågan. Det kan i sin tur leda till att det nödvändiga arbetet med att hitta former för att skapa och ständigt uppdatera ett sådant kunskapsunderlag inte initieras.

Vilka åtgärder föreslås då för att komma till rätta med den allvarliga situation som målats upp? Ja, det är ganska svårt att se några mer konkreta åtgärder vid sidan om sådant som redan finns eller redan är beslutat. Det talas om de risk- och sårbarhetsanalyser respektive säkerhetsanalyser som redan är föreskrivna, om it-incidenter, om förslaget på ny säkerhetsskyddslag och om den nationell strategi för informations- och cybersäkerhet som bl. a. bygger på NIS-direktivet som håller på att tas fram. I övrigt rader som:

Därtill bör arbetet med de globala dimensionerna av informations- och cybersäkerhets­frågorna intensifieras.

Vilket väl kan betyda vad som helst.

Kanske är det fel att förvänta sig något annat än det som redan framförts i andra sammanhang i den här typen av dokument, särskilt som den nationella strategin för informations- och cybersäkerhet är i antågande. Det känns ändå som ett förlorat tillfälle att inte använda en strategi för att beskriva ett framtida önskvärt tillstånd och försöka skapa en helhetsbild.

Med denna bakgrund vill jag föra fram tre centrala önskemål på vad som borde ingå i den kommande informationssäkerhetsstrategin:

  • Analysera och redovisa vilka olika syften som informationssäkerheten ska tjäna på samhällsnivå, även de som ligger vid sidan om att upprätthålla funktionalitet i beredskapssyfte. Till exempel hur informationssäkerheten ska kunna stärka tilliten i viktiga samhällsfunktioner genom att säkerställa integritet, effektivitet och kvalitet.

  • Skapa organisatoriska former där olika informationssäkerhetsintressen kan samverka i en gemensam styrmodell – om informationssäkerheten annekteras och görs om till ett rent försvarsintresse kommer digitalisering, effektivitet, integritet och demokrati inte att kunna hanteras på ett rimligt sätt

  • Skapa ett bättre kunskapsunderlag – det är  särskilt viktigt att myndigheter går i bräschen och arbetar evidensbaserat i dessa faktaresistenta tider

Både mål och åtgärder måste motsvara alla de olika behov som som informationssäkerhetsarbetet ska täcka. Om strategin för informations- och cybersäkerhet inte klarar att omfatta andra aspekter än funktionalitet i ett beredskapsperspektiv kommer det att orsaka stora problem i den offentliga verksamheten. Myndigheter, kommuner, landsting och även företag i välfärdsbranscher kommer då att bli tvungna att själva försöka skapa lösningar för att upprätthålla helhetsperspektivet på informationssäkerhet. Resultatet blir fler stuprör istället för ökad standardisering och på sikt kanske ett nytt begrepp fastställas som täcker helheten och som kan ersätta ”informationssäkerhet”.

 

 

 

Varför funkar det inte? Del 8

Jag har tidigare skrivit om att jag ser kommunikation som det centrala verktyget i informationssäkerhetsarbetet och kanske det tydligast inte funkar. Det här inlägger kommer att ytligt behandla om några aspekter av det vittomfattande ämnet, nämligen förutsättningar och förförståelse, innehåll och form.

Att kommunikationen internt inom informationssäkerhetsområdet har jag redan försökt beskriva i ett tidigare inlägg. Det saknas arenor och samtalsformer för att utveckla kunskap och samsyn. Det språkbruk och de metaforer som uppstår i denna dysfunktionella kultur gör även att vår kommunikation inte fungerar i samspelet med de vi vill engagera. Ofta framstår både vi själva och det vi säger uppfattas som ovidkommande, auktoritärt, svårbegripligt och alarmistiskt (källa: de många verksamhetsföreträdare jag samverkat med under ett par decennier).

Själv uppfattar jag kommunikationen i informationssäkerhetsfrågor ibland som direkt vilseledande för civila organisationer. Ett exempel är den nednötta metaforen om att skydda sina guldägg. Den underförstådda tanken är att alla organisationer har avgränsade informationsmängder eller hård/mjukvara som ska skyddas mot främst obehörig åtkomst (?) framför alla andra. Detta menar jag är en feltolkning av hur dagens informations- och it-infrastrukturer fungerar där det snarare handlar om komplexa samband där olika men i många fall lika viktiga krav ställs på olika delar för att helheten ska fungera. För att ta ett exempel från verkligheten så är det i en kommunal verksamhet meningslöst att försöka peka ut vad som skulle vara ”guldägg”. I den kommunala äldreomsorgen bör det ställas mycket höga krav på tillgänglighet i trygghetslarmen, lika höga krav på riktighet och spårbarhet i journaldokumentationen och mycket höga krav på konfidentialitet i alla delar. För den ekonomiska redovisningen kommer peakar i tillgänglighetskraven vid vissa perioder under bokföringsåret. Jag kan fortsätta uppräkningen med att peka på PuL, algoritmer, webbplatser m.m., m.m. men det enda jag vill komma fram till är att jakten på ”guldägg” leder tanken och därmed kommunikationen helt fel. Andra vanliga påståenden på konferenser och i marknadsföring är att medarbetarna skulle vara det största problemet. I beg to differ. Detta påstående saknar belägg och den organisation som skulle se medarbetarna som den största risken tror jag får anledning att snabbt göra en förnyad riskanalys.

guldagg2

Den som tycker att ovanstående kan ses som bagateller behöver sannolikt mer övergripande argumentation om den problematiska kommunikationen. Låt oss se ett grundscenario som både gäller i den enskilda organisationen och på ett nationellt plan. Å ena sidan finns informationssäkerhetsexperterna som ser generella risker och som har organisatoriska och tekniska metoder för att reducera dessa risker (i alla fall hypotetiskt). Å andra sidan finns det organisationer för vilka informationen är en resurs för verksamhetens olika processer. Det är de senare som har den faktiska möjligheten och resurserna att genomföra informationssäkerhetsåtgärder. För att uppnå fungerande informationssäkerhet krävs insatser från båda parter. Enda sättet att skapa en sådan gynnsam situation är god kommunikation, den goda kommunikation som jag menar ofta saknas. Resultatet blir alltför ofta att verksamhet och informationssäkerhet samexisterar som olja och vatten. Trots att det är verksamheten som har behov av informationssäkerhet för att kunna leverera talar informationssäkerhetsspecialisten för döva öron. Ett aktuellt exempel på hur det kan gå är när eHälsomyndigheten, som objektivt sett är en av de svenska organisationer som har mest behov av god informationssäkerhet, levererar två regeringsuppdrag om framtiden och överhuvudtaget inte analyserar behovet av just informationssäkerhet . Jag kommer återkomma till detta i ett senare inlägg.

Sammantaget är min erfarenhet som statlig tjänsteman som försökt förbättra informationssäkerheten inom e-förvaltning och e-hälsa att försöket mötts med en ganska avsevärd brist på förståelse från båda lägren. De som arbetar med informationssäkerhet nationellt har haft begränsat intresse av och insikt om behovet av informationssäkerhet i verksamheter som är utpräglat civila. De som arbetar med digitalisering i förvaltning och sjukvård har med två undantag sagt typ: ”jaja, det är säkert viktigt med säkerhet men det tar vi sedan när vi realiserat våra lösningar – säkerhet innebär ju bara en massa krångel som kan leda till att vi inte kan genomföra det vi vill.” Förutsättningen för kommunikationen är alltså en ömsesidig misstro som måste överbryggas.

Behovet av informationssäkerhet finns främst hos organisationerna själva även om det på aggregerad nivå naturligtvis i hög grad är ett samhällsintresse. Ansvaret för kommunikationen ligger dock på informationssäkerhetsspecialisterna eftersom organisationerna inte är medvetna om sitt behov. Här uppstår dock ett avgörande problem eftersom kommunikationen om informationssäkerheten som skapas i denna situation i de flesta fall är utbudsstyrd istället för behovsstyrd. Det är informationssäkerhetsspecialisterna som försöker sälja in sitt utbud av standardiserade synsätt och metoder till en verksamhet som har ett behov, ett behov som tyvärr formuleras på verksamhetens egna premisser. Detta gäller även det nationella planet där det är myndigheterna med ett utbud som fått styra strategier och handlingsplaner, inte de civila verksamheterna med behov. Och som alltid vid utbudsstyrning är det svårt att sätta nivån och inriktningen eftersom behovet inte är definierat – utmärkt situation för ett kommersiellt företag men knappast då man försöker styra med begränsade resurser.

Kommunikationen är en produkt av områdets kultur. Den blir därför alltför ofta inriktad på envägskommunikation, förutsätter att de man riktar sig till är okunniga (”hur ska vi få dem att förstå”) samt på lösningar som är helt omöjliga i praktiken (som att använda signalskyddslösningar i sjukvården). Den känslomässiga argumentationen kring attacker och antagonistiska hot lämnar mottagaren i ett rationellt limbo, kvar blir rädda människor underkastade olika auktoriteter. Den auktoritära kommunikationsformen är naturligtvis också ett resultat av vår bristande kunskap inom informationssäkerhetsområdet (se tidigare inlägg), om man är osäker ger man sig ogärna in i dialog och diskussion.  Inte så få av de ”kommunikationsplaner” jag sett har enbart innehållit aktiviteter där avsändaren förmedlat budskap men inga aktiviteter av inlyssnande.

Hur ska vi då förbättra vår kommunikation så att organisationerna drivs av en inre motivation och på så sätt får ett ständigt förbättrat informationssäkerhetsarbete? Jag tror det viktigaste förhållningssättet är att bestämma sig för en rollfördelning där informationssäkerhetsspecialisten (både i en enskild organisation och i form av myndigheter på nationell nivå) är en stödfunktion. Ytterst få organisationer har informationssäkerhet som sin kärnverksamhet. Informationssäkerheten tjänar istället syftet att organisationen ska kunna upprätthålla sitt uppdrag och sin leverans med tillräcklig kvalitet och utan störningar (i detta ligger naturligtvis även att kunna uppfylla externa krav). För att kunna ge stöd måste informationssäkerhetsspecialisten förstå verksamheten, den unika informationshanteringen och de unika behoven.  Helt enkelt förstå att en pågående dialog, ett ömsesidigt utbyte är nödvändigt i lika hög grad för den som ska stödja som den blir stödd.

Varför funkar det inte? Del 7

Under senare år har frågan om säkerhetskultur blivit alltmer aktuell. Att få medarbetare i en organisation att vara medvetna och motiverade i säkerhetsfrågor ses av allt fler som något som inte bara är ett komplement till den traditionella regelstyrningen.

Tidigare har jag skrivit om betydelsen av en profession inom informationssäkerhetsområdet. Även för en profession är det centralt att ha någon form av kultur som både skapar gemenskap inom gruppen men också bär upp de handlingar, synsätt och värderingar som gruppen förmedlar till utomstående. Kort sagt kan ett kollektivs kultur ge gruppen en enighet om mål och medel som inte bara beskrivs i standarder, strategier och andra dokument utan som ett socialt kitt och ett ethos. Kultur handlar i första rummet inte om beteenden utan om det som ligger bakom beteenden, som innebörder, förståelser, idéer, värden, trosföreställningar, prioriteringar och förgivettaganden. Kulturens betydelse finns belagd i en ganska ymnig forskning inom olika fält som jag inte här kommer att gå närmare in på utan bara som icke-expert nicka och säga: ja, detta verkar relevant även för oss som arbetar med informationssäkerhet.

Det kan verka flummigt men jag tror detta är en mer central fråga än vad det först kan tyckas eftersom den kulturella grunden kan peka ut vägen för gruppen långsiktigt. De kulturella värderingarna ger också underlaget för prioriteringar i det vardagliga arbetet.  Sist men inte minst är en grupps kultur kärnan i den kommunikation som sker med de utanför för gruppen, de kulturella budskapen som gruppen förmedlar överröstar i princip alltid själv sakinnehållet i kommunikationen. Eftersom jag ser kommunikation som det viktigaste verktyget i arbetet med informationssäkerhet blir därför kulturfrågan central.

kultur3

Vad är då våra gemensamma värderingar och vad leder de till för beteenden? Ingen har, såvitt jag vet, gjort en kulturanalys av aktiva inom säkerhetsområdet utan jag ska försöka uttolka de gemensamma tendenser jag tyckt mig se genom åren. Redan nu ber jag om ursäkt för de kategoriska och säkert missvisande beskrivningar som följer men jag har för närvarande enbart tillgång till mina egna erfarenheter (vilket i sig är en del av kulturen eftersom denna typ av diskussion aldrig förs).

En första reflektion är att den militär-polisiära bakgrunden fortfarande vilar tung över oss. Det tar sig många uttryck som i den metaforvärld som används där ”attacker”, ”hot” och ”antagonism” bara är några exempel. Detta skapar naturligtvis en speciell atmosfär men eftersom det inte bara är så att tankar som styr ord utan i lika hög grad det omvända: att våra metaforer styr våra tankar kommer detta att påverka vårt agerande. Jag dristar mig till att säga att traditionella informationssäkerhetsmänniskor finner det betydligt enklare att fokusera på ”attacker” än att inrikta sig på de störningar i informationshanteringen som uppstår av andra orsaker som uppdateringsfel, buggar, bristande rutiner, ineffektivitet som gör att medarbetarna är mer eller mindre tvungna att bryta mot reglerna m.m. Vårt mindset är helt enkelt mer inriktat på attacker och det är också det vi kommunicerar exempelvis med ledningarna i de organisationer där vi verkar. Men denna kulturella värdering kan leda oss fel även i praktisk handling för om ENISA har rätt i sin rapport så är det inte antagonistiska hot som skapar flertalet störningar:

 

 

enisa

Även om alla säkert kan vara överens om att incidentrapportering är problematiskt som underlag för att bedöma vad som egentligen händer och i ännu högre grad om vilka hot som finns är ENISA:s redovisning intressant, särskilt som det väl för Sveriges del inte finns någon som är mer relevant. Om vi nu antar att ENISA:s uppgifter stämmer så är det stora problemet störningar i kommunikationen som leder till störningar i system. Malicious actions är däremot en mycket liten kategori. Flera rimliga frågor inställer sig som vad som orsakat störningarna i kommunikationen. En annan vanlig kommentar när den här typen av siffror redovisas är att det finns ett stort mörkertal när det gäller attacker m.m. Där är jag helt beredd att hålla med, vi ju är långt ifrån att ha en heltäckande redovisning av inträffade incidenter, men rimligen är mörkertalet lika stort eller större när det gäller icke-antagonistiska incidenter. Min poäng är i all enkelhet att den kulturella styrningen mot antagonistiska hot kan leda till felprioriteringar i informationssäkerhetsarbetet.

Att vara inriktad på antagonistiska hot är också belönande i så måtto att det enklare att få uppmärksamhet både från ledningar och media om man pratar om spännande hotbilder med antagonister än om frågeställningarna tangerar den vardagliga verksamhetsutvecklingen. I den nu rådande kulturen finns en påtaglig fara för att informationssäkerhetschefen medverkar till att ledningen beslutar om säkerhetsåtgärder som inte motsvarar den faktiska riskbilden. Och här gömmer sig kanske också ett kulturellt problem eftersom det finns två mål för säkerhetsarbetet; att avvärja hot respektive att stödja att informationshanteringen uppfyller verksamhetens krav på konfidentialitet, riktighet, spårbarhet och tillgänglighet. Det förstnämnda liknar mer än militär uppgift medan det andra är mer att jämföra med ett kvalitetsarbete och inbegriper en nära dialog med verksamheten. Om vi ska arbeta mer aktivt med kulturfrågan måste vi förtydliga vilken som är vår gemensamma målbild och också vår roll.

För att skissa vidare på den kultur jag uppfattar finns i vårt sammanhang så ser jag också ett auktoritärt drag. Detta drag har förmodligen samma militär-polisiära bakgrund som det tidigare men kanske det svaga kunskapsunderlag vi ofta har för det vi föreslår också spelar in. Exempel på vad jag menar med det auktoritära draget är att jag tycker att det finns en övertro på regler och compliance jämfört med andra typer av styrning som mer bygger på diskussion och tvåvägskommunikation. Jag uppfattar också att kultur och former för diskussioner som alltför litet öppna och ”akademiska”, kanske för att det inte forum som inbjuder till det. De forum som finns är i de flesta fall konferenser där ”heliga” sanningar presenteras utan återkoppling. Denna attityd förstärks genom att informationssäkerhetsspecialistens legitimitet oftare hämtas i externa krav som lagstiftning eller standarden än verksamhetens egna behov.

Det finns också dragning mot hemlighetsfullhet. Detta kan härledas till när säkerhetsarbetet i första hand var inriktat på att skydda rikets säkerhet men kanske också till att vi har svårt att rationellt argumentera för olika åtgärder. Det kan då vara enklare att antyda att det finns hot som tyvärr inte kan yppas än att tydligt redogöra för olika risker och låta ledningen eller verksamheten avgöra vad som är nödvändiga åtgärder. Detta är en bräcklig position som jag också tror skapar osäkerhet hos många i branschen. Jag uppfattar inställningen som felriktad därför att betoningen på det hemliga, förutom att göra de flesta samtal till återvändsgränder, också gör att andra lika viktiga frågor kommer helt i bakgrunden. I myndigheter finns till exempel kravet på öppenhet i offentlighetsprincipen som ställer stora krav på riktighet och spårbarhet i de offentliga informationsflödena. Informationssäkerhetsspecialisten har, i min mening, ett lika tungt uppdrag i att medverka till detta som att skydda mot obehörig åtkomst.

Detta är ett exempel på statusbalansen i kulturen, sekretess har högre status än öppenhet, men det finns även andra statusförhållanden som kan diskuteras. Ett sådant är förhållandet mellan teknik och organisation som ofta omnämns som ”hårda” respektive ”mjuka” frågor. Man behöver inte ha läst genusvetenskap för att tolka att den egentliga innebörden är att de hårda, manliga frågorna är aningen viktigare än de mjuka, kvinnliga. Så är det i det övriga samhället och det finns inga skäl att tro att det set annorlunda ut inom informationssäkerhetsområdet. I praktiken leder denna inställning ofta till en överbetoning av tekniska lösningar framför organisatoriska och också till ett ofta väl teknokratiskt förhållningssätt även i organisatoriska åtgärderna. Det blir litet märkligt i kombination med standardens tydliga organisatoriska inriktning men det är en dissonans som har accepterats.

Slutligen är en annan viktig aspekt av kulturen den tydliga mansdominansen. Jag ser det som ett svaghetstecken för en yrkeskår när det måste skapas särskilda forum för kvinnor vilket nu skett på flera håll. Kanske känns det nödvändigt för att kunna leva vidare i den auktoritära och teknokratiska kultur som jag frammanat ovan. Jag skulle dock hellre se att vi gick vidare och försökte utveckla en mer ändamålsenlig kultur för de uppgifter vi har att lösa och där alla kan delta i ett gemensamt samtal på lika villkor.

Varför funkar det inte? Del 6

En profession behöver metoder

För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder. Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.

 

lojlfammal

I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat. I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering. Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter. Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat. Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.

Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet. För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs. Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning. Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter. Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta. Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas. En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer. Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder. Detta var dock inte en uppfattning som delades av alla. Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.

I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik. Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas. I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.

Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade. Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.  Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.

Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod. Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade. Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.

Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp. Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella. ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod. Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna. Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i en organisation när information i allt högre grad flödar över organisationsgränser. ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare. Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.

Varför funkar det inte? Del 5

I ett tidigare inlägg skrev jag om vad jag uppfattar som ett bristande vetenskapligt stöd för det informationssäkerhetsarbete som bedrivs. Att inte kunna bottna sitt arbete i etablerad kunskap skapar av naturliga skäl avgörande hinder i det kunskapssamhälle som numera är vårt. Men om vi kontrafaktiskt skulle anta att det fanns en välutvecklad akademisk kunskap om informationssäkerhet skulle inte denna kunskap vara tillräcklig för att få en verkligt fungerande informationssäkerhet i organisationer och i samhället i stort. Det behövs också aktörer som vet ”hur” man ska göra, det vill säga tillför techne och fronesis till episteme.

Behovet av en profession

Vad jag avser är en profession av låt oss kalla det informationssäkerhetsspecialister. Behovet av att skapa nya professioner följer med utvecklingen av det moderna samhället från skråväsendets tillkomst under medeltiden till dagens på olika sätt legitimerade eller auktoriserade yrken. Professionen skapar legitimitet åt yrkesutövarna, ”paketerar” deras kompetens så att den blir hanterbar även för externa parter som är intresserade av att använda den och, inte minst, utgör en dialogpartner för den akademiska kunskapsutvecklingen.

Den fruktbara relationen mellan profession och akademin kan kanske mest arketypiskt ses inom det medicinska fältet där läkarna genomgått en professionaliseringsprocess under mycket lång tid. Numera har även andra yrkesgrupper som sjuksköterskor och fysioterapeuter gjort samma resa men för enkelhetens skull ska jag fortsättningsvis hålla fast vid läkarna som exempel.

För den som läst något om medicinhistoria är det uppenbart att samspelet mellan de praktiserande läkarna och den akademiska forskningen varit nödvändigt för att nå fram till dagens möjligheter att faktiskt bota, förebygga och lindra allehanda sjukdomstillstånd. Sextonhundratalets fältskärer skulle inte genom praktiskt karvande i sårade soldater kunnat generalisera sin kunskap så att den skulle kunna beskriva sårinfektioner på ett allmängiltigt sätt. Lika litet skulle de medicinska forskarna som faktiskt fanns vid denna tid kunnat avvara den praktiska kunskapen hos dem som dagligdags mötte patienter, om än med bensågen i högsta hugg. För att detta samspel skulle kunna utvecklas på det fruktbara sätt som faktiskt skett var en viktig faktor att de praktiserande läkarna kom att utgöra en alltmer skarpt avgränsad profession med bestämd kompetens och enhetliga metoder.

Jag gör analogin till informationssäkerhetsområdet där vi har samma behov av att förena teori och praktik. En professionell yrkesutövning kan borga för den kvalitet som är nödvändig i den praktiskt utövande delen av kunskapsområdet och av denna anledning bör en profession av informationssäkerhetsspecialister skapas.

Krav på en profession

Utvecklandet av en profession är som sagt den normala gången inom olika kunskapsområden och det finns också en omfattande forskning på temat. Både inom gruppen själv och för externa parter som arbetsgivare in spe måste det gå att beskriva vad professionens Unique Selling Proposition eller Unique Selling Point (USP) är och också skapa organisatoriska strukturer för att upprätthålla denna USP. Några av de moment i professionsbildandet som brukar tas upp litteraturen är följande:

Definition av kunskapsområde

En grund då en profession vill formalisera sig är att man annekterar ett kunskapsområde och hävdar att den egna gruppen är den främsta/enda som äger denna kunskap, jämför läkare och medicinen. Förutsättningen är att det går att definiera kunskapsområdet på ett sätt som både gruppen internt och omvärlden kan vara eniga om. Här finns ett problem för informationssäkerhetsspecialisterna om den beskrivningen av oklarheten i vad kunskapsområdet egentligen består i godtas. Är det en organisatorisk eller teknisk kompetens som utgör kärnan för att bara ta en av de många frågor som kan ställas.

Krav på teoretisk och praktisk kunskap som säkerställs genom etablerad procedur

För att få tillhöra en profession måste det definieras vilken teoretisk och praktisk kunskap man måste besitta. Det måste också finnas en procedur som är erkänd även av utomstående som garanterar att de som utger sig för att tillhöra professionen verkligen kan antas inneha den rätta kompetensen. Det räcker alltså inte med att man själv kallar sig ”informationssäkerhetsexpert” eller att man har lösliga grupperingar av typen communities. En ganska självklar del i detta är en formaliserad utbildning vilket idag saknas inom informationssäkerhetsområdet. De utbildningar som erbjuds på högskolenivå (vilket vi väl får anta är rimligt att kräva) har ett mycket spretigt innehåll från ”Internationella aktörer och regelverk” till ”It-forensik” för att bara ta ett par exempel från högskolekurser som beskriver sig som utbildning i informationssäkerhet.

Andra utbildningar går in på ren it-säkerhet eller på praktiska metoder men kunskapsområdets otydlighet avspeglar sig i utbildningsutbudet. Om vi tittar på innehållet i olika populära certifieringar blir bilden än mer otydlig, i en CISSP-certifiering uppges bland annat telekommunikation och mjukvaruutveckling ingå.
Kravet på formaliserad utbildning blir därmed i dag svårt att uppfylla liksom två andra vanliga krav på en profession: inträdeskrav och avgränsning av de som inte hör dit. För att sammanfatta så kan vem som helst oavsett utbildning, erfarenhet eller personlig lämplighet utge sig för att vara informationssäkerhetsspecialist utan att någon kan hävda motsatsen.

Normer och kultur

En profession definieras inte bara av kunskap utan också av de specifika normer och den kultur som dess medlemmar ansluter sig till. Exempel på detta är, förutom läkaretiken, de normer som upprätthålls av advokatsamfundet. Det innebär också en kollegial kontroll över de attribut som yrkestitel som följer med professionen. Detta förutsätter i sin tur någon form av kollegial organisation som kan utöva kontroll och utveckla en yrkesmässig kultur och etik.

Informationssäkerhetens professionalisering – hur ska vi gå vidare?

Idag saknas flertalet av de förutsättningar som krävs för en professionalisering inom informationssäkerhetsområdet. Behovet är av en sådan är dock stort och om man ska dra slutsatser av andra yrkesgruppers historia måste frågan drivas av de yrkesverksamma själva. En svårighet är att det inte finns fackföreningar eller starka intresseföreningar inom området som skulle kunna inleda en sådan process. Ett första steg är att börja diskutera framtiden på ett öppet sätt och försöka hitta vägar framåt. Är lämpligt med ett brett anslag där hela den spännvidd som nu ryms under beteckningen informationssäkerhet men med en specialisering på samma sätt som läkarkåren? Eller bör vi resonera oss fram till en tydligare avgränsning mot it-säkerhet och cybersäkerhet?  Frågorna är många men än saknas forat att diskutera dem i.

Varför funkar det inte? Del 4

Kunskap och informationssäkerhet

Som redan framgått är det svårt att ens ge en enhetlig och allmänt accepterad definition av begreppet informationssäkerhet. Att då kunna beskriva kunskapsområdet informationssäkerhet blir därför av naturliga skäl minst lika svårt.  Ändå menar jag att den enda verkliga legitimitet som informationssäkerhetsområdet kan uppnå måste gå genom att kunna motivera synsätt, metoder och investeringar med ett kunskapsunderlag. Kunskapsunderlaget måste därför vara av en sådan karaktär att det kan accepteras av de aktörer som vi vill ska anamma synsätten, använda metoderna och göra investeringarna. Om vi inte kan argumentera utifrån en rationell position återstår att försöka övertyga med känslor eller utifrån särintressen alternativt mycket smalt perspektiv som att exempelvis isolera en risk och se den som helt dominerande.

Min uppfattning är att vi idag är ganska långt ifrån att ha ett gemensamt kunskapsunderlag. Kvaliteten på kunskapsunderlaget kan också ifrågasättas av flera skäl, bland annat inte oväsentliga delar har sitt ursprung i rapporter från bolag som säljer säkerhetsprodukter. Ett kanske ännu större problem är att det saknas arenor för kunskapsutveckling utanför akademin där en professionell diskussion kan föras. Istället skulle jag vilja hävda att området präglas av ett anti-intellektuellt förhållningssätt som leder till en stagnation också när det gäller att ta fram praktiskt fungerande lösningar för att förbättra säkerheten.

Episteme, Fronesis, Techne

Utan att gå tvärdjupt är en rimlig utgångspunkt för ett kunskapsområde att det har olika lager av kunskapsnivåer inklusive en teoretisk grund. För att ett auktoritativt stöd i detta men också skapa en ganska enkel pedagogik tar jag hjälp av Aristoteles som delade upp kunskapen i fem former av vilka jag endast kommer att diskutera tre:

episteme (vetenskaplig kunskap, påståendekunskap, veta att)

techne (praktisk-produktiv kunskap, färdighetskunskap, veta hur),

fronesis (praktisk klokhet, det goda omdömet, veta när)

För den som vill veta mer om detta på ett enkelt sätt rekommenderar jag denna text.

Min känsla har länge varit att det som uppfattas som kunskap inom informationssäkerhetsområdet går att hänföra till techne med betoning på enkla tumregler och tekniska lösningar. Många duktiga informationssäkerhetsmänniskor har haft rejäla mått av fronesis så att de kunnat tillämpa den fyrkantiga techne-kunskapen på ett bra sätt i sina organisationer. Däremot så uppfattar jag att episteme, den vetenskapliga kunskapen med krav på generaliserbarhet och mätbarhet, i hög grad saknas inom informationssäkerhetens kärnområde. Vad jag då avser är att exempelvis en övergripande teoribildning på det som är vanlig inom samhällsvetenskapliga områden inte riktigt går identifiera i många av de vetenskapliga texter som publiceras om informationssäkerhet. Det har också ofta slagit mig att jag sällan sett att etablerade uppfattningar och metoder prövas på ett vetenskapligt sätt. För att snabbtesta mina egna fördomar har gjorde jag en sökning i svenska databaser på aktuell forskning om informationssäkerhet och fick fram några hundra publikationer som jag granskade snabbt och översiktligt utan anspråk på någon som helst vetenskaplighet. Den som själv gå igenom samma material kan följa den här länken och den här.

I beskrivningarna har jag försökt utläsa om det finns en teoretisk utgångspunkt som på försöker beskriva ett ontologiskt perspektiv om hur informationshantering och informationssäkerhet samverkar och vad informationssäkerhet är. Jag har också försökt läsa ut huruvida författarna verkligen ifrågasatt de etablerade synsätten och metoderna samt prövat dess effektivitet och relevans på ett ”objektivt” sätt. Slutligen har jag tittat på inom vilken disciplin texten är skriven och om den förefaller vara övervägande organisatorisk eller tekniskt orienterad.

Intryck

Efter denna snabba och djupt orättvisa genomgång tycker jag mig ändå se vissa tendenser.

Oklarheten i begreppet informationssäkerhet som jag tidigare skrivit om gestaltas också i de vetenskapliga texterna och leder till en spretighet. Begreppet tycks kunna stå för renodlat tekniska lösningar (som jag kanske hellre skulle kalla it-säkerhet) som organisatoriska. I de fall där jag läst sammanfattningarna är denna begreppsförvirring och ontologiska brist inte något som författarna tycks uppfatta som ett problem. Inte heller verkar ontologin i grundbegreppen konfidentialitet, riktighet, tillgänglighet, spårbarhet alternativt CIA-begreppen utgjort en frågeställning i området.

Flertalet texter är skrivna av forskare med teknisk eller systemvetenskaplig bakgrund. Detta leder till två helt olika problem. Det första är att fokus ofta kommer att ligga på tekniska lösningar istället för organisatorisk styrning trots att man säger sig skriva om informationssäkerhet. Det andra är att det är forskare med teknisk eller systemvetenskaplig bakgrund som skriver om organisatoriska frågor vilket ligger utanför deras egentliga kompetensområde, något som kan leda till att de inte helt har de redskap som krävs för en organisatoriskt inriktad forskning. Sammantaget leder det till att den organisatoriska styrningen bli styvmoderligt behandlad.

Ett genomgående drag är att etablerade synsätt och metoder förefaller förutsättas vara fungerande och effektiva. Detta gäller i hög grad de mer organisatoriskt inriktade texterna som kan handla om mätning, compliance och säkerhetskultur för att ta några exempel. Detta gäller även då man exempelvis tittar på mognadsmodeller där mognaden kan ses som en slags compliance till etablerade synsätt och metoder.

Förutom compliance är fenomenologi i en relativt vanlig form av studie. Det kan handla om hur medarbetare, patienter eller någon annan grupp uppfattar säkerhetsåtgärder eller -behov. Inte heller här tycks metoder egentligen ifrågasättas utan snarare är det uppfattningarna om dem som kan behöva ändras.

Trots inriktningen mot compliance är det få texter som undersöker värdet av de åtgärder som compliance-kravet gäller. Att vara compliant till kravet att ha bland annat en incidenthantering följs inte av en undersökning av effektiviteten i olika metoder för incidenthantering för att ta ett hypotetiskt exempel. Att studera metoder och delta i metodutveckling förekommer dock inom rent tekniska frågeställningar.

Och vad blir konsekvensen?

Forskning är naturligtvis inte den enda källan till kunskap men det finns frågeställningar inom informationssäkerhetsområdet där jag uppfattar att en vetenskaplig metod är lämplig för att skapa nödvändig kunskap. Det gäller både en slags grundforskning på ontologisk nivå och för insatser för att på ett vetenskapligt sätt skapa en evidensbaserad kunskap kring effektiviteten i olika, framförallt organisatoriska, metoder. Denna typ av frågeställningar kan svårligen hanteras av enskilda informationssäkerhetsansvariga eller av enskilda organisationer.

Informationssäkerhetsområdet har stort fokus på techne vilket sannolikt leder till ineffektiva och bakåtblickande metoder. Det är svårt att föreställa sig samma lösliga relation till evidens inom andra områden som trafiksäkerhet eller medicin trots att dessa områden måste sägas ha likartade tekniska eller hantverksmässiga bakgrund som informationssäkerhet.

Min tes är ju informationssäkerheten inte tycks hålla måttet och följaktligen anser jag kan det finnas anledning att även inom detta område inta den förkättrade normkritiska positionen och ifrågasätta även de mest etablerade sanningarna. Att forskningen går från att anti-intellektuellt handla om ett slags hantverk till att ge frågorna den analytiska och intellektuellt utmanande behandling som de i sanning kräver. Att gå från ett förhållningssätt som är konserverande till att bli ett explorativt som ligger i linje med den snabba organisatoriska och tekniska utveckling som sker.  För detta krävs kreativa och odogmatiska forskare som banar väg, skapar ny kunskap och ger oss andra underlag för en förbättrad praktik.

För att ta emot den mer utmanande kunskapsproduktion som skulle bli resultatet krävs en profession som har samma förhållningssätt inom techne och fronesis samt plattformar att mötas på. Som jag skrev inledningsvis är en av de stora bristerna att den typen av plattformar saknas idag och att ingen nationell aktör känner sig manad att ta på sig ett sådant ansvar. I nästa inlägg ska jag skriva om professionen – kanske finns det i en stärkt professionalisering en möjlighet till ett mer professionellt kunskapsbygge?

Hunnen så långt i mitt funderande får jag tips om en artikel som visserligen är från 2008 men som bekräftar att några av de intryck jag beskrivit är problem kända sedan tidigare som exempelvis bristen på empiri och, som i citatet nedan, på teoribildning:

As can be seen, the use of theories in ISsec research is not equally common as it is in IS research. In total only 18.51% of the ISsec articles cited one or more theories. Hence, over 1000 ISsec articles contained no theory whatsoever. As noted, of the 18.51% ISsec papers, nearly 80% cited ‘mathematical’ theory, which leads to the position where the other 37 theories accounted for only 48 ISsec papers. Indeed, thirty of the theories identified were only cited once in the ISsec literature. This indicates that while in ISsec research theories may be cited, intellectual development fails to occur as other researchers do not adopt and explore such theories. Hence these figures generally indicate that IS security research is chronically underdeveloped in terms of theory. This is worrying as with science in general (Laudan, 1984), the use of proper theories are seen as a fundamental element of IS research (Walls et. al., 1992). To summarize, while theories are highly valued in IS, they are not necessary to publish in information security forums.

Det tycks alltså finnas fler som funderar över från vilken kunskapsgrund vi egentligen utgår.

Varför funkar det inte? Del 3

I mitt förra inlägg hävdade jag att det är svårt att säga vad informationssäkerhet egentligen är. En fråga som nära ansluter till detta är vad målet för arbetet med informationssäkerhet är. Jag uppfattar den frågan som central att analysera både för informationssäkerhet som kunskapsområde och för den enskilda organisationen som inleder eller redan har ett fortlöpande arbete för att hantera den egna informationen på ett säkrare sätt. Om målet inte är klarlagt är risken överhängande att informationssäkerhet blir ett självändamål. Detta skulle strida mot en av mina mest grundläggande övertygelser; att informationssäkerhet aldrig kan ha ett existensberättigande i sig själv utan måste se som en stödfunktion. Då måste man dock veta vad det är som ska stödjas.

Informationssäkerheten så som vi känner den idag (om vi nu gör det) har en kort historia. Med det menar jag inte bara begreppet informationssäkerhet vars tidigaste belägg tror jag finns på 1970-talet. Däremot har vissa synsätt och metoder en betydligt längre historia. Att skydda information mot obehörig åtkomst är något som skett med olika metoder är i princip lika gammalt som skrivkonsten i olika former. Även metoder för spårbarhet som signering och för riktighet som vidimering blivit alltmer standardiserade i Europa sedan medeltiden och framåt, och då kanske främst som stöd i det alltmer intensiva ekonomiska livet. Detta finns ganska väl beskrivet på annat håll men inom informationssäkerhetsområdet har traditionen ofta snarare hämtats från militär och polisiär verksamhet. Målet för aktiviteterna har som en följd av detta formulerats utifrån militär/polisiära behov snarare än det från det civila samhällets behov av säkra ekonomiska transaktioner, rättssäkerhet för den enskilde och det enskilda företagets möjlighet att ha stöd för sina affärer. I detta perspektiv är syftet med informationssäkerheten att framför allt skydda staten i någon mening, inte den enskilda verksamheten och allra minst den enskilda individen.

Den militär-polisiära bakgrunden påverkar fortfarande området starkt vilket gör målet för arbetet otydligt – är det nationens intresse som står i förgrunden eller är det vardagliga arbetet i en organisation som på bästa sätt försöker upprätthålla sin egen verksamhet med tillräcklig effektivitet och kvalitet?  Är det de externa kraven för att skydda statens intressen som ska vara det som ska lyftas fram som den främsta målbilden eller är det de interna behoven? Innan någon börjar rasa ska jag vara tydlig: självklart menar jag inte att det går att enbart tillgodose externa krav eller enbart tillfredsställa interna behov – alla organisationer måste göra båda delar. Vad jag menar är att det inte längre kan vara tillräckligt att se till externa krav i form av säkerhetsskyddslagen. Inte heller går det enligt min erfarenhet att med någon större framgång att använda merparten av de informationssäkerhetsmetoder framtagna för militära eller polisiära syften i en tidspressad civil informationshantering.

Min slutsats är därmed att målet för informationssäkerhetsarbetet måste vara att stödja den enskilda organisationen, eller idag snarare informationssamverkande organisationer, att klarlägga sitt eget behov av informationssäkerhet inklusive olika typer av externa krav som riktas mot organisationen/organisationerna. Föga revolutionerande slutsats kan tyckas, särskilt som den är i stark harmoni med ISO 27000 förutom i avseendet att standarden är helt inriktad på en autonom organisation och inte på e-samhällets allt tätare integration av informationshanteringen.

Om målet accepteras är dock konsekvenserna att ta på allvar. Den viktigaste konsekvensen är informationssäkerhet som kunskapsområde måste kunna erbjuda effektiva sätt att avgöra vad som organisationens/organisationernas faktiska behov. Det innebär också möjligheten att det måste finnas en öppenhet för att ledningen inte önskar särskilt mycket säkerhet utan är beredd att ta risken eftersom målet inte är så mycket säkerhet som möjligt. När ledningen gör bedömningen kommer den att ta hänsyn till ett antal faktorer som den formulerar som verksamhetens behov inklusive att följa relevant lagstiftning. Relevant lagstiftning är för de flesta civila organisationer i mindre grad säkerhetsskyddslagen medan alla organisationer som hanterar personuppgifter måste leva efter dataskyddsförordningen. Myndigheter ska dessutom hantera sin information enligt offentlighetslagstiftningen vilket förutsätter god ordning på riktighet och spårbarhet. Informationssäkerhet är alltså i sig inte ett mål utan ett medel som kan tjäna olika mål som exempelvis god integritet och god offentlighetsstruktur – vilket kan leda till intressanta intressekonflikter. Detta ligger ganska långt ifrån det traditionella militära perspektivet att vissa handlingar som innehåller specifik information ska stämplas med sekretessmarkering och sedan hanteras enligt väl reglerade metoder.

Att kunna beskriva informationssäkerheten som ett medel är därför ett mål i sig. Ett mål som ställer krav på kommunikation mellan den informationssäkerhetsansvarige och verksamheten. När verksamheten frågar ”vad ska informationssäkerheten egentligen vara bra för?” är detta en rimlig utgångspunkt och en bra prövosten för den informationssäkerhetsansvarige för att kunna motivera sitt arbete.

Jag tror vi idag är ganska långt ifrån denna typ av målformulering för vårt arbete. Alltför ofta motiveras säkerhetsarbetet utifrån ett ganska alarmistiskt agiterande utifrån generella hot. Verksamhetsanknytning i form av bedömning av de egna riskerna eller genom informationsklassning har ju i de genomförda undersökningarna inte visat sig förekomma i närheten av det som föreskrifter och annat stipulerar. Den otydliga målbilden kan också göra det svårt att hitta en fungerande yrkesroll som ju snarast bör vara en konsultativ och stödjande funktion än en som söker sin legitimitet främst i externa krav som lagstiftning. När omvärlden präglas inte bara av en stark teknikutveckling utan även en snabb organisatorisk förändring där offentliga och privata verksamheter delar informationshantering kan inte målet vara enbart att skydda statens intresse. Istället måste målbilden vara tydlig men dynamisk och anpassad till den verksamhet som ska skyddas med hjälp av informationssäkerheten. Först då kommer en verklig drivkraft att förbättra informationssäkerheten att komma inifrån verksamheterna själva.

Mitt eget utopiska mål är den osynliga informationssäkerheten, när den är så inarbetad i verksamhetens rutiner att ingen tänker på att den finns och risker ur säkerhetssynpunkt bedöms på samma sätt som andra risker utifrån hur de påverkar verksamhetens resultat.

Varför funkar det inte? Del 2

I detta inlägg ska jag inrikta mig på några mer generella frågor för området som också bör vara frågor som den som inte lever och andas informationssäkerhet borde ställa.

Vad är informationssäkerhet?

Ett ganska modest krav är att på ett hyfsat entydigt sätt kunna definiera vad informationssäkerhet är. Detta är dock svårare än vad det först kan förefalla. Inte ens om det är ett slags tillstånd eller en förmåga är klart. Jag ska här endast ta upp några av de frågor man kan ha anledning att ställa sig angående vad informationssäkerhet ska anses vara.

En definition som säkert kommer att användas av många är den som finns med i den terminologi som sammanställts inom SIS:

bevarande av konfidentialitet, riktighet och tillgänglighet hos information.

Denna definition har övertagits av MSB i den nya föreskriften MSBFS 2016:1 trots att myndigheten i andra sammanhang talar om ”förmåga” alternativt ”tillstånd” i andra sammanhang.

Jag ska inte detta sammanhang gå in på ISO 27000 och dess översättning i detta sammanhang utan här endast koncentrera mig på det sätt som terminologin definierar begreppet. I ordet ”bevara” finns en implicit föreställning om att en vald informationsmängd är en entitet som har initiala egenskaper som ska bibehållas i en kortare eller mindre hantering. Detta är ett ganska egenartat synsätt som sannolikt är hämtat från ett tidigare tekniskt utvecklingsskede, kanske en slags databastänkande, där man är upptagen av transaktioner inom ett enskilt system. Att ställa krav på informationens kvalitet före instoppandet i systemet eller vid sammanställning till nya informationsmängder ligger utanför definitionen. I värsta fall skulle informationssäkerhetsarbetet alltså leda till att felaktig information förblir felaktig eftersom då den ursprungliga riktigheten ”bevaras”. Beskrivningen indikerar också ett statiskt förhållande där informationen liksom inkapslad färdas i ett system. Detta stämmer inte heller särskilt väl med den informationsinfrastruktur som har växt fram där information hela tiden sammanställs, förändras och kommuniceras i nya strukturer. Informationssäkerheten borde då syfta till att förändras och skapa en tillräcklig nivå av skydd under informationshanteringsprocessen/erna. Personligen måste jag därför medge att ”bevarande” är en definition som inte känns relevant. ”Tillstånd” eller ”förmåga” är alternativ som skulle ge andra möjligheter men oavsett vilket begrepp som väljs borde det bygga på en mer

Trots att informationssäkerhetsområdet inte bygger på tung akademisk forskning på en ontologisk nivå, till exempel rörande vad informationssäkerhet skulle sägas vara, finns det vissa hangups där det hänvisats till akademin. Den sådan är begreppet ”spårbarhet” som av informationssäkerhetens purister inte anses ha samma autonoma värde som exempelvis riktighet och tillgänglighet. Purismen i denna fråga känns inte särskilt väl underbyggd. Mig veterligen inte finns någon begreppsmodellering genomförd över något av begreppen och inte heller är översättningen av den så kallade CIA-triaden (Confidentiality, integrity och availability) till konfidentialitet, riktighet och tillgänglighet klockren. Integrity skulle knappast översättas till ”riktighet” i något annat sammanhang, särskilt som riktighet i SIS terminologi anges som skydd mot oönskad förändring vilket återigen antyder ett synsätt som utgår från databashantering. Rent praktiskt är spårbarhet ett begrepp som är av stor betydelse i transaktionstäta verksamheter som bank, finans och sjukvård samt för att stödja integritetskrav. Spårbarhet är också mycket tydligt kopplat till konkreta åtgärder som loggning – ändå väljs det bort utan närmare förklaring. Detta är bara ett exempel på att själva grundelementen i beskrivningen av informationssäkerheten saknar verkligt definition vilket ger möjlighet till vitt skilda tolkningar och närmast trosläror om vad informationssäkerhet egentligen är.

Ett annat tolkningsproblem är skillnaden mellan informationssäkerhet å ena sidan och it-säkerhet å den andra. Att de som inte har informationssäkerhet har svårt att uppfatta skillnaden är inte så konstigt men att även de som arbetar med informationssäkerhet vacklar i distinktionen är ett tydligt tecken på osäkerheten i begreppet informationssäkerhet. För mig framstår det som att informationssäkerhet i i första hand är en organisatorisk stödfunktion som ska ge ledningen stöd i att styra sin verksamhets resurser så att de skyddar informationen på ett sätt som stöder verksamhetens mål. Detta uppfattar jag också som kärnan i ISO 27000 som ju är helt inriktad på att skapa ett ledningssystem som ska ge en organisatorisk förmåga till styrning av informationshanteringen. It-säkerhet är i detta perspektiv de tekniska åtgärder som ska vidtas för att svara på de krav som ledningssystemet ställer. Många verksamma inom informationssäkerhetsområdet tycks inte dela denna uppfattning utan ser informationssäkerhet som synonymt med it-säkerhet. Även denna basala fråga skulle behöva analyseras och få en mer allmänt accepterad förklaring.

Detta är bara några frågor där det enligt min uppfattning råder oklarhet och där utrymmet för analys och vidareutveckling är mycket stort. I nästa inlägg ska jag ge mig på målet för arbetet med informationssäkerhet.