Den viktigaste förebyggande åtgärden saknas

Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna. Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske. Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.

För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer. För att uppnå detta krävs både episteme, fronesis och techne. Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerande informationssäkerhetsarbete ska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras. Jag skulle vilja hävda att detta idag i allt för hög grad saknas.

Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sitt informationssäkerhetsarbete så att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär. Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.  Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag. Det gäller c.a. 350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet. En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns. Hos de som får allt tyngre ansvar för det faktiska informationssäkerhetsarbetet finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet. Till viss del fanns denna insikt även i  den strategi för samhällets informationssäkerhet som MSB tog fram tillsammans med andra myndigheter. Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.

Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen. Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.   Utredningar som SOU 2015:23 Informations- och cybersäkerhet i Sverige, SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster, SOU 2017:114 reboot – omstart för den digitala förvaltningen liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter. Den nationella strategin för informations- och cyberssäkerhet (Skr. 2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen. Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.  Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.

Jag delar inte denna tilltro till den osynliga handen. Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov. Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas. Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt). Därav ett stort fortbildningsbehov. De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning. Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning. Detta räcker naturligtvis inte långt.

Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren. Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället. Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist. Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas. Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet. Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.

 

Finns det en informationssäkerhetskultur?

Som jag litet surt påpekat några gånger är kunskapsgrunden för informationssäkerhetsarbetet påfallande svagt. Det är därför en händelse av stort intresse när en ny forskningsantologi inom informationssäkerhetsområdet publiceras som nu då Informationssäkerhet och organisationskultur presenteras. Än mer så när den är inriktad på organisation och inte enbart teknik som den övervägande del av de svenska forskningsinsatser varit.

Antologin bygger på resultatet från ett antal olika forskargrupper som finansierats av MSB i ett femårigt forskningsprogram relaterat till frågor om informationssäkerhetskultur. I programmet genomfördes en omfattande enkätundersökning som använts av flera av de ingående forskningsgrupperingarna.

Att det är ett konglomerat av olika discipliner som deltagit är både en styrka och en svaghet i antologin. Styrka eftersom det ger en i delar ny och intressant belysning av informationssäkerhet, svaghet då den röda tråden i antologin känns väl tunn och att det mer har handlar om paketering än en reell knytning till just säkerhetskultur. Att det inte är ett inarbetat forskningsområde visar sig också i att den litteratur som använts i förvånande hög grad är utgiven för tio år sedan eller mer.

Först två allmänna reflektioner efter genomläsning. För det första beskrivs informationssäkerhet påfallande ofta direkt och indirekt som en statisk entitet, d.v.s. på ett icke-relationellt sätt, som här t.ex:

Informationssäkerhetskultur kan vara bra såväl som dålig. Den är bra om den gynnar informationssäkerheten.

Jag menar att informationssäkerheten inte är ett värde i sig utan att det är organisationens intressen som ska gynnas av informationssäkerhetskulturen, d.v.s. att den goda informationssäkerhetskulturen stödjer organisationen i att identifiera sitt behov av olika informationssäkerhetsåtgärder.

Den andra reflektionen är den i mitt tycke en övertro på regelstyrning. I några av inläggen framstår det som att informationssäkerhetskulturens främsta och möjligen enda uppgift är att motivera medarbetarna att följa regler. Med erfarenhet från att vara informationssäkerhetsansvarig alternativt konsult i rätt många organisationer har jag upplevt att det stora behovet av säkerhetskultur är att den lägger grunden för en dialog om informationssäkerhet. Verksamheten måste vara involverad eftersom det är den som känner de egentliga behoven av säkerhet men behöver hjälp med att kanalisera dem och över huvud taget definiera dem som säkerhetsrelaterade. I detta är exempelvis verksamhetens förmåga och intresse av att uppmärksamma risker och kommunicera dem. Och när det gäller styrningen är det också aningen förvånande att ledarskap inte diskuteras – när organisationskultur i allmänhet brukar ses som i en nära samvariation med ledarskap. Här tänker jag inte enbart på det generella ledarskapet i en organisation. Minst lika viktigt är det ledarskap som de som arbetar med informationssäkerhet utövar både nationellt och i sina respektive organisationer. Min uppfattning, som saknar vetenskapligt belägg, är att detta ledarskap fortfarande är starkt präglat av en patriarkal kultur hämtad från en militär-polisiär tradition som är illasittande i de flesta moderna organisationer. Detta kommer ytterligare att förstärkas när Metoo-revolutionen, som inte bara handlar om sextrakasserier utan även manligt maktmissbruk bland annat på arbetsplatser, rullar vidare.

Några av inläggen läser jag med känsla av: var det inte mer? Det är inte sååå upphetsande med en slutsats som att tjänstemän som arbetar i regelföljande organisationsklimat anammar informationssäkerhetsregler bättre än tjänstemän i organisationer utan detta klimat. Eller att informationssäkerhetskulturen gynnas av att ledningen uttrycker att informationssäkerhet är en viktig fråga för organisationen (även om detta ändå touchar ledarskapsfrågan som jag tidigare skrev att jag saknade).

I andra fall blir jag uppriktigt förbryllad. Avsnittet om ”praktikanpassad informationssäkerhetspolicy” blandar alla nivåer av styrande dokument på ett sätt som jag som strukturfascist känner mig ytterst obekväm med. Bara att skriva informationssäkerhetspolycier i plural …  Ett annat exempel som leder grubbel är detta:

Historiskt sett baseras informationssäkerhetsarbetet på tre tekniskt orienterade principer: sekretess, riktighet och tillgänglighet.

Författarna vill komplettera dem med ”organisatoriskt orienterade och beteendebaserade principer som ansvar, rollintegritet, förtroende och etiskt handlande”. Jag gillar känslan av att få mattan undanryckt under fötterna, för mig har aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet varit definitioner av vad som ska uppnås i tillräcklig grad med både organisatoriska och tekniska åtgärder. Tyvärr kan jag inte säga att den nya vinklingen som författarna från Handelshögskolan i Örebro lanserar känns uppenbar ens vid en närmare genomläsning. ”CIA”-begreppen ifrågasätts även av filosofen Björn Lundgren som vill ersätta dem med den s.k. RIGHT-definitionen. Trots att jag har en del högskolepoäng i filosofi går mig delar av hans resonemang förbi, kanske för att jag fastnar på ett tidigt skede eftersom det förefaller som om hans utgångspunkt är att det finns ett läge där information är ”säker”. I min uppfattning strider detta mot det riskbaserade säkerhetsarbetet där det snarare handlar om att rikta in sig mot ett ständigt rörligt mål och få en acceptabel riskmiljö.

Andra inlägg är mer givande. Den etnologiska studien av den konfliktfyllda kultur som råder runt framtagandet av informationssäkerhetsstandarder bör leda till eftertanke men har också  vissa (ofrivilligt?) komiska inslag.

Flera av inläggen handlar om informationssäkerhet i hälso- och sjukvård och det är kanske här antologin är som mest intressant särskilt med den tydliga kopplingen till integritetsfrågor. När nu många nya aktörer börjat visa intresse för integritetsfrågor i samband med dataskyddsförordningen har det ett generellt intresse.  Jag ska därför göra en fördjupning rörande ett av antologins inlägg.

Integritet och hälso- och sjukvård

Jag har i olika sammanhang ifrågasatt säkerheten och hanteringen av personuppgifter i den nationella tjänsten Hälsa för mig och kan därför säkert uppfattas som jävig men vill ändå hävda att Peter Johanssons och Sofie Hellbergs bidrag som handlar om den tjänsten är det mest givande avsnittet i antologin. Detta inte enbart för att sjukvårdens informationssäkerhet och hantering av integritetsfrågor är så viktiga i sig utan också för att de frågeställningar de lyfter fram kan generaliseras.

Bidraget inleds med en effektiv genomgång av tidigare forskning om integritet samt om några möjliga synsätt. Själva förordar de ett s.k. kontextdrivet förhållningssätt i motsats att försöka skapa en allomfattande och evig definition av integritetsbegreppet:

Vi delar uppfattningen om att nyckeln till att förstå och hantera personlig integritet ligger det sammanhang där integritetsfrågorna uppstår. En fördel med detta förhållningssätt är att man redan i designfasen av nya tekniker och system kan inkludera skydd för den personliga integriteten eller sätt upp regler kring nya teknikers användningsområden. Utan ett sådant kontextdrivet förhållningssätt finns en risk att man vare sig kan identifiera eller hantera situationer där den personliga integriteten hotas.

Detta stämmer väl med privacy by design (som ju föreskrivs i dataskyddsförordningen) även om jag hellre skulle beskriva det som privacy by design i processer än i system.

Forskarna identifierar de två parallella trenderna där accelererande mängder information insamlas och bearbetas samtidigt som individen får en ökad tillgång till information om sig själv. Med denna bakgrund studerar forskarna den tidigare regeringens satsning på tjänsten Hälsa för mig.

Hur ansvaret för säkerhet och integritet ska fördelas i det informationshanteringslandskapet är inte uppenbart vilket caset med Hälsa för mig visar. Att trycka ner ansvaret till individen med krav på hen själv ska ”styra” sin integritet har varit en bekväm lösning som myndigheter och tjänsteleverantörer. Individens möjlighet att göra rimliga avvägningar är av flera skäl mycket begränsad av att hen inte kan överblicka användningen av informationen, konsekvenserna av detta och dessutom är i ojämn maktrelation med leverantören av tjänsten. En egen reflektion är att författarna i marginalen låter ett inslag i den kultur som formats runt e-hälsa skymta fram när man skriver:

Att personlig integritet är något som kan upplevas stå i vägen för e-hälsoutvecklingen har vi noterat vid olika e-hälsokonferenser. Där har vi lyssnat på olika talare som raljerat över ”integritetsivrare”, vilket vi uppfattar som mycket problematiskt då det appliceras svepande på bland annat läkare och patientföreningar som representerar särskilt sårbara patientgrupper.

Potentiellt negativa effekter för integriteten tonas dock ner.

Detta är en kultur jag känner igen sedan åtminstone början av nittiotalet. Som verksam inom informationshanteringen i vården blev jag vittne till ett tydligt perspektivskifte.  Från att tystnadsplikt och integritet hade varit kärnvärden i läkarkåren och vården i stort skedde en snabb relativisering (ja, jag vet att allt inte var idealiskt tidigare heller men pratar här om de uttalade etiska ståndpunkterna). Relativiseringen av integriteten blev ett förhållningssätt som funnits med i digitaliseringsprocessen av vården ända sedan dess begynnelse, där det har målats upp en motsatsställning mellan patientsäkerhet och integritet. Bakgrunden till detta är att det har funnits en motvilja hos sjukvårdshuvudmän, vårdgivare och systemleverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt. Min uppfattning är att denna relativisering främst bottnade i att sjukvårdshuvudmännen m.fl. inte prioriterade att ta fram organisatoriska beskrivningar av hur ”vårdrelation” ska definieras, d.v.s. vilka medarbetare som verkligen har anledning att ta del av den enskilda patientens vårdinformationen. Detta kompletterat med att systemleverantörerna inte klarade av att leverera digitala lösningar med en för ändamålet avpassad behörighetshantering gjorde att den personliga integriteten framställdes som ett hinder för verksamheten och ett hot för patienten. Ett tydligt tecken var den ständigt återkommande bilden på konferenser och andra sammanhang där det beskrevs hur en medvetslös patient kommer in på akuten och personalen p.g.a. att patienten kan ge samtycke inte kommer åt information som överkänslighet eller annan medicinsk bakgrund med följd av att patienten avlider. Att flertalet patienter inte är medvetslösa, inte på akuten och att behörighetsstyrningen kan ske situationsanpassat försvann i detta scenario som gjorde det överväldigande tydligt för många att integritet är av ondo. En rådande doktrin var också att behörighetsstyrning var onödigt och att loggning var lösningen på kontroll av åtkomst. Att loggning i detta syfte skulle kräva att det är mycket tydligt vem som har åtkomsträtt, d.v.s. i princip samma förutsättning som för den behörighetshantering som man sa sig inte kunna åstadkomma, förträngdes. Effekten blev usel informationssäkerhet samt att etiken och i förlängningen lagstiftning anpassades efter organisatoriska och tekniska brister. Detta vore ytterst intressant att läsa om i en forskningsstudie.

Den inneboende paradoxen med självstyrd integritet samtidigt som individen inte har det egentliga valet eller möjligheten att styra begränsningen av användningen av personuppgifter är inte unik för Hälsa för mig. Den möjlighet att spärra uppgifter som patienten fick i patientdatalagen (PDL) 2008 har i praktiken inte realiserats utan på många sätt motarbetats av vårdgivare. Bidraget om Hälsa för mig och den bristande integritetsanalysen i det projektet illustrerar en historisk utveckling formad genom tekniska ofullkomligheter men därefter stödd av en säkerhetskultur som legitimerar den bristande säkerheten, ja rent av gör den till en dygd. Den bristande analysen i fråga om integritet i Hälsa för mig har lett till att Datainspektionen listat ett antal förelägganden som måste åtgärdas innan tjänsten kan tas i bruk. E-hälsomyndigheten har överklagat detta till förvaltningsrätten men i dagsläget verkar det oklart om tjänsten kommer att kunna tas i bruk.

För mig är detta antologins absolut viktigaste bidrag när det gäller att vissa betydelsen av en positiv respektive negativ informationssäkerhetskultur. Dessutom att den kulturella påverkan på intet sätt är begränsad till en enskild organisation utan kan omfatta en hel sektor. Här finns verkligen möjlighet till vidare forskning. I dessa dataskyddsförordningstider är det också av stor betydelse att visa att integritet inte handlar om teknikaliteter utan om kultur och värderingar.

 

Sammantaget illustrerar antologin ett spretigt kunskapsområde med oklar teori och en ganska lång väg kvar att gå. Svaret på frågan i rubriken tycker jag mig kunna se som: ja, det finns både positiv och negativ informationssäkerhetskultur och vi måste förstå mer för att kunna stärka den positiva kulturen.

 

Informationssäkerhetens paradigm

På svenska är ”säkerhet” ett begrepp medan på engelska finns både ”safety” och ”security”. Begreppen används i kunskapsområden relaterade till säkerhetsfrågor som till exempel inom trafiksäkerhet. I korthet innebär safety åtgärder för att motverka oavsiktliga fel, misstag, negativa avvikelser, produktfel o.s.v. medan security är skydd mot avsiktliga, antagonistiska hot.  Det är en avgörande skillnad mellan de risker som safety-åtgärder avser att reducera jämfört med security-relaterade risker. Information security är också ett område som traditionellt varit inriktat mot antagonistiska hot vilket i hög grad har övertagits av de svenska aktörerna inom informationssäkerhetsområdet.

Både på engelska och svenska är spåren från denna bakgrund mycket tydliga.  Jag har länge funderat över varför det rådande paradigmet inom informationssäkerhetsområdet fortfarande är så inriktat på antagonistiska hot. Det anspråkslösa empiriska material som finns kring vilken typ störningar i informationshanteringen som ger stor verksamhetspåverkan tyder ju snarare på att det stora problemet ligger i exempelvis bristande uppdateringar i it-lösningar. Om syftet med informationssäkerhetsarbetet är att reducera störningar som påverkar olika verksamheters möjlighet att upprätthålla sin leverans med acceptabel kvalitet så förefaller fokuseringen på antagonistiska hot kontraproduktiv. Trots att jag tror att de flesta som sysslat med informationssäkerhet vet att det förhåller sig på det här sättet, både när det gäller hotbilden och fokuseringen på antagonistiska hot, är det märkligt besvärligt att föra en diskussion om frågan. Orsaken till att det är svårt att diskutera frågan är att security-begreppet skapat en hegemoni som så starkt styr synsätt och de underliggande begreppen och därmed skapar ett paradigm där andra synsätt utesluts.

Att tala om paradigm i samband med informationssäkerhet kan ju tyckas både paradoxalt och onödigt teoretiserande. Paradoxalt eftersom jag tidigare hävdat att informationssäkerhetsområdet är anti-intellektuellt och paradigm kan ju tolkas som ett akademiskt genomarbetat teoribygge. Detta är dock en felsyn eftersom ett paradigm ofta helt eller i delar är ett omedvetet tolkningsmönster, integrerat i iakttagarens blick. Det är också det som gör det svårhanterligt, paradigmet ligger som ett filter över verkligheten och gör att endast det som går att passa in i tolkningsmönstret slipper in. En situation som gjorde mig brydd och som kan illustrera paradigmets kraft var när jag deltog i ett arbete på en myndighet som förutsatte att vi kunde nå fram till en definition av vad en incident är.

Med min bakgrund i verksamhetsnära informationssäkerhet var det uppenbart att begreppet incident som måste innefatta alla typer av händelser i informationshanteringen som leder till störningar i verksamheten. Eftersom både it, informationshantering och informationssäkerhet har sitt existensberättigande som stödfunktioner för kärnverksamhetens processer så är grundorsaken till en störning för verksamheten irrelevant, antagonistisk eller inte. Detta synsätt delades dock inte alls av deltagaren som skulle tillföra ett it-säkerhetsperspektiv. Hen hävdade outtröttligt att endast händelser med ett antagonistiskt ursprung kan innefattas i begreppet incidenter. Buggar, uppdateringsfel och brister i rutiner, oavsett hur dramatiska effekter på verksamheten de får, är inte incidenter enligt detta synsätt. Varje möte i vår arbetsgrupp strandade på denna fråga. När jag försökte framföra att denna definition av begreppet, bortsett från allt annat, även skulle leda till stora praktiska problem eftersom det ibland kan ta dygn eller ännu längre innan det går att hitta orsaken till en störning. Ska de då räknas som incidenter och hanteras enligt fastställd incidentrutin eller inte? Och ska en organisation ha två olika rutiner för ”negativa händelser” i informationshanteringen beroende på dess upphov trots att verksamhetspåverkan är exakt den samma? Jag kan nu se orsaken till att vi inte kunde kommunicera på ett konstruktivt sätt i denna viktiga fråga var security-paradigmet så skymde sikten att de verkliga frågeställningarna försvann.

Att det skulle vara onödigt teoretiskt att tala om paradigm är kanske ett allvarligare felslut eftersom det är just den medvetna eller omedvetna teorin som stödjer oss i att hantera de högst praktiska frågor som leder till en bättre informationssäkerhet. Jag tänker ganska ofta på en organisation i flygbranschen där jag var konsult under några månader och intervjuade ett stort antal personer. Det slående var att alla som var oinvigda i informationssäkerhetens mysterier men väl insatta i trafik och kommunikation frågade om jag avsåg security eller safety när jag pratade om informationssäkerhet. För dem var distinktionen självklar och funktionell; att ha säkerhetskontroller på flygplatser för att förhindra terrorister är en viktig uppgift men minst lika viktigt är att ta bort isen från flygplansvingar så att planet fungerar på bästa sätt. Som passagerare är jag ytterst tacksam för den vikt som läggs vid safety-frågor som sannolikt har större betydelse för att så få trots allt blir skadade i trafiken generellt. Detta gäller inte bara flyget naturligtvis. Säkerhetsbältet i bilen skyddar mig inte mot terrorister men sannolikheten för att råka ut för en oavsiktlig trafikolycka bedömer jag som betydligt större och säkerhetsbältets påverkan på dödade och skadade i trafiken kan knappast överskattas.

Jag vill därför förorda att vi börjar arbeta mot ett paradigmskifte där ”Information Safety” blir lika prioriterat som ”Information Security”. Det betyder att något överge krigsretoriken med ständiga antagonister, attacker och hot och mer inrikta sig på ett kvalitetsarbete i den gråa vardagen, att prioritera upp uppdateringar, rutiner, dokumentation, planering och utvärdering på ett systematiskt sätt. Att kunna upprätthålla två samtidiga perspektiv är nödvändigt om vi verkligen vill att viktiga verksamheter ska kunna upprätthållas med tillräcklig kvalitet.

Vart leder den nationella säkerhetsstrategin?

Innan jag fortsätter diskutera e-demokrati måste jag göra ett inlägg om en aktualitet: den nationella säkerhetsstrategin som presenterades på försvarsområdets Almedalen Folk och försvar. Det är med viss förväntan jag läser strategin där ett helt avsnitt ägnas åt Informations- och cybersäkerhet, digitala risker, illustrerat av ett stridsflygplan.

Det positiva med strategin är att det litet intrasslat beskrivs att digitaliseringen förutsätter bättre informationssäkerhet även om det känns som beskrivningen känns som ihopklippt från några gamla dokument. Förväntan på att strategin ska innehålla något substantiellt och inriktande om informationssäkerhet avklingar tyvärr snabbt och stridsflygplanet visar sig vara en ganska kongenial illustration. Fokus ligger helt och hållet på att upprätthålla funktionalitet i samhällsviktig verksamhet, mycket litet om ens något sägs om integritet, mänskliga rättigheter, riktighet, kvalitet eller effektivitet i verksamheten. När tillit nämns är det tillit till digitaliseringen som nämns (!) medan demokratifrågan är mycket avlägsen. Detta att jämföra med den nationella strategi för informationssäkerhet  som togs fram 2009 som hade som målbild:

  • Medborgares fri- och rättigheter samt personliga integritet.

  • Samhällets funktionalitet, effektivitet och kvalitet.

  • Samhällets brottsbekämpning.

  • Samhällets förmåga att förebygga och hantera allvarliga störningar och kriser.

  • Näringslivets tillväxt.

  • Medborgares och verksamheters kunskap om, och förtroende för informationshantering och IT-system.

Den nu aktuella nationella säkerhetsstrategin omfattar hela säkerhetsområdet men skiljer sig också åt från andra strategier, inklusive den tidigare informationssäkerhetsstrategin, genom att inte ange några mål. Istället inleds strategin med något som kallas ”Våra nationella intressen”.  Huruvida dessa intressen är tillgodosedda idag eller inte är oklart eftersom strategin raskt kastar sig över till ”hot” och ”åtgärder”. Det ger en särskild prägel åt strategin eftersom den inte förmedlar några mål som skulle innebära nya möjligheter utan istället anlägger en defensiv hållning. Detta är ganska långt ifrån regeringens offensiva inriktning inom digitaliseringsområdet.

Utmaningar som frammanas inom cyber- och informationssäkerhetsområdet anges de endast som förekommande i form av antagonistiska hot:

Några exempel på sådana utmaningar är antagonistis­ka hot såsom informationsoperationer och elektroniska angrepp mot skyddsvärda informations- och kommunika­tionssystem, t.ex. i form av datain­trång, sabotage eller spionage, exempelvis mot totalförsvarets verksamhet. It-angrepp för att bedöma, påverka eller störa samhällsviktiga funktioner som ett förstadium till en väpnad konflikt hör också hit. It-angrepp riskerar också att otillbörligt påverka utgången av demokratiska val.

Tyvärr finns det ju inget bra kunskapsunderlag om de bakomliggande orsakerna till störningar i informationshanteringen och hur de fördelas  mellan antagonistiska respektive icke-antagonistiska incidenter. Som jag tidigare skrivit finns det indikationer att de vanligast förekommande incidenterna är av typen uppdateringsproblem och programvarufel. Detta stämmer även med den bild jag har efter rätt många år i branschen även detta liksom andra utsagor i frågan får ses som löst grundade antaganden eller anekdotiska bevisföringar. Det är därför synd att strategin ensidigt inriktar sig på de antagonistiska hoten eftersom det riskerar att ge det fortsatta arbetet en slagsida som gör effektiviteten i nationella informationssäkerhetsarbetet mer begränsad. Ytterligare en negativ aspekt med att uttala en så tydlig inriktning är att det ger intrycket av att det finns kvalitativt kunskapsunderlag i frågan. Det kan i sin tur leda till att det nödvändiga arbetet med att hitta former för att skapa och ständigt uppdatera ett sådant kunskapsunderlag inte initieras.

Vilka åtgärder föreslås då för att komma till rätta med den allvarliga situation som målats upp? Ja, det är ganska svårt att se några mer konkreta åtgärder vid sidan om sådant som redan finns eller redan är beslutat. Det talas om de risk- och sårbarhetsanalyser respektive säkerhetsanalyser som redan är föreskrivna, om it-incidenter, om förslaget på ny säkerhetsskyddslag och om den nationell strategi för informations- och cybersäkerhet som bl. a. bygger på NIS-direktivet som håller på att tas fram. I övrigt rader som:

Därtill bör arbetet med de globala dimensionerna av informations- och cybersäkerhets­frågorna intensifieras.

Vilket väl kan betyda vad som helst.

Kanske är det fel att förvänta sig något annat än det som redan framförts i andra sammanhang i den här typen av dokument, särskilt som den nationella strategin för informations- och cybersäkerhet är i antågande. Det känns ändå som ett förlorat tillfälle att inte använda en strategi för att beskriva ett framtida önskvärt tillstånd och försöka skapa en helhetsbild.

Med denna bakgrund vill jag föra fram tre centrala önskemål på vad som borde ingå i den kommande informationssäkerhetsstrategin:

  • Analysera och redovisa vilka olika syften som informationssäkerheten ska tjäna på samhällsnivå, även de som ligger vid sidan om att upprätthålla funktionalitet i beredskapssyfte. Till exempel hur informationssäkerheten ska kunna stärka tilliten i viktiga samhällsfunktioner genom att säkerställa integritet, effektivitet och kvalitet.

  • Skapa organisatoriska former där olika informationssäkerhetsintressen kan samverka i en gemensam styrmodell – om informationssäkerheten annekteras och görs om till ett rent försvarsintresse kommer digitalisering, effektivitet, integritet och demokrati inte att kunna hanteras på ett rimligt sätt

  • Skapa ett bättre kunskapsunderlag – det är  särskilt viktigt att myndigheter går i bräschen och arbetar evidensbaserat i dessa faktaresistenta tider

Både mål och åtgärder måste motsvara alla de olika behov som som informationssäkerhetsarbetet ska täcka. Om strategin för informations- och cybersäkerhet inte klarar att omfatta andra aspekter än funktionalitet i ett beredskapsperspektiv kommer det att orsaka stora problem i den offentliga verksamheten. Myndigheter, kommuner, landsting och även företag i välfärdsbranscher kommer då att bli tvungna att själva försöka skapa lösningar för att upprätthålla helhetsperspektivet på informationssäkerhet. Resultatet blir fler stuprör istället för ökad standardisering och på sikt kanske ett nytt begrepp fastställas som täcker helheten och som kan ersätta ”informationssäkerhet”.

 

 

 

Varför funkar det inte? Del 6

En profession behöver metoder

För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder. Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.

 

lojlfammal

I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat. I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering. Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter. Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat. Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.

Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet. För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs. Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning. Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter. Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta. Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas. En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer. Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder. Detta var dock inte en uppfattning som delades av alla. Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.

I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik. Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas. I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.

Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade. Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.  Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.

Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod. Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade. Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.

Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp. Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella. ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod. Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna. Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i en organisation när information i allt högre grad flödar över organisationsgränser. ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare. Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.

Varför funkar det inte? Del 5

I ett tidigare inlägg skrev jag om vad jag uppfattar som ett bristande vetenskapligt stöd för det informationssäkerhetsarbete som bedrivs. Att inte kunna bottna sitt arbete i etablerad kunskap skapar av naturliga skäl avgörande hinder i det kunskapssamhälle som numera är vårt. Men om vi kontrafaktiskt skulle anta att det fanns en välutvecklad akademisk kunskap om informationssäkerhet skulle inte denna kunskap vara tillräcklig för att få en verkligt fungerande informationssäkerhet i organisationer och i samhället i stort. Det behövs också aktörer som vet ”hur” man ska göra, det vill säga tillför techne och fronesis till episteme.

Behovet av en profession

Vad jag avser är en profession av låt oss kalla det informationssäkerhetsspecialister. Behovet av att skapa nya professioner följer med utvecklingen av det moderna samhället från skråväsendets tillkomst under medeltiden till dagens på olika sätt legitimerade eller auktoriserade yrken. Professionen skapar legitimitet åt yrkesutövarna, ”paketerar” deras kompetens så att den blir hanterbar även för externa parter som är intresserade av att använda den och, inte minst, utgör en dialogpartner för den akademiska kunskapsutvecklingen.

Den fruktbara relationen mellan profession och akademin kan kanske mest arketypiskt ses inom det medicinska fältet där läkarna genomgått en professionaliseringsprocess under mycket lång tid. Numera har även andra yrkesgrupper som sjuksköterskor och fysioterapeuter gjort samma resa men för enkelhetens skull ska jag fortsättningsvis hålla fast vid läkarna som exempel.

För den som läst något om medicinhistoria är det uppenbart att samspelet mellan de praktiserande läkarna och den akademiska forskningen varit nödvändigt för att nå fram till dagens möjligheter att faktiskt bota, förebygga och lindra allehanda sjukdomstillstånd. Sextonhundratalets fältskärer skulle inte genom praktiskt karvande i sårade soldater kunnat generalisera sin kunskap så att den skulle kunna beskriva sårinfektioner på ett allmängiltigt sätt. Lika litet skulle de medicinska forskarna som faktiskt fanns vid denna tid kunnat avvara den praktiska kunskapen hos dem som dagligdags mötte patienter, om än med bensågen i högsta hugg. För att detta samspel skulle kunna utvecklas på det fruktbara sätt som faktiskt skett var en viktig faktor att de praktiserande läkarna kom att utgöra en alltmer skarpt avgränsad profession med bestämd kompetens och enhetliga metoder.

Jag gör analogin till informationssäkerhetsområdet där vi har samma behov av att förena teori och praktik. En professionell yrkesutövning kan borga för den kvalitet som är nödvändig i den praktiskt utövande delen av kunskapsområdet och av denna anledning bör en profession av informationssäkerhetsspecialister skapas.

Krav på en profession

Utvecklandet av en profession är som sagt den normala gången inom olika kunskapsområden och det finns också en omfattande forskning på temat. Både inom gruppen själv och för externa parter som arbetsgivare in spe måste det gå att beskriva vad professionens Unique Selling Proposition eller Unique Selling Point (USP) är och också skapa organisatoriska strukturer för att upprätthålla denna USP. Några av de moment i professionsbildandet som brukar tas upp litteraturen är följande:

Definition av kunskapsområde

En grund då en profession vill formalisera sig är att man annekterar ett kunskapsområde och hävdar att den egna gruppen är den främsta/enda som äger denna kunskap, jämför läkare och medicinen. Förutsättningen är att det går att definiera kunskapsområdet på ett sätt som både gruppen internt och omvärlden kan vara eniga om. Här finns ett problem för informationssäkerhetsspecialisterna om den beskrivningen av oklarheten i vad kunskapsområdet egentligen består i godtas. Är det en organisatorisk eller teknisk kompetens som utgör kärnan för att bara ta en av de många frågor som kan ställas.

Krav på teoretisk och praktisk kunskap som säkerställs genom etablerad procedur

För att få tillhöra en profession måste det definieras vilken teoretisk och praktisk kunskap man måste besitta. Det måste också finnas en procedur som är erkänd även av utomstående som garanterar att de som utger sig för att tillhöra professionen verkligen kan antas inneha den rätta kompetensen. Det räcker alltså inte med att man själv kallar sig ”informationssäkerhetsexpert” eller att man har lösliga grupperingar av typen communities. En ganska självklar del i detta är en formaliserad utbildning vilket idag saknas inom informationssäkerhetsområdet. De utbildningar som erbjuds på högskolenivå (vilket vi väl får anta är rimligt att kräva) har ett mycket spretigt innehåll från ”Internationella aktörer och regelverk” till ”It-forensik” för att bara ta ett par exempel från högskolekurser som beskriver sig som utbildning i informationssäkerhet.

Andra utbildningar går in på ren it-säkerhet eller på praktiska metoder men kunskapsområdets otydlighet avspeglar sig i utbildningsutbudet. Om vi tittar på innehållet i olika populära certifieringar blir bilden än mer otydlig, i en CISSP-certifiering uppges bland annat telekommunikation och mjukvaruutveckling ingå.
Kravet på formaliserad utbildning blir därmed i dag svårt att uppfylla liksom två andra vanliga krav på en profession: inträdeskrav och avgränsning av de som inte hör dit. För att sammanfatta så kan vem som helst oavsett utbildning, erfarenhet eller personlig lämplighet utge sig för att vara informationssäkerhetsspecialist utan att någon kan hävda motsatsen.

Normer och kultur

En profession definieras inte bara av kunskap utan också av de specifika normer och den kultur som dess medlemmar ansluter sig till. Exempel på detta är, förutom läkaretiken, de normer som upprätthålls av advokatsamfundet. Det innebär också en kollegial kontroll över de attribut som yrkestitel som följer med professionen. Detta förutsätter i sin tur någon form av kollegial organisation som kan utöva kontroll och utveckla en yrkesmässig kultur och etik.

Informationssäkerhetens professionalisering – hur ska vi gå vidare?

Idag saknas flertalet av de förutsättningar som krävs för en professionalisering inom informationssäkerhetsområdet. Behovet är av en sådan är dock stort och om man ska dra slutsatser av andra yrkesgruppers historia måste frågan drivas av de yrkesverksamma själva. En svårighet är att det inte finns fackföreningar eller starka intresseföreningar inom området som skulle kunna inleda en sådan process. Ett första steg är att börja diskutera framtiden på ett öppet sätt och försöka hitta vägar framåt. Är lämpligt med ett brett anslag där hela den spännvidd som nu ryms under beteckningen informationssäkerhet men med en specialisering på samma sätt som läkarkåren? Eller bör vi resonera oss fram till en tydligare avgränsning mot it-säkerhet och cybersäkerhet?  Frågorna är många men än saknas forat att diskutera dem i.

Varför funkar det inte? Del 4

Kunskap och informationssäkerhet

Som redan framgått är det svårt att ens ge en enhetlig och allmänt accepterad definition av begreppet informationssäkerhet. Att då kunna beskriva kunskapsområdet informationssäkerhet blir därför av naturliga skäl minst lika svårt.  Ändå menar jag att den enda verkliga legitimitet som informationssäkerhetsområdet kan uppnå måste gå genom att kunna motivera synsätt, metoder och investeringar med ett kunskapsunderlag. Kunskapsunderlaget måste därför vara av en sådan karaktär att det kan accepteras av de aktörer som vi vill ska anamma synsätten, använda metoderna och göra investeringarna. Om vi inte kan argumentera utifrån en rationell position återstår att försöka övertyga med känslor eller utifrån särintressen alternativt mycket smalt perspektiv som att exempelvis isolera en risk och se den som helt dominerande.

Min uppfattning är att vi idag är ganska långt ifrån att ha ett gemensamt kunskapsunderlag. Kvaliteten på kunskapsunderlaget kan också ifrågasättas av flera skäl, bland annat inte oväsentliga delar har sitt ursprung i rapporter från bolag som säljer säkerhetsprodukter. Ett kanske ännu större problem är att det saknas arenor för kunskapsutveckling utanför akademin där en professionell diskussion kan föras. Istället skulle jag vilja hävda att området präglas av ett anti-intellektuellt förhållningssätt som leder till en stagnation också när det gäller att ta fram praktiskt fungerande lösningar för att förbättra säkerheten.

Episteme, Fronesis, Techne

Utan att gå tvärdjupt är en rimlig utgångspunkt för ett kunskapsområde att det har olika lager av kunskapsnivåer inklusive en teoretisk grund. För att ett auktoritativt stöd i detta men också skapa en ganska enkel pedagogik tar jag hjälp av Aristoteles som delade upp kunskapen i fem former av vilka jag endast kommer att diskutera tre:

episteme (vetenskaplig kunskap, påståendekunskap, veta att)

techne (praktisk-produktiv kunskap, färdighetskunskap, veta hur),

fronesis (praktisk klokhet, det goda omdömet, veta när)

För den som vill veta mer om detta på ett enkelt sätt rekommenderar jag denna text.

Min känsla har länge varit att det som uppfattas som kunskap inom informationssäkerhetsområdet går att hänföra till techne med betoning på enkla tumregler och tekniska lösningar. Många duktiga informationssäkerhetsmänniskor har haft rejäla mått av fronesis så att de kunnat tillämpa den fyrkantiga techne-kunskapen på ett bra sätt i sina organisationer. Däremot så uppfattar jag att episteme, den vetenskapliga kunskapen med krav på generaliserbarhet och mätbarhet, i hög grad saknas inom informationssäkerhetens kärnområde. Vad jag då avser är att exempelvis en övergripande teoribildning på det som är vanlig inom samhällsvetenskapliga områden inte riktigt går identifiera i många av de vetenskapliga texter som publiceras om informationssäkerhet. Det har också ofta slagit mig att jag sällan sett att etablerade uppfattningar och metoder prövas på ett vetenskapligt sätt. För att snabbtesta mina egna fördomar har gjorde jag en sökning i svenska databaser på aktuell forskning om informationssäkerhet och fick fram några hundra publikationer som jag granskade snabbt och översiktligt utan anspråk på någon som helst vetenskaplighet. Den som själv gå igenom samma material kan följa den här länken och den här.

I beskrivningarna har jag försökt utläsa om det finns en teoretisk utgångspunkt som på försöker beskriva ett ontologiskt perspektiv om hur informationshantering och informationssäkerhet samverkar och vad informationssäkerhet är. Jag har också försökt läsa ut huruvida författarna verkligen ifrågasatt de etablerade synsätten och metoderna samt prövat dess effektivitet och relevans på ett ”objektivt” sätt. Slutligen har jag tittat på inom vilken disciplin texten är skriven och om den förefaller vara övervägande organisatorisk eller tekniskt orienterad.

Intryck

Efter denna snabba och djupt orättvisa genomgång tycker jag mig ändå se vissa tendenser.

Oklarheten i begreppet informationssäkerhet som jag tidigare skrivit om gestaltas också i de vetenskapliga texterna och leder till en spretighet. Begreppet tycks kunna stå för renodlat tekniska lösningar (som jag kanske hellre skulle kalla it-säkerhet) som organisatoriska. I de fall där jag läst sammanfattningarna är denna begreppsförvirring och ontologiska brist inte något som författarna tycks uppfatta som ett problem. Inte heller verkar ontologin i grundbegreppen konfidentialitet, riktighet, tillgänglighet, spårbarhet alternativt CIA-begreppen utgjort en frågeställning i området.

Flertalet texter är skrivna av forskare med teknisk eller systemvetenskaplig bakgrund. Detta leder till två helt olika problem. Det första är att fokus ofta kommer att ligga på tekniska lösningar istället för organisatorisk styrning trots att man säger sig skriva om informationssäkerhet. Det andra är att det är forskare med teknisk eller systemvetenskaplig bakgrund som skriver om organisatoriska frågor vilket ligger utanför deras egentliga kompetensområde, något som kan leda till att de inte helt har de redskap som krävs för en organisatoriskt inriktad forskning. Sammantaget leder det till att den organisatoriska styrningen bli styvmoderligt behandlad.

Ett genomgående drag är att etablerade synsätt och metoder förefaller förutsättas vara fungerande och effektiva. Detta gäller i hög grad de mer organisatoriskt inriktade texterna som kan handla om mätning, compliance och säkerhetskultur för att ta några exempel. Detta gäller även då man exempelvis tittar på mognadsmodeller där mognaden kan ses som en slags compliance till etablerade synsätt och metoder.

Förutom compliance är fenomenologi i en relativt vanlig form av studie. Det kan handla om hur medarbetare, patienter eller någon annan grupp uppfattar säkerhetsåtgärder eller -behov. Inte heller här tycks metoder egentligen ifrågasättas utan snarare är det uppfattningarna om dem som kan behöva ändras.

Trots inriktningen mot compliance är det få texter som undersöker värdet av de åtgärder som compliance-kravet gäller. Att vara compliant till kravet att ha bland annat en incidenthantering följs inte av en undersökning av effektiviteten i olika metoder för incidenthantering för att ta ett hypotetiskt exempel. Att studera metoder och delta i metodutveckling förekommer dock inom rent tekniska frågeställningar.

Och vad blir konsekvensen?

Forskning är naturligtvis inte den enda källan till kunskap men det finns frågeställningar inom informationssäkerhetsområdet där jag uppfattar att en vetenskaplig metod är lämplig för att skapa nödvändig kunskap. Det gäller både en slags grundforskning på ontologisk nivå och för insatser för att på ett vetenskapligt sätt skapa en evidensbaserad kunskap kring effektiviteten i olika, framförallt organisatoriska, metoder. Denna typ av frågeställningar kan svårligen hanteras av enskilda informationssäkerhetsansvariga eller av enskilda organisationer.

Informationssäkerhetsområdet har stort fokus på techne vilket sannolikt leder till ineffektiva och bakåtblickande metoder. Det är svårt att föreställa sig samma lösliga relation till evidens inom andra områden som trafiksäkerhet eller medicin trots att dessa områden måste sägas ha likartade tekniska eller hantverksmässiga bakgrund som informationssäkerhet.

Min tes är ju informationssäkerheten inte tycks hålla måttet och följaktligen anser jag kan det finnas anledning att även inom detta område inta den förkättrade normkritiska positionen och ifrågasätta även de mest etablerade sanningarna. Att forskningen går från att anti-intellektuellt handla om ett slags hantverk till att ge frågorna den analytiska och intellektuellt utmanande behandling som de i sanning kräver. Att gå från ett förhållningssätt som är konserverande till att bli ett explorativt som ligger i linje med den snabba organisatoriska och tekniska utveckling som sker.  För detta krävs kreativa och odogmatiska forskare som banar väg, skapar ny kunskap och ger oss andra underlag för en förbättrad praktik.

För att ta emot den mer utmanande kunskapsproduktion som skulle bli resultatet krävs en profession som har samma förhållningssätt inom techne och fronesis samt plattformar att mötas på. Som jag skrev inledningsvis är en av de stora bristerna att den typen av plattformar saknas idag och att ingen nationell aktör känner sig manad att ta på sig ett sådant ansvar. I nästa inlägg ska jag skriva om professionen – kanske finns det i en stärkt professionalisering en möjlighet till ett mer professionellt kunskapsbygge?

Hunnen så långt i mitt funderande får jag tips om en artikel som visserligen är från 2008 men som bekräftar att några av de intryck jag beskrivit är problem kända sedan tidigare som exempelvis bristen på empiri och, som i citatet nedan, på teoribildning:

As can be seen, the use of theories in ISsec research is not equally common as it is in IS research. In total only 18.51% of the ISsec articles cited one or more theories. Hence, over 1000 ISsec articles contained no theory whatsoever. As noted, of the 18.51% ISsec papers, nearly 80% cited ‘mathematical’ theory, which leads to the position where the other 37 theories accounted for only 48 ISsec papers. Indeed, thirty of the theories identified were only cited once in the ISsec literature. This indicates that while in ISsec research theories may be cited, intellectual development fails to occur as other researchers do not adopt and explore such theories. Hence these figures generally indicate that IS security research is chronically underdeveloped in terms of theory. This is worrying as with science in general (Laudan, 1984), the use of proper theories are seen as a fundamental element of IS research (Walls et. al., 1992). To summarize, while theories are highly valued in IS, they are not necessary to publish in information security forums.

Det tycks alltså finnas fler som funderar över från vilken kunskapsgrund vi egentligen utgår.

Varför funkar det inte? Del 3

I mitt förra inlägg hävdade jag att det är svårt att säga vad informationssäkerhet egentligen är. En fråga som nära ansluter till detta är vad målet för arbetet med informationssäkerhet är. Jag uppfattar den frågan som central att analysera både för informationssäkerhet som kunskapsområde och för den enskilda organisationen som inleder eller redan har ett fortlöpande arbete för att hantera den egna informationen på ett säkrare sätt. Om målet inte är klarlagt är risken överhängande att informationssäkerhet blir ett självändamål. Detta skulle strida mot en av mina mest grundläggande övertygelser; att informationssäkerhet aldrig kan ha ett existensberättigande i sig själv utan måste se som en stödfunktion. Då måste man dock veta vad det är som ska stödjas.

Informationssäkerheten så som vi känner den idag (om vi nu gör det) har en kort historia. Med det menar jag inte bara begreppet informationssäkerhet vars tidigaste belägg tror jag finns på 1970-talet. Däremot har vissa synsätt och metoder en betydligt längre historia. Att skydda information mot obehörig åtkomst är något som skett med olika metoder är i princip lika gammalt som skrivkonsten i olika former. Även metoder för spårbarhet som signering och för riktighet som vidimering blivit alltmer standardiserade i Europa sedan medeltiden och framåt, och då kanske främst som stöd i det alltmer intensiva ekonomiska livet. Detta finns ganska väl beskrivet på annat håll men inom informationssäkerhetsområdet har traditionen ofta snarare hämtats från militär och polisiär verksamhet. Målet för aktiviteterna har som en följd av detta formulerats utifrån militär/polisiära behov snarare än det från det civila samhällets behov av säkra ekonomiska transaktioner, rättssäkerhet för den enskilde och det enskilda företagets möjlighet att ha stöd för sina affärer. I detta perspektiv är syftet med informationssäkerheten att framför allt skydda staten i någon mening, inte den enskilda verksamheten och allra minst den enskilda individen.

Den militär-polisiära bakgrunden påverkar fortfarande området starkt vilket gör målet för arbetet otydligt – är det nationens intresse som står i förgrunden eller är det vardagliga arbetet i en organisation som på bästa sätt försöker upprätthålla sin egen verksamhet med tillräcklig effektivitet och kvalitet?  Är det de externa kraven för att skydda statens intressen som ska vara det som ska lyftas fram som den främsta målbilden eller är det de interna behoven? Innan någon börjar rasa ska jag vara tydlig: självklart menar jag inte att det går att enbart tillgodose externa krav eller enbart tillfredsställa interna behov – alla organisationer måste göra båda delar. Vad jag menar är att det inte längre kan vara tillräckligt att se till externa krav i form av säkerhetsskyddslagen. Inte heller går det enligt min erfarenhet att med någon större framgång att använda merparten av de informationssäkerhetsmetoder framtagna för militära eller polisiära syften i en tidspressad civil informationshantering.

Min slutsats är därmed att målet för informationssäkerhetsarbetet måste vara att stödja den enskilda organisationen, eller idag snarare informationssamverkande organisationer, att klarlägga sitt eget behov av informationssäkerhet inklusive olika typer av externa krav som riktas mot organisationen/organisationerna. Föga revolutionerande slutsats kan tyckas, särskilt som den är i stark harmoni med ISO 27000 förutom i avseendet att standarden är helt inriktad på en autonom organisation och inte på e-samhällets allt tätare integration av informationshanteringen.

Om målet accepteras är dock konsekvenserna att ta på allvar. Den viktigaste konsekvensen är informationssäkerhet som kunskapsområde måste kunna erbjuda effektiva sätt att avgöra vad som organisationens/organisationernas faktiska behov. Det innebär också möjligheten att det måste finnas en öppenhet för att ledningen inte önskar särskilt mycket säkerhet utan är beredd att ta risken eftersom målet inte är så mycket säkerhet som möjligt. När ledningen gör bedömningen kommer den att ta hänsyn till ett antal faktorer som den formulerar som verksamhetens behov inklusive att följa relevant lagstiftning. Relevant lagstiftning är för de flesta civila organisationer i mindre grad säkerhetsskyddslagen medan alla organisationer som hanterar personuppgifter måste leva efter dataskyddsförordningen. Myndigheter ska dessutom hantera sin information enligt offentlighetslagstiftningen vilket förutsätter god ordning på riktighet och spårbarhet. Informationssäkerhet är alltså i sig inte ett mål utan ett medel som kan tjäna olika mål som exempelvis god integritet och god offentlighetsstruktur – vilket kan leda till intressanta intressekonflikter. Detta ligger ganska långt ifrån det traditionella militära perspektivet att vissa handlingar som innehåller specifik information ska stämplas med sekretessmarkering och sedan hanteras enligt väl reglerade metoder.

Att kunna beskriva informationssäkerheten som ett medel är därför ett mål i sig. Ett mål som ställer krav på kommunikation mellan den informationssäkerhetsansvarige och verksamheten. När verksamheten frågar ”vad ska informationssäkerheten egentligen vara bra för?” är detta en rimlig utgångspunkt och en bra prövosten för den informationssäkerhetsansvarige för att kunna motivera sitt arbete.

Jag tror vi idag är ganska långt ifrån denna typ av målformulering för vårt arbete. Alltför ofta motiveras säkerhetsarbetet utifrån ett ganska alarmistiskt agiterande utifrån generella hot. Verksamhetsanknytning i form av bedömning av de egna riskerna eller genom informationsklassning har ju i de genomförda undersökningarna inte visat sig förekomma i närheten av det som föreskrifter och annat stipulerar. Den otydliga målbilden kan också göra det svårt att hitta en fungerande yrkesroll som ju snarast bör vara en konsultativ och stödjande funktion än en som söker sin legitimitet främst i externa krav som lagstiftning. När omvärlden präglas inte bara av en stark teknikutveckling utan även en snabb organisatorisk förändring där offentliga och privata verksamheter delar informationshantering kan inte målet vara enbart att skydda statens intresse. Istället måste målbilden vara tydlig men dynamisk och anpassad till den verksamhet som ska skyddas med hjälp av informationssäkerheten. Först då kommer en verklig drivkraft att förbättra informationssäkerheten att komma inifrån verksamheterna själva.

Mitt eget utopiska mål är den osynliga informationssäkerheten, när den är så inarbetad i verksamhetens rutiner att ingen tänker på att den finns och risker ur säkerhetssynpunkt bedöms på samma sätt som andra risker utifrån hur de påverkar verksamhetens resultat.

Varför funkar det inte? Del 2

I detta inlägg ska jag inrikta mig på några mer generella frågor för området som också bör vara frågor som den som inte lever och andas informationssäkerhet borde ställa.

Vad är informationssäkerhet?

Ett ganska modest krav är att på ett hyfsat entydigt sätt kunna definiera vad informationssäkerhet är. Detta är dock svårare än vad det först kan förefalla. Inte ens om det är ett slags tillstånd eller en förmåga är klart. Jag ska här endast ta upp några av de frågor man kan ha anledning att ställa sig angående vad informationssäkerhet ska anses vara.

En definition som säkert kommer att användas av många är den som finns med i den terminologi som sammanställts inom SIS:

bevarande av konfidentialitet, riktighet och tillgänglighet hos information.

Denna definition har övertagits av MSB i den nya föreskriften MSBFS 2016:1 trots att myndigheten i andra sammanhang talar om ”förmåga” alternativt ”tillstånd” i andra sammanhang.

Jag ska inte detta sammanhang gå in på ISO 27000 och dess översättning i detta sammanhang utan här endast koncentrera mig på det sätt som terminologin definierar begreppet. I ordet ”bevara” finns en implicit föreställning om att en vald informationsmängd är en entitet som har initiala egenskaper som ska bibehållas i en kortare eller mindre hantering. Detta är ett ganska egenartat synsätt som sannolikt är hämtat från ett tidigare tekniskt utvecklingsskede, kanske en slags databastänkande, där man är upptagen av transaktioner inom ett enskilt system. Att ställa krav på informationens kvalitet före instoppandet i systemet eller vid sammanställning till nya informationsmängder ligger utanför definitionen. I värsta fall skulle informationssäkerhetsarbetet alltså leda till att felaktig information förblir felaktig eftersom då den ursprungliga riktigheten ”bevaras”. Beskrivningen indikerar också ett statiskt förhållande där informationen liksom inkapslad färdas i ett system. Detta stämmer inte heller särskilt väl med den informationsinfrastruktur som har växt fram där information hela tiden sammanställs, förändras och kommuniceras i nya strukturer. Informationssäkerheten borde då syfta till att förändras och skapa en tillräcklig nivå av skydd under informationshanteringsprocessen/erna. Personligen måste jag därför medge att ”bevarande” är en definition som inte känns relevant. ”Tillstånd” eller ”förmåga” är alternativ som skulle ge andra möjligheter men oavsett vilket begrepp som väljs borde det bygga på en mer

Trots att informationssäkerhetsområdet inte bygger på tung akademisk forskning på en ontologisk nivå, till exempel rörande vad informationssäkerhet skulle sägas vara, finns det vissa hangups där det hänvisats till akademin. Den sådan är begreppet ”spårbarhet” som av informationssäkerhetens purister inte anses ha samma autonoma värde som exempelvis riktighet och tillgänglighet. Purismen i denna fråga känns inte särskilt väl underbyggd. Mig veterligen inte finns någon begreppsmodellering genomförd över något av begreppen och inte heller är översättningen av den så kallade CIA-triaden (Confidentiality, integrity och availability) till konfidentialitet, riktighet och tillgänglighet klockren. Integrity skulle knappast översättas till ”riktighet” i något annat sammanhang, särskilt som riktighet i SIS terminologi anges som skydd mot oönskad förändring vilket återigen antyder ett synsätt som utgår från databashantering. Rent praktiskt är spårbarhet ett begrepp som är av stor betydelse i transaktionstäta verksamheter som bank, finans och sjukvård samt för att stödja integritetskrav. Spårbarhet är också mycket tydligt kopplat till konkreta åtgärder som loggning – ändå väljs det bort utan närmare förklaring. Detta är bara ett exempel på att själva grundelementen i beskrivningen av informationssäkerheten saknar verkligt definition vilket ger möjlighet till vitt skilda tolkningar och närmast trosläror om vad informationssäkerhet egentligen är.

Ett annat tolkningsproblem är skillnaden mellan informationssäkerhet å ena sidan och it-säkerhet å den andra. Att de som inte har informationssäkerhet har svårt att uppfatta skillnaden är inte så konstigt men att även de som arbetar med informationssäkerhet vacklar i distinktionen är ett tydligt tecken på osäkerheten i begreppet informationssäkerhet. För mig framstår det som att informationssäkerhet i i första hand är en organisatorisk stödfunktion som ska ge ledningen stöd i att styra sin verksamhets resurser så att de skyddar informationen på ett sätt som stöder verksamhetens mål. Detta uppfattar jag också som kärnan i ISO 27000 som ju är helt inriktad på att skapa ett ledningssystem som ska ge en organisatorisk förmåga till styrning av informationshanteringen. It-säkerhet är i detta perspektiv de tekniska åtgärder som ska vidtas för att svara på de krav som ledningssystemet ställer. Många verksamma inom informationssäkerhetsområdet tycks inte dela denna uppfattning utan ser informationssäkerhet som synonymt med it-säkerhet. Även denna basala fråga skulle behöva analyseras och få en mer allmänt accepterad förklaring.

Detta är bara några frågor där det enligt min uppfattning råder oklarhet och där utrymmet för analys och vidareutveckling är mycket stort. I nästa inlägg ska jag ge mig på målet för arbetet med informationssäkerhet.

Varför funkar det inte? Del 1

Jag höll häromveckan ett föredrag på Dataföreningen med ovanstående titel. Min tes, eller mitt påstående snarare, är att arbetet med att få en fungerande informationssäkerhet inte fungerar särskilt bra. Detta gäller både i den enskilda organisationen och på en nationell nivå. Kanske överraskade föredragets inriktning några av de ganska många åhörarna eftersom det mer handlade om ”våra” interna problem, alltså vi som arbetar professionellt med informationssäkerhet och inte de yttre förhållanden som vanligtvis diskuteras.

Detta är dock frågor som jag funderat ganska länge på och där jag under föredraget förde fram ett antal aspekter som jag menar påverkar den nuvarande situationen med en otillräcklig informationssäkerhet. I hopp om att fler i informationssäkerhetsbranschen ska känna sig motiverade att bidra med egna erfarenheter och reflektioner tänkte jag skriva några blogginlägg med utgångspunkt från det föredrag jag höll.

Låt oss vara överens om att det inte fungerar bra

Först kanske påståendet i titeln ändå måste utvecklas något. Visserligen är det svårt att säga vad ”fungerar bra” skulle kunna vara. Detta understryks genom att det i hög grad saknas forskning på området och andra typer av offentligt redovisade undersökningar. Det känns också otillräckligt att bara vidareförmedla utsagor från olika särintressen eller vad talskrivare lämnat till Anders Ygeman att framföra angående läget. I den trendrapport som sammanställdes av ett antal myndigheter 2015 bygger man sina spaningar på 103 angivna referenser. Problemet är bara att den absoluta huvuddelen av referenserna är inriktade på en extern hotbild, i bästa fall något om incidenter i it-system som går att hänföra vissa specifika antagonistiska hot, men ingen av referenserna förefaller ha ägnat sig åt störningar i verksamheter. Det vill säga störningar i informationshanteringen som påverkar verksamheten och som då lika gärna skulle kunna bero på hårdvarufel som vid Tieto-incidenten 2011 som på antagonistiska attacker. Detta har naturligtvis inte hindrat rapportförfattarna att dra slutsatser om trender men för den som verkligen är intresserad av hur informationssäkerheten fungerar är det alldeles otillräckligt.

Låt oss ändå vara överens om att det finns starka indikationer på att det händer ett stort antal incidenter och att realiserade incidenter är ett tecken på att vidtagna säkerhetsåtgärder inte skyddar verksamheten på ett rimligt sätt. En mer systematisk genomgång av incidenter som drabbat verksamheter och privatpersoner tror jag skulle visa att huvuddelen skulle gå att undvika med väl kända metoder som exempelvis bättre kontroll över uppdateringar i it-tjänster. En nackdel med incidentbegreppet är att det har en tendens att enbart fånga upp mer uppseendeväckande och kanske antagonistiska situationer. Störningar av mindre dramatisk karaktär men som kan påverka verksamheten sammantaget på ett mer negativt sätt får inte samma uppmärksamhet vilket kan leda till felprioriteringar i åtgärdsarbetet.

Ett annat sätt försöka bedöma om informationssäkerhetsarbetet är funktionellt är ett klassiskt compliance-perspektiv; att kontrollera om regler efterlevs. Inte heller här finns ett stort generellt underlag att luta sig emot. Inom offentlig sektor har  dock de senaste åren har ett antal rapporter visat att den systematiska informationssäkerheten i myndigheter, landsting och kommuner har stora brister, ja till och med att den vissa fall tycks bli sämre snarare än bättre.

Sammantaget är alltså inte bilden ljus. I och med att informationssäkerheten tycks fungera illa i de enskilda organisationerna kan den knappast fungera bättre på en aggregerad nationell nivå. Kanske måste ändå förhållandet att vi inte kan ge en uppfattning om hur bra eller dålig informationssäkerheten det tydligaste tecknet på att det inte fungerar bra.

 

Tre saker som inte är huvudproblemet

För att komma in på kärnfrågorna är det tre (bort)förklaringar till varför informationssäkerheten inte fungerar som jag skulle vilja utesluta:

För litet pengar

Eftersom det inte heller finns en sammantagen beskrivning av hur mycket pengar som satsas på att förbättra informationssäkerheten är det inte möjligt att säga att det är ekonomiska skäl som förhindrar utvecklandet av en bättre säkerhet. I Riksrevisionens senaste rapport om informationssäkerhet beskrivs också svårigheterna med att försöka bedöma kostnaderna.

Nationellt har det också investerats inte obetydliga medel i olika myndigheters stöd för informationssäkerhet. Eftersom inte effekten av dessa medel utvärderats mer än mycket översiktligt av Riksrevisionen är det svårt att säga att det skulle vara för litet eller för mycket.

Min poäng är denna: om det finns beskrivet vad som bör göras för att reducera olika risker för verksamheten är det svårt att uppskatta vilka medel som skulle behövas och ledningar på olika nivåer är, med all rätt, tveksamma till att tillföra ytterligare pengar. Bollen är därmed tillbaka som en skråfråga: om vi anser att det finns ekonomiska orsaker till att informationssäkerheten inte fungerar så måste vi bli mycket bättre på att beskriva vad pengarna skulle användas till och vad organisationen (eller nationen) skulle ha för nytta av det.

Att den generella it-utvecklingen går så mycket snabbare än informationssäkerhetsutvecklingen att gapet blir större och större

Det här är ju en verklighetsbeskrivning som ofta återkommer och som på något underförstått sätt antas utgöra ett skäl till att informationssäkerheten inte håller måttet. Men vad är egentligen kausaliteten i det här sammanhanget, om det nu finns en sådan? Om informationssäkerhet vore en aspekt som vunnit hög acceptans i samhället, i organisationerna, hos utvecklare av it-tjänster m.fl. så skulle ju frågeställningen vara integrerad som en naturlig del i utveckling av tjänster, produkter och infrastruktur. Istället ses informationssäkerhet som en kostnad och en motpol till effektivitet vilket gör att lösningar för att förbättra säkerheten, om de över huvud taget implementeras, inte är effektiva och ofta ligger som olja på vattnet, ofullständigt integrerade.

Som en jämförelse skulle det vara svårt att tänka sig att trafiksäkerheten skulle vara något som tilläts hamna i bakvattnet numera. Så kanske det var i ett tidigare skede men genom ett idogt forsknings- och opinionsarbete har säkerhet en mycket hög prioritet i trafikpolitiken.

Återigen faller alltså ansvaret tillbaka på oss själva och förmåga att sälja in informationssäkerheten.

Ledningen förstår inte

Det är få meningar som jag så ofta hört upprepas i professionella sammanhang som uttrycket: ”ledningen förstår inte”. Ofta blir detta den tröstande förklaringen till varför man inte når framgång med sina informationssäkerhetsprojekt och självklart ligger det mycket i det. Det går inte att smyga in informationssäkerheten i organisationen bakom ryggen på ledningen. Även här handlar det dock om att kunna presentera vikten av informationssäkerhet så ledningen ser poängen ur sitt perspektiv – att det gynnar organisationens möjlighet att uppfylla sitt uppdrag. Ser ledningen inte behovet av informationssäkerhet är det inte heller rationellt att införa exempelvis ett LIS.

Ledningens bristande förståelse kan därmed, menar jag, inte ses som en autonom förklaring till bristande informationssäkerhet utan som att ledningen inte fått tillräckligt bra argument för att organisationen ska bedriva ett systematiskt informationssäkerhetsarbete.

I de följande inläggen ska jag lyfta fram förhållanden som jag ser både som verkliga orsaker till bristande informationssäkerhet och som möjliga att påverka för oss som arbetar med informationssäkerhet.