Är öppenhet en risk?

Efter diskussionerna om 1177-skandalen och andra händelser inom e-hälsoområdet har jag efterfrågat en nationell genomlysning av hur det egentligen står till med informationssäkerheten i den svenska vården. I väntan på en större aktör som kan genomföra en omfattande analys av den i mitt tycke centrala frågan så tänkte jag börja dra några små strån till stacken och titta närmare på hur några viktiga aktörer inom e-hälsoområdet hanterar informationssäkerhetsfrågan. Hälso- och sjukvården är också en av de utpekade branscher där aktörer åläggs att bedriva ett systematiskt informationssäkerhetsarbete i NIS-direktivet. Att sanktionsavgifter kan utdömas från både dataskyddsmyndigheten och från IVO i det här fallet borde vara en starkt pådrivande faktor för att förbättra säkerheten.

En naturlig startpunkt är Inera som presenterar sig så här:

Inera ägs av SKL Företag, regioner och kommuner. Genom att erbjuda kompetens inom digitalisering stödjer Inera ägarnas verksamhetsutveckling. Inera koordinerar och utvecklar gemensamma digitala lösningar till nytta för invånare, medarbetare och beslutsfattare.

och

Inera utvecklar och förvaltar nationella tjänster inom e-hälsa och digitalisering på uppdrag av regioner och kommuner. Ungefär 35 digitala tjänster drivs idag av Inera, bland annat 1177 Vårdguiden, Nationell patientöversikt och Journalen. Vissa tjänster används av invånare, andra av vårdpersonal. Arbete pågår med nuvarande tjänster och på vilket sätt de kan anpassas för kommunerna.

Inera ansvarar också för den gemensamma infrastruktur och it-arkitektur som ligger till grund för många av tjänsterna.

Därmed har Inera uppdraget från sjukvårdshuvudmännen att koordinera och utveckla gemensamma e-hälsolösningar – en supertungviktare inom e-hälsoområdet alltså. Av detta följer att man har ett lika tungt ansvar när det gäller informationssäkerheten i de lösningar man erbjuder. Detta faktum accentueras av att sjukvårdshuvudmän och vårdgivare i de flesta fall inte kan välja andra lösningar än de som Inera erbjuder eftersom de är nationella tjänster som det är nödvändigt att använda för att kunna bedriva vård. Till skillnad mot om man skulle anlita kommersiell leverantör där man både kan styra med kravspecifikation och genom att byta leverantör om man inte är nöjd med säkerheten.

Dessutom ska Inera stödja

digitalisering av regioners och kommuners verksamheter genom att tillhandahålla kompetens och material.

Bland annat säger man sig ta fram

regelverk för informationssäkerhet, juridik och kvalitetssäkring.

Det vore konstigt om man inte skulle bli intresserad av hur Inera arbetar med informationssäkerhet då dessa olika uppdrag presenteras. När man bedömer en organisations förutsättningar för att bedriva ett systematiskt informationssäkerhetsarbete är den vanliga metoden att utgå från vilka styrande dokument som tagits fram och beslutats. Inte för att styrande dokument i sig med nödvändighet leder till bättre säkerhet men de ger ramarna för arbetet och beskriver förhoppningsvis det organisatoriska maskineri med bland annat ansvar och roller som förlängningen ska snurra igång det systematiska arbetet. I korthet: regelverk är en nödvändig men absolut inte tillräcklig förutsättning för fungerande informationssäkerhet och det finns definitivt olika kvalitet på regelverk. Dessutom innehåller regler på högre nivå mycket sällan någon som helst känslig information och skulle det återfinnas någon liten del som bedöms som känslig är den lätt att maskera vid ett utlämnande (tro mig – jag har begärt ut regler i stor omfattning från myndigheter, kommuner och regioner).

Innan vi går vidare ska jag för transparensens påpeka att jag för ett femtontal år sedan gjorde ett par konsultuppdrag för Ineras föregångare och jag hade även kontakt med Inera under den tid jag arbetade på MSB. Mitt sammantagna intryck är att det varit motigt att införa ett systematiskt informationssäkerhetsarbetet trots uppdraget Inera och dess föregångare haft.

Men åter till nuläget.

Med ovan beskrivna bakgrund var ett första steg för mig att be att få ta del av Ineras regelverk vilket jag gjorde den 6 augusti:

Hej!
Jag skulle vilja ta del av:
– Ineras interna ledningssystem för informationssäkerhet (LIS) som tillämpas i Ineras verksamhet
– Aktuella regelverk och stödmaterial för informationssäkerhet som Inera tagit fram som stöd för sina kunder
Jag skulle dessutom vilja veta när Inera senast genomförde en mer omfattande informationssäkerhetsrevision av den egna verksamheten.

Tack på förhand!

Jag fick snabbt ett automatsvar som kvitterade att mitt ärende tagits emot. Sedan dröjde det och dröjde det. Till slut kom ett svar den 22 augusti:

Ni har begärt utlämnande av Ineras interna ledningssystem för informationssäkerhet (LIS), som tillämpas i Ineras verksamhet, samt vidare aktuella regelverk och stödmaterial för informationssäkerhet, som Inera tagit fram som stöd för sina kunder.

Ineras informationssäkerhetspolicy återfinns på www.inera.se. Regelverk och stödmaterial inom informationssäkerhet och arkitektur, som delas med kunder, återfinns på www.rivta.se. Beträffande LIS gör Inera följande bedömning:

Informationssäkerhet syftar till att hindra information från att läcka ut, förvanskas eller förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare. Ineras produkter och tjänster håller en sådan säkerhetsnivå att kunder kan känna förtroende för Inera som leverantör och uppnå en hög nivå av informationssäkerhet. Den senaste mer omfattande informationssäkerhetsrevisionen gjordes den 2 maj 2019.

Inera har ett ledningssystem för informationssäkerhet, som är baserat på ISO 27001. Systemet består bl.a. av regelverk som beskriver krypteringsnivåer, autentiserings-metoder, säkerhetsåtgärder i driftsmiljön m.m. I systemet ingår vidare modeller för riskhantering, informationsklassificering, incidenthantering, etc., liksom uppföljning i form av interna och externa revisioner samt säkerhetstester.

Sekretess gäller enligt 18 kap. 8 § 3 offentlighets- och sekretesslagen för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.

LIS innehåller uppgifter av sådan art att ett utlämnande typiskt sett är ägnat att medföra skada för det intresse som skall skyddas genom den aktuella bestämmelsen. Handlingarna kan därför inte lämnas ut.

Om ni inte är nöjd med sekretessbedömningen har ni rätt att begära ett formellt beslut.

Med vänlig hälsning

Inera

Detta var ett intressant svar av flera skäl. För det första är den informationssäkerhetspolicy som bifogas och som också ligger ute på Ineras webbplats så sällsynt innehållslös och består enbart av det som i andra policys brukar ligga under rubriken ”mål”. Bland annat saknas helt inriktning för ansvarsförhållanden vilket är av stor betydelse att definiera för en leverantör . Att policyn är beslutad den 14 juni i år väcker även det en hel del tankar (mer om innehållet i de dokument jag fått ut längre ner).

Det riktigt förvånande är dock att Inera anser att övriga styrande dokument i sin helhet går att sekretesslägga och det med hänvisning till OSL trots att man inte tillhör de offentliga organisationer som faller under offentlighetslagstiftningen!

Detta sporrade min nyfikenhet och som den jobbiga människa jag är måste jag ställa ytterligare frågor med vändande post:

Tack för svar! En formfråga: har Inera fattat ett beslut att tillämpa OSL generellt för sin verksamhet?

Till svar fick jag följande:

I Ineras bolagsordningen (från 2017) står följande:

  1. OFFENTLIGHET

Allmänheten ska ha rätt att ta del av handlingar hos bolaget enligt de grunder som gäller för allmänna handlingars offentlighet i 2 kap. tryckfrihetsförordningen och offentlighets- och sekretesslagen.

Här tätnade mystiken för mig. 2 kap TF och OSL handlar om hanteringen av allmänna handlingar. Inera har per definition inte några allmänna handlingar och vad betyder då egentligen paragrafen i Ineras bolagsordning? En generös tolkning är att man menar att Ineras handlingar ska hanteras som allmänna handlingar i myndigheter, regioner och landsting. För att den handlingsoffentligheten ska fungera krävs bland annat diarieföring av handlingar där ärenden/handlingar får unika identiteter som går att söka fram och begära ut. Om myndigheten, i det här fallet icke-myndigheten Inera, bedömer att det finns grund i OSL för sekretess för hela eller delar begärda handlingar ska ett sådant beslut lämnas skyndsamt med besvärshänvisning så begäran prövas i Kammarrätten. Min nästa fråga blev därför:

Tack!

Det innebär alltså att jag kan få ett formellt beslut med besvärshänvisning inom typ tre dagar?

Och svaret kom pronto:

Ja, det stämmer. Vill du alltså helst få ett formellt beslut?

Självklart vill jag ha ett formellt beslut men på vad? Jag var tvungen att skriva tillbaka för klarläggande:

Hej igen!

För att följa ert beslut om att efterleva OSL och TF bör jag få ta del av vilka handlingar och dess unika ID så att jag kan begära ut dem. I policyn står inget om vilka övriga styrande dokument om ingår i ledningssystemet så därför behöver jag uppgifter om detta. Exempel kan vara Riktlinje för åtkomst osv. Dokumentnamnet kan inte falla under den sekretess ni hänvisar till. Tyvärr har ni ju inget diarium på nätet så att jag själv kan söka reda på dessa uppgifter.

Jag skulle också vilja se beslut om till vilken instans ni skickar besvär i utlämnandefrågor.

När jag fått dessa uppgifter kan jag göra en formell begäran om utlämnande.

En vecka senare (30 augusti) kom svaret med en bilaga Inera LIS Sammanfattning v 3.2 2019-01-31

Hej Fia,

Bifogad fil innehåller en beskrivning av Ineras ledningssystem och dess komponenter. Den instans som är aktuell i besvärsfrågor är Kammarrätten.

Återkommer till innehållet i dokumentet senare men efter att ha läst beskrivningen skickade jag in följande begäran:

Tack!

Jag har alltså fått en beskrivning av ert ledningssystem där ni bedömer att samtliga ingående dokument i sin helhet faller under OSL 18:8 § 3. Förutom att jag tycker att det är tämligen unikt för Inera att se hela regelverket som fallande ur sekretess blir jag litet fundersam över vilka dokument i beskrivningen som är framtagna och beslutade. Är beskrivningen en plan över vad som ska tas fram eller finns omnämnda dokument? Och kommer Kammarrätten verkligen att anse att de är en instans för besvär gällande utbegäran om icke-allmänna handlingar (eftersom Inera inte är skyldiga att följa TF och OSL utan har det mer som en policyinriktning)?

Eftersom jag håller på att skriva om det just nu vill jag gärna pröva detta så jag begär ett formellt beslut angående utlämnande av följande dokument (eftersom de saknar unik identitet anger jag den beteckning som anges i beskrivningen):

  • Riktlinje informationssäkerhet
  • Anvisning för informationsklassicering
  • Anvisning för informations- och it-säkerhet för medarbetare

Jag förutsätter att ni gör en sekretessprövning som innebär att de delar av dokumenten som inte faller under reglerna för sekretess lämnas ut. Förhoppningsvis håller ni också den praxis som gäller för skyndsam handläggning för denna typ av ärenden, d.v.s. beslut inom tre arbetsdagar.

Trevlig helg!

Idag den 3 september fick jag ett formell avslag med en besvärshänvisning Utlämnande av handling 20190903 (002)
där beslutet där samtliga handlingar i ledningssystemet förutom policyn i sin helhet bedöms i behov av sekretess. Besvärshänvisningen är till Kammarrätten som kan göra en annan bedömning. Själv är jag tveksam till om besvärshänvisningen verkligen fungerar eftersom Inera formellt inte faller under offentlighetsprincipen och de handlingar jag begärt ut därmed inte är att betrakta som allmänna vilket också fastslagits i ett liknande fall, då gällande SKL Kommentus inköpscentral (SKI). Av rent intresse kommer jaag ändå att skicka in ett besvär.

Om vi ser till själva processen tycks Inera lägga betoningen på S snarare än O i OSL. Det är tyvärr inte en ovanlig attityd bland myndigheter, det är klart att det är mycket bekvämare att arbeta bakom lyckta dörrar, men en mycket tråkig utveckling i ett samhälle där vi berömt oss för vår fina offentlighetsprincip. Min fråga här blir hur syftet med informationsklassningen som säkerhetsåtgärd skulle kunna skadas om Inera lämnade ut beskrivningen av sin metod. Eller hur riktlinjer för informationssäkerhet i sin helhet skulle kunna vara känsliga. För att undvika missförstånd: självklart finns det ingående beskrivningar av tekniska lösningar alternativt risker/sårbarheter som bör hållas skyddade för obehöriga (särskilt som Inera paradoxalt nog är frikostiga med tekniska beskrivningar här) . Men styrande dokument på en högre nivå borde Inera ha all anledning att vilja sprida om man tar sitt uppdrag att ”koordinera och utveckla digitala lösningar” på allvar. Eftersom vi vet att informationssäkerheten är så illa utvecklad inom sjukvården borde Inera föregå med gott exempel och visa upp vilken säkerhet man själv har i sin instans av 1177 till skillnad mot Medhelps hantering. Vad skulle nyttan vara i att begränsa harmlös information om sitt säkerhetsarbete till sina ”kunder” om man hanterar personuppgifter för hela befolkningen och ett mycket stort antal aktörer är berörda av dessa regler på olika sätt? En mer cynisk människa än jag skulle ifrågasätta att de dokument jag efterfrågar över huvudtaget finns annat än på ritbordet med tanke på att policyn antogs i mitten av juni i år och övriga dokument rimligen borde vara underdokument till den.

Jag väljer att tro att dokumenten i beskrivningen verkligen finns men det ledningssystem som framtonar liknar inget jag tidigare sett i en organisation med Ineras betydelse och ambition att följa ISO/IEC 27001/27002. Policyn är som jag tidigare skrivit torftig och innehåller inte delar som ändå får uppfattas som praxis som exempelvis ansvar och roller, incident och kontinuitet vilket även är centrala aspekter för en tjänsteleverantör.  Dessa frågor återkommer inte heller på anvisningsnivå. Inledningsvis sägs att:

Denna policy gäller all verksamhet och alla medarbetare inom Inera AB, inklusive konsulter, samt all informationshantering. Den ska också tillämpas i projekt och på förvaltningsobjekt.

Det är alltså en intern policy för bolaget Inera men vad säger det om informationssäkerheten i tjänsterna? Och i relationen med kunderna? När så basala frågor lämnas öppna är frågan vad policyn egentligen fyller för syfte.

Sammantaget är den bild jag får att detta inte ens om det blir genomfört skulle bli ett fungerande ledningssystem på det sätt som beskrivs i standarden. Men då har jag som sagt inte sett själva dokumenten. Kanske någon som är ”kund” i Ineras mening kan kolla på dessa dokument och återkomma med en beskrivning?

Ineras hemlighetsmakeri blir ännu mer märkligt med tanke på att ett flertal av de ägare som Inera kallar kunder villigt lämnat ut sina styrande dokument för informationssäkerhet när jag frågat. Varför skulle större sekretess råda hos Inera? Kanske är det ovanan att leva med en god offentlighetskultur som präglar Ineras synsätt. På samhällsnivå är det i så fall ett stort problem om viktig information flyttas från öppna organisationer till slutna som Inera och SKL.

Jag tror att överdrivet sekretessläggande är till stor nackdel för säkerhetsarbete generellt men alldeles särskilt i sammanhang då en ett antal aktörer ska dela information, tjänster och infrastruktur. Det måste finnas en grundlig kännedom  och diskussion om gemensamma regler hos de som är aktörer i samarbetet men det måste också gå att presentera utanför den snävaste kretsen för att kunna skapa tillit. Konsulter och leverantörer måste även de få inblick för att kunna utveckla sina tjänster så att de passar. Detta gäller än mer om Inera ska axla rollen att stödja kommunerna i deras digitalisering. Min förslag har sedan länge varit att ta fram gemensamma regelverk och skyddsnivåer för att skapa gemensam säkerhet och dessutom slippa de stora konverteringsproblem som uppstår då aktörer med olika regelverk ska samverka i samma infrastruktur. Svensk digitalisering är i sig planlös men det skulle kunna gå att riva det Babels torn av språkförbistring som redan finns inom informationssäkerhetsområdet genom att skapa just gemensamma regelverk. Jag gjorde ett försök 2014 när jag jobbade på MSB att få olika centrala aktörer att samverka strategiskt men denna strategi har fallit i glömska trots ett flertal tunga undertecknare (bland annat SKL och Inera).

Idag är behovet av fungerande informationssäkerhet i vården större än någonsin finns det definitivt utrymme för Inera att kliva fram och göra mer av sitt uppdrag att ta fram regelverk för informationssäkerhet än det som nu finns presenterat på webbplatsen, detta särskilt som SKL säger att man ska arbeta ”resolut” med att förbättra informationssäkerheten. Ska man lyckas med det krävs dock öppenhet och dialog med de många aktörer som måste ingå i ett sådant förbättringsarbete. Att hävda att sekretess råder för varje mening i styrande dokument på hög nivå är inte ett tecken på vilja till öppenhet och dialog.

3 reaktioner på ”Är öppenhet en risk?

  1. Det är ett stort problem att många tror att man uppnår säkerhet genom sekretess eller hemlighetshållande av hur man arbetar eller hur man implementerat sin säkerhet, alltså ”security by obscurity” (https://en.wikipedia.org/wiki/Security_through_obscurity).

    Redan på 1800-talet kände man till den viktiga principen att krypteringssystem måste vara säkra även om allt om hur krypteringssystemet är känt – utom krypteringsnycklarna. Den kallas Kerhoffs princip (https://en.wikipedia.org/wiki/Kerckhoffs%27s_principle) och formulerades även av informationsteorins fader Claude E. Shannon och kallas då Shannon’s Maxim.

    Det finns många exempel på dåliga säkerhetsystem som enkelt komprometterats för att de som designat säkerhetssystemet baserat säkerheten och förlitat sig på hemlighetsmakeri istället för att göra systemet informationssäkert i sig.

    Att Inera och andra aktörer hemlighetshåller information om hur de arbetar med informationsäkerhet, och gör det i tron att det ökar säkerheten, ger ett starkt intryck av att man verkligen inte vet eller förstår hur man ska arbeta med informationssäkerhet. Självklart ska en organisation kunna vara öppen med hur man arbetar med informationssäkerhet och dessutom hur man implementerat informationssäkerhet och skydd i alla de system och digitala lösningar man ansvarar för. Är det dessutom en organisation som helt finansieras av skattemedel är det även den demokratisk förvaltningsskyldighet att vara öppen med den informationen.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *