Standardens paradox

Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet. När jag började var det BS 77 99 och nu har vi en hel 27000-familj.

Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen. Jag har redan skrivit ett antal inlägg, bl a här och här  berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet. Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälpt informationssäkerhetsarbetet.

En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa. Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas. Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur. Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”. Självklart förstår jag lockelsen i att det skulle kunna fungera så. Problemet är att det inte gör det.

Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått. En av mina favoriter är standarden för avstånd mellan hålen för hålslag. Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.  Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden? När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?

I en mycket intressant artikel från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till. Som en bakgrund gör de en åtskillnad mellan s.k. de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering. Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.  27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.

Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden:

De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them (Smith et al., 2010; Tsohou et al., 2010). Standards are said to be consensus-based; they reflect “best practices,” as negotiated by experts. In fact, on their website, ISO refers to “standards” and “best practices” interchangeably. “Best practice” is generally referred to as “a working method or set of working methods that is officially accepted as being the best to use in a particular business or industry” (Cambridge Dictionary, 2019). The rhetoric is that standardization is “governed by the principles of consensus, openness, transparency, national commitment and technical coherence” (CEN, 2015) where “groups of experts from all over the world” (ISO, 2014) make “top quality standards” (ETSI, 2014 1423). Thus, the negotiation between experts takes place in discourses, where best practices are constructed through wordings of the standards.

De jure information security standards are likewise made valid and legitimate through an “appeal to common practice and authority” (Siponen and Willison, 2009). However, there is a lack of empirical evidence for what is considered best practice in standardization, because the discourses governing the reasoning remains hidden from public view. It is, therefore, difficult to evaluate the reliability and objectivity of information security standards (Siponen and Willison, 2009). Thus, when considering the pervasive and normative role these best practices have on safeguarding information, information systems, and infrastructures controlled by such systems, it is important to understand the discourses that construct them. If these standards do not represent best practices, then a large number of countermeasures would share the same type of vulnerabilities.

Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls. Eftersom den inte bygger på evidens skulle dess USP bestå just i en bred erfarenhetsbaserad kunskap. Om inte denna grund finns påverkas naturligtvis standardens legitimitet. Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”. Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet. Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.

Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval. Detta bygger jag på att informationssäkerhetsarbetet knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s. de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård. Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja. I Finland antogs i år en rekommendationssamling  av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard:

Rekommendationerna hänvisar inte till några allmänna standarder eller referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt. Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.

Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina regler för informationssäkerhet i vården, man ville inte referera till någon särskild standard. Uppfattningen var att det var möjligt  att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.

När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter. Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas. Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga. Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur. Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.

Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetens informationssäkerhetsarbete i Sverige. Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp. Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.

Spårbarhetens vara eller icke vara

Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.

Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet. Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas. Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen. Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.

För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.

Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre. Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga. Vare sig tillstånd eller förmåga kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis:

integrity

property of accuracy and completeness

Property kan översättas som egenskap.

Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse. I rapportens inledning står det:

Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas. Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.

Här definieras alltså konfidentialitet, riktighet och tillgänglighet som egenskaper men så även bland annat spårbarhet.

I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan. Närmast kommer man i beskrivningen av informationssäkerhetsmodell:

Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser. Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat. Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.

Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.) som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.

Riktighet definieras exempelvis som endast:

skydd mot oönskad förändring

vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en egenskap eller möjligen en funktion.

Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.

Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka. I artikeln Informations security anges som key concepts  som första punkt CIA- triaden med följande beskrivning

The CIA triad of confidentiality, integrity, and availability is at the heart of information security.(The members of the classic InfoSec triad—confidentiality, integrity and availability—are interchangeably referred to in the literature as security attributes, properties, security goals, fundamental aspects, information criteria, critical information characteristics and basic building blocks.)

Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.  Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden. Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.

Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå. Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.

Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är. Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro. Den s.k. Parkerian Hexad konstruerades redan 1998 av Donn B. Parker som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility. Även aktuella svenska exempel på kritisk diskussion om CIA triaden. Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin Informationssäkerhet och organisationskultur där ett bidrag (Vad är säker kultur av Björn Lundgren) starkt ifrågasätter CIA-triaden. Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan. ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.

Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering). I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara

  • Tillförlitlighet
  • Äkthet
  • Integritet (oförändrad)
  • Användbarhet

vilket är snubblande nära ISO 27000 men med andra definitioner. I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet. Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL. Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.

Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.

Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner. För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser. I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion. Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.  För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet:

  • avtalshantering
  • ansvarsutkrävande
  • interna kontrollsystem
  • upptäckt av avvikelser
  • teknisk övervakning
  • dataskydd
  • patientsäkerhet
  • medarbetares integritet
  • medarbetares rättssäkerhet
  • brottsutredning
  • forensik
  • fysiskt skydd

Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster. Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar. I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande. Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.

För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: Information Security Goals in a Swedish Hospital (tillgängligt via DIVA). Angående spårbarhet skriver man bland annat:

However ‘Traceability’ found in the hospital document has much broader meaning than accountability. ‘Traceability’ emphasizes the importance of tracing information, and not only trace the individuals that produce the information. This goal Page 16–9 contributes to business goals: ‘correct healthcare’ and ‘effective healthcare’ and in the end is related to organisations responsibilities to its stakeholders.

Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten. Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen. Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.

Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad. Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig. Autenticitet inte detsamma som riktighet, inte heller oavvislighet täcks av riktighet. Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan. I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.

Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd. Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information. Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer. För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet. Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser. En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var. När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet. En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.

För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att egenskap skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000. Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga. För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder. CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet. I detta sammanhang vill jag understryka att en portalprincip i ISO 27000 är att informationssäkerheten ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar. Om en uppfattning är att standarden inte kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet. Det finns ju liksom inget egenintresse i att följa en standard.

Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige. Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning. Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.

Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m. för föreskrifter. Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om här. 

Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får. Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.  Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död. I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få? Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag). Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar. För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna. Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet. Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.

Nu ser jag fram emot en mängd kloka motargument!

Den viktigaste förebyggande åtgärden saknas

Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna. Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske. Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.

För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer. För att uppnå detta krävs både episteme, fronesis och techne. Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerande informationssäkerhetsarbete ska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras. Jag skulle vilja hävda att detta idag i allt för hög grad saknas.

Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sitt informationssäkerhetsarbete så att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär. Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.  Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag. Det gäller c.a. 350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet. En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns. Hos de som får allt tyngre ansvar för det faktiska informationssäkerhetsarbetet finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet. Till viss del fanns denna insikt även i  den strategi för samhällets informationssäkerhet som MSB tog fram tillsammans med andra myndigheter. Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.

Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen. Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.   Utredningar som SOU 2015:23 Informations- och cybersäkerhet i Sverige, SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster, SOU 2017:114 reboot – omstart för den digitala förvaltningen liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter. Den nationella strategin för informations- och cyberssäkerhet (Skr. 2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen. Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.  Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.

Jag delar inte denna tilltro till den osynliga handen. Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov. Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas. Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt). Därav ett stort fortbildningsbehov. De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning. Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning. Detta räcker naturligtvis inte långt.

Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren. Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället. Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist. Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas. Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet. Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.

 

Finns det en informationssäkerhetskultur?

Som jag litet surt påpekat några gånger är kunskapsgrunden för informationssäkerhetsarbetet påfallande svagt. Det är därför en händelse av stort intresse när en ny forskningsantologi inom informationssäkerhetsområdet publiceras som nu då Informationssäkerhet och organisationskultur presenteras. Än mer så när den är inriktad på organisation och inte enbart teknik som den övervägande del av de svenska forskningsinsatser varit.

Antologin bygger på resultatet från ett antal olika forskargrupper som finansierats av MSB i ett femårigt forskningsprogram relaterat till frågor om informationssäkerhetskultur. I programmet genomfördes en omfattande enkätundersökning som använts av flera av de ingående forskningsgrupperingarna.

Att det är ett konglomerat av olika discipliner som deltagit är både en styrka och en svaghet i antologin. Styrka eftersom det ger en i delar ny och intressant belysning av informationssäkerhet, svaghet då den röda tråden i antologin känns väl tunn och att det mer har handlar om paketering än en reell knytning till just säkerhetskultur. Att det inte är ett inarbetat forskningsområde visar sig också i att den litteratur som använts i förvånande hög grad är utgiven för tio år sedan eller mer.

Först två allmänna reflektioner efter genomläsning. För det första beskrivs informationssäkerhet påfallande ofta direkt och indirekt som en statisk entitet, d.v.s. på ett icke-relationellt sätt, som här t.ex:

Informationssäkerhetskultur kan vara bra såväl som dålig. Den är bra om den gynnar informationssäkerheten.

Jag menar att informationssäkerheten inte är ett värde i sig utan att det är organisationens intressen som ska gynnas av informationssäkerhetskulturen, d.v.s. att den goda informationssäkerhetskulturen stödjer organisationen i att identifiera sitt behov av olika informationssäkerhetsåtgärder.

Den andra reflektionen är den i mitt tycke en övertro på regelstyrning. I några av inläggen framstår det som att informationssäkerhetskulturens främsta och möjligen enda uppgift är att motivera medarbetarna att följa regler. Med erfarenhet från att vara informationssäkerhetsansvarig alternativt konsult i rätt många organisationer har jag upplevt att det stora behovet av säkerhetskultur är att den lägger grunden för en dialog om informationssäkerhet. Verksamheten måste vara involverad eftersom det är den som känner de egentliga behoven av säkerhet men behöver hjälp med att kanalisera dem och över huvud taget definiera dem som säkerhetsrelaterade. I detta är exempelvis verksamhetens förmåga och intresse av att uppmärksamma risker och kommunicera dem. Och när det gäller styrningen är det också aningen förvånande att ledarskap inte diskuteras – när organisationskultur i allmänhet brukar ses som i en nära samvariation med ledarskap. Här tänker jag inte enbart på det generella ledarskapet i en organisation. Minst lika viktigt är det ledarskap som de som arbetar med informationssäkerhet utövar både nationellt och i sina respektive organisationer. Min uppfattning, som saknar vetenskapligt belägg, är att detta ledarskap fortfarande är starkt präglat av en patriarkal kultur hämtad från en militär-polisiär tradition som är illasittande i de flesta moderna organisationer. Detta kommer ytterligare att förstärkas när Metoo-revolutionen, som inte bara handlar om sextrakasserier utan även manligt maktmissbruk bland annat på arbetsplatser, rullar vidare.

Några av inläggen läser jag med känsla av: var det inte mer? Det är inte sååå upphetsande med en slutsats som att tjänstemän som arbetar i regelföljande organisationsklimat anammar informationssäkerhetsregler bättre än tjänstemän i organisationer utan detta klimat. Eller att informationssäkerhetskulturen gynnas av att ledningen uttrycker att informationssäkerhet är en viktig fråga för organisationen (även om detta ändå touchar ledarskapsfrågan som jag tidigare skrev att jag saknade).

I andra fall blir jag uppriktigt förbryllad. Avsnittet om ”praktikanpassad informationssäkerhetspolicy” blandar alla nivåer av styrande dokument på ett sätt som jag som strukturfascist känner mig ytterst obekväm med. Bara att skriva informationssäkerhetspolycier i plural …  Ett annat exempel som leder grubbel är detta:

Historiskt sett baseras informationssäkerhetsarbetet på tre tekniskt orienterade principer: sekretess, riktighet och tillgänglighet.

Författarna vill komplettera dem med ”organisatoriskt orienterade och beteendebaserade principer som ansvar, rollintegritet, förtroende och etiskt handlande”. Jag gillar känslan av att få mattan undanryckt under fötterna, för mig har aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet varit definitioner av vad som ska uppnås i tillräcklig grad med både organisatoriska och tekniska åtgärder. Tyvärr kan jag inte säga att den nya vinklingen som författarna från Handelshögskolan i Örebro lanserar känns uppenbar ens vid en närmare genomläsning. ”CIA”-begreppen ifrågasätts även av filosofen Björn Lundgren som vill ersätta dem med den s.k. RIGHT-definitionen. Trots att jag har en del högskolepoäng i filosofi går mig delar av hans resonemang förbi, kanske för att jag fastnar på ett tidigt skede eftersom det förefaller som om hans utgångspunkt är att det finns ett läge där information är ”säker”. I min uppfattning strider detta mot det riskbaserade säkerhetsarbetet där det snarare handlar om att rikta in sig mot ett ständigt rörligt mål och få en acceptabel riskmiljö.

Andra inlägg är mer givande. Den etnologiska studien av den konfliktfyllda kultur som råder runt framtagandet av informationssäkerhetsstandarder bör leda till eftertanke men har också  vissa (ofrivilligt?) komiska inslag.

Flera av inläggen handlar om informationssäkerhet i hälso- och sjukvård och det är kanske här antologin är som mest intressant särskilt med den tydliga kopplingen till integritetsfrågor. När nu många nya aktörer börjat visa intresse för integritetsfrågor i samband med dataskyddsförordningen har det ett generellt intresse.  Jag ska därför göra en fördjupning rörande ett av antologins inlägg.

Integritet och hälso- och sjukvård

Jag har i olika sammanhang ifrågasatt säkerheten och hanteringen av personuppgifter i den nationella tjänsten Hälsa för mig och kan därför säkert uppfattas som jävig men vill ändå hävda att Peter Johanssons och Sofie Hellbergs bidrag som handlar om den tjänsten är det mest givande avsnittet i antologin. Detta inte enbart för att sjukvårdens informationssäkerhet och hantering av integritetsfrågor är så viktiga i sig utan också för att de frågeställningar de lyfter fram kan generaliseras.

Bidraget inleds med en effektiv genomgång av tidigare forskning om integritet samt om några möjliga synsätt. Själva förordar de ett s.k. kontextdrivet förhållningssätt i motsats att försöka skapa en allomfattande och evig definition av integritetsbegreppet:

Vi delar uppfattningen om att nyckeln till att förstå och hantera personlig integritet ligger det sammanhang där integritetsfrågorna uppstår. En fördel med detta förhållningssätt är att man redan i designfasen av nya tekniker och system kan inkludera skydd för den personliga integriteten eller sätt upp regler kring nya teknikers användningsområden. Utan ett sådant kontextdrivet förhållningssätt finns en risk att man vare sig kan identifiera eller hantera situationer där den personliga integriteten hotas.

Detta stämmer väl med privacy by design (som ju föreskrivs i dataskyddsförordningen) även om jag hellre skulle beskriva det som privacy by design i processer än i system.

Forskarna identifierar de två parallella trenderna där accelererande mängder information insamlas och bearbetas samtidigt som individen får en ökad tillgång till information om sig själv. Med denna bakgrund studerar forskarna den tidigare regeringens satsning på tjänsten Hälsa för mig.

Hur ansvaret för säkerhet och integritet ska fördelas i det informationshanteringslandskapet är inte uppenbart vilket caset med Hälsa för mig visar. Att trycka ner ansvaret till individen med krav på hen själv ska ”styra” sin integritet har varit en bekväm lösning som myndigheter och tjänsteleverantörer. Individens möjlighet att göra rimliga avvägningar är av flera skäl mycket begränsad av att hen inte kan överblicka användningen av informationen, konsekvenserna av detta och dessutom är i ojämn maktrelation med leverantören av tjänsten. En egen reflektion är att författarna i marginalen låter ett inslag i den kultur som formats runt e-hälsa skymta fram när man skriver:

Att personlig integritet är något som kan upplevas stå i vägen för e-hälsoutvecklingen har vi noterat vid olika e-hälsokonferenser. Där har vi lyssnat på olika talare som raljerat över ”integritetsivrare”, vilket vi uppfattar som mycket problematiskt då det appliceras svepande på bland annat läkare och patientföreningar som representerar särskilt sårbara patientgrupper.

Potentiellt negativa effekter för integriteten tonas dock ner.

Detta är en kultur jag känner igen sedan åtminstone början av nittiotalet. Som verksam inom informationshanteringen i vården blev jag vittne till ett tydligt perspektivskifte.  Från att tystnadsplikt och integritet hade varit kärnvärden i läkarkåren och vården i stort skedde en snabb relativisering (ja, jag vet att allt inte var idealiskt tidigare heller men pratar här om de uttalade etiska ståndpunkterna). Relativiseringen av integriteten blev ett förhållningssätt som funnits med i digitaliseringsprocessen av vården ända sedan dess begynnelse, där det har målats upp en motsatsställning mellan patientsäkerhet och integritet. Bakgrunden till detta är att det har funnits en motvilja hos sjukvårdshuvudmän, vårdgivare och systemleverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt. Min uppfattning är att denna relativisering främst bottnade i att sjukvårdshuvudmännen m.fl. inte prioriterade att ta fram organisatoriska beskrivningar av hur ”vårdrelation” ska definieras, d.v.s. vilka medarbetare som verkligen har anledning att ta del av den enskilda patientens vårdinformationen. Detta kompletterat med att systemleverantörerna inte klarade av att leverera digitala lösningar med en för ändamålet avpassad behörighetshantering gjorde att den personliga integriteten framställdes som ett hinder för verksamheten och ett hot för patienten. Ett tydligt tecken var den ständigt återkommande bilden på konferenser och andra sammanhang där det beskrevs hur en medvetslös patient kommer in på akuten och personalen p.g.a. att patienten kan ge samtycke inte kommer åt information som överkänslighet eller annan medicinsk bakgrund med följd av att patienten avlider. Att flertalet patienter inte är medvetslösa, inte på akuten och att behörighetsstyrningen kan ske situationsanpassat försvann i detta scenario som gjorde det överväldigande tydligt för många att integritet är av ondo. En rådande doktrin var också att behörighetsstyrning var onödigt och att loggning var lösningen på kontroll av åtkomst. Att loggning i detta syfte skulle kräva att det är mycket tydligt vem som har åtkomsträtt, d.v.s. i princip samma förutsättning som för den behörighetshantering som man sa sig inte kunna åstadkomma, förträngdes. Effekten blev usel informationssäkerhet samt att etiken och i förlängningen lagstiftning anpassades efter organisatoriska och tekniska brister. Detta vore ytterst intressant att läsa om i en forskningsstudie.

Den inneboende paradoxen med självstyrd integritet samtidigt som individen inte har det egentliga valet eller möjligheten att styra begränsningen av användningen av personuppgifter är inte unik för Hälsa för mig. Den möjlighet att spärra uppgifter som patienten fick i patientdatalagen (PDL) 2008 har i praktiken inte realiserats utan på många sätt motarbetats av vårdgivare. Bidraget om Hälsa för mig och den bristande integritetsanalysen i det projektet illustrerar en historisk utveckling formad genom tekniska ofullkomligheter men därefter stödd av en säkerhetskultur som legitimerar den bristande säkerheten, ja rent av gör den till en dygd. Den bristande analysen i fråga om integritet i Hälsa för mig har lett till att Datainspektionen listat ett antal förelägganden som måste åtgärdas innan tjänsten kan tas i bruk. E-hälsomyndigheten har överklagat detta till förvaltningsrätten men i dagsläget verkar det oklart om tjänsten kommer att kunna tas i bruk.

För mig är detta antologins absolut viktigaste bidrag när det gäller att vissa betydelsen av en positiv respektive negativ informationssäkerhetskultur. Dessutom att den kulturella påverkan på intet sätt är begränsad till en enskild organisation utan kan omfatta en hel sektor. Här finns verkligen möjlighet till vidare forskning. I dessa dataskyddsförordningstider är det också av stor betydelse att visa att integritet inte handlar om teknikaliteter utan om kultur och värderingar.

 

Sammantaget illustrerar antologin ett spretigt kunskapsområde med oklar teori och en ganska lång väg kvar att gå. Svaret på frågan i rubriken tycker jag mig kunna se som: ja, det finns både positiv och negativ informationssäkerhetskultur och vi måste förstå mer för att kunna stärka den positiva kulturen.

 

Varför funkar det inte? Del 6

En profession behöver metoder

För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder. Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.

 

lojlfammal

I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat. I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering. Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter. Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat. Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.

Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet. För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs. Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning. Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter. Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta. Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas. En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer. Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder. Detta var dock inte en uppfattning som delades av alla. Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.

I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik. Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas. I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.

Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade. Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.  Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.

Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod. Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade. Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.

Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp. Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella. ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod. Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna. Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i en organisation när information i allt högre grad flödar över organisationsgränser. ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare. Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.

Varför funkar det inte? Del 5

I ett tidigare inlägg skrev jag om vad jag uppfattar som ett bristande vetenskapligt stöd för det informationssäkerhetsarbete som bedrivs. Att inte kunna bottna sitt arbete i etablerad kunskap skapar av naturliga skäl avgörande hinder i det kunskapssamhälle som numera är vårt. Men om vi kontrafaktiskt skulle anta att det fanns en välutvecklad akademisk kunskap om informationssäkerhet skulle inte denna kunskap vara tillräcklig för att få en verkligt fungerande informationssäkerhet i organisationer och i samhället i stort. Det behövs också aktörer som vet ”hur” man ska göra, det vill säga tillför techne och fronesis till episteme.

Behovet av en profession

Vad jag avser är en profession av låt oss kalla det informationssäkerhetsspecialister. Behovet av att skapa nya professioner följer med utvecklingen av det moderna samhället från skråväsendets tillkomst under medeltiden till dagens på olika sätt legitimerade eller auktoriserade yrken. Professionen skapar legitimitet åt yrkesutövarna, ”paketerar” deras kompetens så att den blir hanterbar även för externa parter som är intresserade av att använda den och, inte minst, utgör en dialogpartner för den akademiska kunskapsutvecklingen.

Den fruktbara relationen mellan profession och akademin kan kanske mest arketypiskt ses inom det medicinska fältet där läkarna genomgått en professionaliseringsprocess under mycket lång tid. Numera har även andra yrkesgrupper som sjuksköterskor och fysioterapeuter gjort samma resa men för enkelhetens skull ska jag fortsättningsvis hålla fast vid läkarna som exempel.

För den som läst något om medicinhistoria är det uppenbart att samspelet mellan de praktiserande läkarna och den akademiska forskningen varit nödvändigt för att nå fram till dagens möjligheter att faktiskt bota, förebygga och lindra allehanda sjukdomstillstånd. Sextonhundratalets fältskärer skulle inte genom praktiskt karvande i sårade soldater kunnat generalisera sin kunskap så att den skulle kunna beskriva sårinfektioner på ett allmängiltigt sätt. Lika litet skulle de medicinska forskarna som faktiskt fanns vid denna tid kunnat avvara den praktiska kunskapen hos dem som dagligdags mötte patienter, om än med bensågen i högsta hugg. För att detta samspel skulle kunna utvecklas på det fruktbara sätt som faktiskt skett var en viktig faktor att de praktiserande läkarna kom att utgöra en alltmer skarpt avgränsad profession med bestämd kompetens och enhetliga metoder.

Jag gör analogin till informationssäkerhetsområdet där vi har samma behov av att förena teori och praktik. En professionell yrkesutövning kan borga för den kvalitet som är nödvändig i den praktiskt utövande delen av kunskapsområdet och av denna anledning bör en profession av informationssäkerhetsspecialister skapas.

Krav på en profession

Utvecklandet av en profession är som sagt den normala gången inom olika kunskapsområden och det finns också en omfattande forskning på temat. Både inom gruppen själv och för externa parter som arbetsgivare in spe måste det gå att beskriva vad professionens Unique Selling Proposition eller Unique Selling Point (USP) är och också skapa organisatoriska strukturer för att upprätthålla denna USP. Några av de moment i professionsbildandet som brukar tas upp litteraturen är följande:

Definition av kunskapsområde

En grund då en profession vill formalisera sig är att man annekterar ett kunskapsområde och hävdar att den egna gruppen är den främsta/enda som äger denna kunskap, jämför läkare och medicinen. Förutsättningen är att det går att definiera kunskapsområdet på ett sätt som både gruppen internt och omvärlden kan vara eniga om. Här finns ett problem för informationssäkerhetsspecialisterna om den beskrivningen av oklarheten i vad kunskapsområdet egentligen består i godtas. Är det en organisatorisk eller teknisk kompetens som utgör kärnan för att bara ta en av de många frågor som kan ställas.

Krav på teoretisk och praktisk kunskap som säkerställs genom etablerad procedur

För att få tillhöra en profession måste det definieras vilken teoretisk och praktisk kunskap man måste besitta. Det måste också finnas en procedur som är erkänd även av utomstående som garanterar att de som utger sig för att tillhöra professionen verkligen kan antas inneha den rätta kompetensen. Det räcker alltså inte med att man själv kallar sig ”informationssäkerhetsexpert” eller att man har lösliga grupperingar av typen communities. En ganska självklar del i detta är en formaliserad utbildning vilket idag saknas inom informationssäkerhetsområdet. De utbildningar som erbjuds på högskolenivå (vilket vi väl får anta är rimligt att kräva) har ett mycket spretigt innehåll från ”Internationella aktörer och regelverk” till ”It-forensik” för att bara ta ett par exempel från högskolekurser som beskriver sig som utbildning i informationssäkerhet.

Andra utbildningar går in på ren it-säkerhet eller på praktiska metoder men kunskapsområdets otydlighet avspeglar sig i utbildningsutbudet. Om vi tittar på innehållet i olika populära certifieringar blir bilden än mer otydlig, i en CISSP-certifiering uppges bland annat telekommunikation och mjukvaruutveckling ingå.
Kravet på formaliserad utbildning blir därmed i dag svårt att uppfylla liksom två andra vanliga krav på en profession: inträdeskrav och avgränsning av de som inte hör dit. För att sammanfatta så kan vem som helst oavsett utbildning, erfarenhet eller personlig lämplighet utge sig för att vara informationssäkerhetsspecialist utan att någon kan hävda motsatsen.

Normer och kultur

En profession definieras inte bara av kunskap utan också av de specifika normer och den kultur som dess medlemmar ansluter sig till. Exempel på detta är, förutom läkaretiken, de normer som upprätthålls av advokatsamfundet. Det innebär också en kollegial kontroll över de attribut som yrkestitel som följer med professionen. Detta förutsätter i sin tur någon form av kollegial organisation som kan utöva kontroll och utveckla en yrkesmässig kultur och etik.

Informationssäkerhetens professionalisering – hur ska vi gå vidare?

Idag saknas flertalet av de förutsättningar som krävs för en professionalisering inom informationssäkerhetsområdet. Behovet är av en sådan är dock stort och om man ska dra slutsatser av andra yrkesgruppers historia måste frågan drivas av de yrkesverksamma själva. En svårighet är att det inte finns fackföreningar eller starka intresseföreningar inom området som skulle kunna inleda en sådan process. Ett första steg är att börja diskutera framtiden på ett öppet sätt och försöka hitta vägar framåt. Är lämpligt med ett brett anslag där hela den spännvidd som nu ryms under beteckningen informationssäkerhet men med en specialisering på samma sätt som läkarkåren? Eller bör vi resonera oss fram till en tydligare avgränsning mot it-säkerhet och cybersäkerhet?  Frågorna är många men än saknas forat att diskutera dem i.

Varför funkar det inte? Del 4

Kunskap och informationssäkerhet

Som redan framgått är det svårt att ens ge en enhetlig och allmänt accepterad definition av begreppet informationssäkerhet. Att då kunna beskriva kunskapsområdet informationssäkerhet blir därför av naturliga skäl minst lika svårt.  Ändå menar jag att den enda verkliga legitimitet som informationssäkerhetsområdet kan uppnå måste gå genom att kunna motivera synsätt, metoder och investeringar med ett kunskapsunderlag. Kunskapsunderlaget måste därför vara av en sådan karaktär att det kan accepteras av de aktörer som vi vill ska anamma synsätten, använda metoderna och göra investeringarna. Om vi inte kan argumentera utifrån en rationell position återstår att försöka övertyga med känslor eller utifrån särintressen alternativt mycket smalt perspektiv som att exempelvis isolera en risk och se den som helt dominerande.

Min uppfattning är att vi idag är ganska långt ifrån att ha ett gemensamt kunskapsunderlag. Kvaliteten på kunskapsunderlaget kan också ifrågasättas av flera skäl, bland annat inte oväsentliga delar har sitt ursprung i rapporter från bolag som säljer säkerhetsprodukter. Ett kanske ännu större problem är att det saknas arenor för kunskapsutveckling utanför akademin där en professionell diskussion kan föras. Istället skulle jag vilja hävda att området präglas av ett anti-intellektuellt förhållningssätt som leder till en stagnation också när det gäller att ta fram praktiskt fungerande lösningar för att förbättra säkerheten.

Episteme, Fronesis, Techne

Utan att gå tvärdjupt är en rimlig utgångspunkt för ett kunskapsområde att det har olika lager av kunskapsnivåer inklusive en teoretisk grund. För att ett auktoritativt stöd i detta men också skapa en ganska enkel pedagogik tar jag hjälp av Aristoteles som delade upp kunskapen i fem former av vilka jag endast kommer att diskutera tre:

episteme (vetenskaplig kunskap, påståendekunskap, veta att)

techne (praktisk-produktiv kunskap, färdighetskunskap, veta hur),

fronesis (praktisk klokhet, det goda omdömet, veta när)

För den som vill veta mer om detta på ett enkelt sätt rekommenderar jag denna text.

Min känsla har länge varit att det som uppfattas som kunskap inom informationssäkerhetsområdet går att hänföra till techne med betoning på enkla tumregler och tekniska lösningar. Många duktiga informationssäkerhetsmänniskor har haft rejäla mått av fronesis så att de kunnat tillämpa den fyrkantiga techne-kunskapen på ett bra sätt i sina organisationer. Däremot så uppfattar jag att episteme, den vetenskapliga kunskapen med krav på generaliserbarhet och mätbarhet, i hög grad saknas inom informationssäkerhetens kärnområde. Vad jag då avser är att exempelvis en övergripande teoribildning på det som är vanlig inom samhällsvetenskapliga områden inte riktigt går identifiera i många av de vetenskapliga texter som publiceras om informationssäkerhet. Det har också ofta slagit mig att jag sällan sett att etablerade uppfattningar och metoder prövas på ett vetenskapligt sätt. För att snabbtesta mina egna fördomar har gjorde jag en sökning i svenska databaser på aktuell forskning om informationssäkerhet och fick fram några hundra publikationer som jag granskade snabbt och översiktligt utan anspråk på någon som helst vetenskaplighet. Den som själv gå igenom samma material kan följa den här länken och den här.

I beskrivningarna har jag försökt utläsa om det finns en teoretisk utgångspunkt som på försöker beskriva ett ontologiskt perspektiv om hur informationshantering och informationssäkerhet samverkar och vad informationssäkerhet är. Jag har också försökt läsa ut huruvida författarna verkligen ifrågasatt de etablerade synsätten och metoderna samt prövat dess effektivitet och relevans på ett ”objektivt” sätt. Slutligen har jag tittat på inom vilken disciplin texten är skriven och om den förefaller vara övervägande organisatorisk eller tekniskt orienterad.

Intryck

Efter denna snabba och djupt orättvisa genomgång tycker jag mig ändå se vissa tendenser.

Oklarheten i begreppet informationssäkerhet som jag tidigare skrivit om gestaltas också i de vetenskapliga texterna och leder till en spretighet. Begreppet tycks kunna stå för renodlat tekniska lösningar (som jag kanske hellre skulle kalla it-säkerhet) som organisatoriska. I de fall där jag läst sammanfattningarna är denna begreppsförvirring och ontologiska brist inte något som författarna tycks uppfatta som ett problem. Inte heller verkar ontologin i grundbegreppen konfidentialitet, riktighet, tillgänglighet, spårbarhet alternativt CIA-begreppen utgjort en frågeställning i området.

Flertalet texter är skrivna av forskare med teknisk eller systemvetenskaplig bakgrund. Detta leder till två helt olika problem. Det första är att fokus ofta kommer att ligga på tekniska lösningar istället för organisatorisk styrning trots att man säger sig skriva om informationssäkerhet. Det andra är att det är forskare med teknisk eller systemvetenskaplig bakgrund som skriver om organisatoriska frågor vilket ligger utanför deras egentliga kompetensområde, något som kan leda till att de inte helt har de redskap som krävs för en organisatoriskt inriktad forskning. Sammantaget leder det till att den organisatoriska styrningen bli styvmoderligt behandlad.

Ett genomgående drag är att etablerade synsätt och metoder förefaller förutsättas vara fungerande och effektiva. Detta gäller i hög grad de mer organisatoriskt inriktade texterna som kan handla om mätning, compliance och säkerhetskultur för att ta några exempel. Detta gäller även då man exempelvis tittar på mognadsmodeller där mognaden kan ses som en slags compliance till etablerade synsätt och metoder.

Förutom compliance är fenomenologi i en relativt vanlig form av studie. Det kan handla om hur medarbetare, patienter eller någon annan grupp uppfattar säkerhetsåtgärder eller -behov. Inte heller här tycks metoder egentligen ifrågasättas utan snarare är det uppfattningarna om dem som kan behöva ändras.

Trots inriktningen mot compliance är det få texter som undersöker värdet av de åtgärder som compliance-kravet gäller. Att vara compliant till kravet att ha bland annat en incidenthantering följs inte av en undersökning av effektiviteten i olika metoder för incidenthantering för att ta ett hypotetiskt exempel. Att studera metoder och delta i metodutveckling förekommer dock inom rent tekniska frågeställningar.

Och vad blir konsekvensen?

Forskning är naturligtvis inte den enda källan till kunskap men det finns frågeställningar inom informationssäkerhetsområdet där jag uppfattar att en vetenskaplig metod är lämplig för att skapa nödvändig kunskap. Det gäller både en slags grundforskning på ontologisk nivå och för insatser för att på ett vetenskapligt sätt skapa en evidensbaserad kunskap kring effektiviteten i olika, framförallt organisatoriska, metoder. Denna typ av frågeställningar kan svårligen hanteras av enskilda informationssäkerhetsansvariga eller av enskilda organisationer.

Informationssäkerhetsområdet har stort fokus på techne vilket sannolikt leder till ineffektiva och bakåtblickande metoder. Det är svårt att föreställa sig samma lösliga relation till evidens inom andra områden som trafiksäkerhet eller medicin trots att dessa områden måste sägas ha likartade tekniska eller hantverksmässiga bakgrund som informationssäkerhet.

Min tes är ju informationssäkerheten inte tycks hålla måttet och följaktligen anser jag kan det finnas anledning att även inom detta område inta den förkättrade normkritiska positionen och ifrågasätta även de mest etablerade sanningarna. Att forskningen går från att anti-intellektuellt handla om ett slags hantverk till att ge frågorna den analytiska och intellektuellt utmanande behandling som de i sanning kräver. Att gå från ett förhållningssätt som är konserverande till att bli ett explorativt som ligger i linje med den snabba organisatoriska och tekniska utveckling som sker.  För detta krävs kreativa och odogmatiska forskare som banar väg, skapar ny kunskap och ger oss andra underlag för en förbättrad praktik.

För att ta emot den mer utmanande kunskapsproduktion som skulle bli resultatet krävs en profession som har samma förhållningssätt inom techne och fronesis samt plattformar att mötas på. Som jag skrev inledningsvis är en av de stora bristerna att den typen av plattformar saknas idag och att ingen nationell aktör känner sig manad att ta på sig ett sådant ansvar. I nästa inlägg ska jag skriva om professionen – kanske finns det i en stärkt professionalisering en möjlighet till ett mer professionellt kunskapsbygge?

Hunnen så långt i mitt funderande får jag tips om en artikel som visserligen är från 2008 men som bekräftar att några av de intryck jag beskrivit är problem kända sedan tidigare som exempelvis bristen på empiri och, som i citatet nedan, på teoribildning:

As can be seen, the use of theories in ISsec research is not equally common as it is in IS research. In total only 18.51% of the ISsec articles cited one or more theories. Hence, over 1000 ISsec articles contained no theory whatsoever. As noted, of the 18.51% ISsec papers, nearly 80% cited ‘mathematical’ theory, which leads to the position where the other 37 theories accounted for only 48 ISsec papers. Indeed, thirty of the theories identified were only cited once in the ISsec literature. This indicates that while in ISsec research theories may be cited, intellectual development fails to occur as other researchers do not adopt and explore such theories. Hence these figures generally indicate that IS security research is chronically underdeveloped in terms of theory. This is worrying as with science in general (Laudan, 1984), the use of proper theories are seen as a fundamental element of IS research (Walls et. al., 1992). To summarize, while theories are highly valued in IS, they are not necessary to publish in information security forums.

Det tycks alltså finnas fler som funderar över från vilken kunskapsgrund vi egentligen utgår.

Varför funkar det inte? Del 2

I detta inlägg ska jag inrikta mig på några mer generella frågor för området som också bör vara frågor som den som inte lever och andas informationssäkerhet borde ställa.

Vad är informationssäkerhet?

Ett ganska modest krav är att på ett hyfsat entydigt sätt kunna definiera vad informationssäkerhet är. Detta är dock svårare än vad det först kan förefalla. Inte ens om det är ett slags tillstånd eller en förmåga är klart. Jag ska här endast ta upp några av de frågor man kan ha anledning att ställa sig angående vad informationssäkerhet ska anses vara.

En definition som säkert kommer att användas av många är den som finns med i den terminologi som sammanställts inom SIS:

bevarande av konfidentialitet, riktighet och tillgänglighet hos information.

Denna definition har övertagits av MSB i den nya föreskriften MSBFS 2016:1 trots att myndigheten i andra sammanhang talar om ”förmåga” alternativt ”tillstånd” i andra sammanhang.

Jag ska inte detta sammanhang gå in på ISO 27000 och dess översättning i detta sammanhang utan här endast koncentrera mig på det sätt som terminologin definierar begreppet. I ordet ”bevara” finns en implicit föreställning om att en vald informationsmängd är en entitet som har initiala egenskaper som ska bibehållas i en kortare eller mindre hantering. Detta är ett ganska egenartat synsätt som sannolikt är hämtat från ett tidigare tekniskt utvecklingsskede, kanske en slags databastänkande, där man är upptagen av transaktioner inom ett enskilt system. Att ställa krav på informationens kvalitet före instoppandet i systemet eller vid sammanställning till nya informationsmängder ligger utanför definitionen. I värsta fall skulle informationssäkerhetsarbetet alltså leda till att felaktig information förblir felaktig eftersom då den ursprungliga riktigheten ”bevaras”. Beskrivningen indikerar också ett statiskt förhållande där informationen liksom inkapslad färdas i ett system. Detta stämmer inte heller särskilt väl med den informationsinfrastruktur som har växt fram där information hela tiden sammanställs, förändras och kommuniceras i nya strukturer. Informationssäkerheten borde då syfta till att förändras och skapa en tillräcklig nivå av skydd under informationshanteringsprocessen/erna. Personligen måste jag därför medge att ”bevarande” är en definition som inte känns relevant. ”Tillstånd” eller ”förmåga” är alternativ som skulle ge andra möjligheter men oavsett vilket begrepp som väljs borde det bygga på en mer

Trots att informationssäkerhetsområdet inte bygger på tung akademisk forskning på en ontologisk nivå, till exempel rörande vad informationssäkerhet skulle sägas vara, finns det vissa hangups där det hänvisats till akademin. Den sådan är begreppet ”spårbarhet” som av informationssäkerhetens purister inte anses ha samma autonoma värde som exempelvis riktighet och tillgänglighet. Purismen i denna fråga känns inte särskilt väl underbyggd. Mig veterligen inte finns någon begreppsmodellering genomförd över något av begreppen och inte heller är översättningen av den så kallade CIA-triaden (Confidentiality, integrity och availability) till konfidentialitet, riktighet och tillgänglighet klockren. Integrity skulle knappast översättas till ”riktighet” i något annat sammanhang, särskilt som riktighet i SIS terminologi anges som skydd mot oönskad förändring vilket återigen antyder ett synsätt som utgår från databashantering. Rent praktiskt är spårbarhet ett begrepp som är av stor betydelse i transaktionstäta verksamheter som bank, finans och sjukvård samt för att stödja integritetskrav. Spårbarhet är också mycket tydligt kopplat till konkreta åtgärder som loggning – ändå väljs det bort utan närmare förklaring. Detta är bara ett exempel på att själva grundelementen i beskrivningen av informationssäkerheten saknar verkligt definition vilket ger möjlighet till vitt skilda tolkningar och närmast trosläror om vad informationssäkerhet egentligen är.

Ett annat tolkningsproblem är skillnaden mellan informationssäkerhet å ena sidan och it-säkerhet å den andra. Att de som inte har informationssäkerhet har svårt att uppfatta skillnaden är inte så konstigt men att även de som arbetar med informationssäkerhet vacklar i distinktionen är ett tydligt tecken på osäkerheten i begreppet informationssäkerhet. För mig framstår det som att informationssäkerhet i i första hand är en organisatorisk stödfunktion som ska ge ledningen stöd i att styra sin verksamhets resurser så att de skyddar informationen på ett sätt som stöder verksamhetens mål. Detta uppfattar jag också som kärnan i ISO 27000 som ju är helt inriktad på att skapa ett ledningssystem som ska ge en organisatorisk förmåga till styrning av informationshanteringen. It-säkerhet är i detta perspektiv de tekniska åtgärder som ska vidtas för att svara på de krav som ledningssystemet ställer. Många verksamma inom informationssäkerhetsområdet tycks inte dela denna uppfattning utan ser informationssäkerhet som synonymt med it-säkerhet. Även denna basala fråga skulle behöva analyseras och få en mer allmänt accepterad förklaring.

Detta är bara några frågor där det enligt min uppfattning råder oklarhet och där utrymmet för analys och vidareutveckling är mycket stort. I nästa inlägg ska jag ge mig på målet för arbetet med informationssäkerhet.

Varför funkar det inte? Del 1

Jag höll häromveckan ett föredrag på Dataföreningen med ovanstående titel. Min tes, eller mitt påstående snarare, är att arbetet med att få en fungerande informationssäkerhet inte fungerar särskilt bra. Detta gäller både i den enskilda organisationen och på en nationell nivå. Kanske överraskade föredragets inriktning några av de ganska många åhörarna eftersom det mer handlade om ”våra” interna problem, alltså vi som arbetar professionellt med informationssäkerhet och inte de yttre förhållanden som vanligtvis diskuteras.

Detta är dock frågor som jag funderat ganska länge på och där jag under föredraget förde fram ett antal aspekter som jag menar påverkar den nuvarande situationen med en otillräcklig informationssäkerhet. I hopp om att fler i informationssäkerhetsbranschen ska känna sig motiverade att bidra med egna erfarenheter och reflektioner tänkte jag skriva några blogginlägg med utgångspunkt från det föredrag jag höll.

Låt oss vara överens om att det inte fungerar bra

Först kanske påståendet i titeln ändå måste utvecklas något. Visserligen är det svårt att säga vad ”fungerar bra” skulle kunna vara. Detta understryks genom att det i hög grad saknas forskning på området och andra typer av offentligt redovisade undersökningar. Det känns också otillräckligt att bara vidareförmedla utsagor från olika särintressen eller vad talskrivare lämnat till Anders Ygeman att framföra angående läget. I den trendrapport som sammanställdes av ett antal myndigheter 2015 bygger man sina spaningar på 103 angivna referenser. Problemet är bara att den absoluta huvuddelen av referenserna är inriktade på en extern hotbild, i bästa fall något om incidenter i it-system som går att hänföra vissa specifika antagonistiska hot, men ingen av referenserna förefaller ha ägnat sig åt störningar i verksamheter. Det vill säga störningar i informationshanteringen som påverkar verksamheten och som då lika gärna skulle kunna bero på hårdvarufel som vid Tieto-incidenten 2011 som på antagonistiska attacker. Detta har naturligtvis inte hindrat rapportförfattarna att dra slutsatser om trender men för den som verkligen är intresserad av hur informationssäkerheten fungerar är det alldeles otillräckligt.

Låt oss ändå vara överens om att det finns starka indikationer på att det händer ett stort antal incidenter och att realiserade incidenter är ett tecken på att vidtagna säkerhetsåtgärder inte skyddar verksamheten på ett rimligt sätt. En mer systematisk genomgång av incidenter som drabbat verksamheter och privatpersoner tror jag skulle visa att huvuddelen skulle gå att undvika med väl kända metoder som exempelvis bättre kontroll över uppdateringar i it-tjänster. En nackdel med incidentbegreppet är att det har en tendens att enbart fånga upp mer uppseendeväckande och kanske antagonistiska situationer. Störningar av mindre dramatisk karaktär men som kan påverka verksamheten sammantaget på ett mer negativt sätt får inte samma uppmärksamhet vilket kan leda till felprioriteringar i åtgärdsarbetet.

Ett annat sätt försöka bedöma om informationssäkerhetsarbetet är funktionellt är ett klassiskt compliance-perspektiv; att kontrollera om regler efterlevs. Inte heller här finns ett stort generellt underlag att luta sig emot. Inom offentlig sektor har  dock de senaste åren har ett antal rapporter visat att den systematiska informationssäkerheten i myndigheter, landsting och kommuner har stora brister, ja till och med att den vissa fall tycks bli sämre snarare än bättre.

Sammantaget är alltså inte bilden ljus. I och med att informationssäkerheten tycks fungera illa i de enskilda organisationerna kan den knappast fungera bättre på en aggregerad nationell nivå. Kanske måste ändå förhållandet att vi inte kan ge en uppfattning om hur bra eller dålig informationssäkerheten det tydligaste tecknet på att det inte fungerar bra.

 

Tre saker som inte är huvudproblemet

För att komma in på kärnfrågorna är det tre (bort)förklaringar till varför informationssäkerheten inte fungerar som jag skulle vilja utesluta:

För litet pengar

Eftersom det inte heller finns en sammantagen beskrivning av hur mycket pengar som satsas på att förbättra informationssäkerheten är det inte möjligt att säga att det är ekonomiska skäl som förhindrar utvecklandet av en bättre säkerhet. I Riksrevisionens senaste rapport om informationssäkerhet beskrivs också svårigheterna med att försöka bedöma kostnaderna.

Nationellt har det också investerats inte obetydliga medel i olika myndigheters stöd för informationssäkerhet. Eftersom inte effekten av dessa medel utvärderats mer än mycket översiktligt av Riksrevisionen är det svårt att säga att det skulle vara för litet eller för mycket.

Min poäng är denna: om det finns beskrivet vad som bör göras för att reducera olika risker för verksamheten är det svårt att uppskatta vilka medel som skulle behövas och ledningar på olika nivåer är, med all rätt, tveksamma till att tillföra ytterligare pengar. Bollen är därmed tillbaka som en skråfråga: om vi anser att det finns ekonomiska orsaker till att informationssäkerheten inte fungerar så måste vi bli mycket bättre på att beskriva vad pengarna skulle användas till och vad organisationen (eller nationen) skulle ha för nytta av det.

Att den generella it-utvecklingen går så mycket snabbare än informationssäkerhetsutvecklingen att gapet blir större och större

Det här är ju en verklighetsbeskrivning som ofta återkommer och som på något underförstått sätt antas utgöra ett skäl till att informationssäkerheten inte håller måttet. Men vad är egentligen kausaliteten i det här sammanhanget, om det nu finns en sådan? Om informationssäkerhet vore en aspekt som vunnit hög acceptans i samhället, i organisationerna, hos utvecklare av it-tjänster m.fl. så skulle ju frågeställningen vara integrerad som en naturlig del i utveckling av tjänster, produkter och infrastruktur. Istället ses informationssäkerhet som en kostnad och en motpol till effektivitet vilket gör att lösningar för att förbättra säkerheten, om de över huvud taget implementeras, inte är effektiva och ofta ligger som olja på vattnet, ofullständigt integrerade.

Som en jämförelse skulle det vara svårt att tänka sig att trafiksäkerheten skulle vara något som tilläts hamna i bakvattnet numera. Så kanske det var i ett tidigare skede men genom ett idogt forsknings- och opinionsarbete har säkerhet en mycket hög prioritet i trafikpolitiken.

Återigen faller alltså ansvaret tillbaka på oss själva och förmåga att sälja in informationssäkerheten.

Ledningen förstår inte

Det är få meningar som jag så ofta hört upprepas i professionella sammanhang som uttrycket: ”ledningen förstår inte”. Ofta blir detta den tröstande förklaringen till varför man inte når framgång med sina informationssäkerhetsprojekt och självklart ligger det mycket i det. Det går inte att smyga in informationssäkerheten i organisationen bakom ryggen på ledningen. Även här handlar det dock om att kunna presentera vikten av informationssäkerhet så ledningen ser poängen ur sitt perspektiv – att det gynnar organisationens möjlighet att uppfylla sitt uppdrag. Ser ledningen inte behovet av informationssäkerhet är det inte heller rationellt att införa exempelvis ett LIS.

Ledningens bristande förståelse kan därmed, menar jag, inte ses som en autonom förklaring till bristande informationssäkerhet utan som att ledningen inte fått tillräckligt bra argument för att organisationen ska bedriva ett systematiskt informationssäkerhetsarbete.

I de följande inläggen ska jag lyfta fram förhållanden som jag ser både som verkliga orsaker till bristande informationssäkerhet och som möjliga att påverka för oss som arbetar med informationssäkerhet.