Skammens rodnad på säkerhetskinden

Jag har alltid haft svårt för den oreflekterade gruppkänslan, när tillhörigheten till en grupp blir så viktig för ens (yrkes)identitet att det skuggar tankens klarhet. Tyvärr tycker jag att säkerhetsbranschen ofta drabbas en överdriven gruppkänsla som leder till ett grupptänk och inte minst av en oförståelse för hur det ser ut i ”verkligheten”. Att predika för kören, d.v.s. för andra säkerhetsmänniskor, är enklare än att öppet diskutera säkerhetsfrågor med människor som har andra och kanske viktigare prioriteringar än säkerhet.

Själv måste jag erkänna att jag grips av en skamkänsla över att erbjuda lösningar som tar så mycket tid från kärnverksamheten, dessutom med oklart resultat. Trots att säkerhetsbranschen av tradition är högerlutande, vilket i normala fall skulle leda till ett ifrågasättande av byråkrati, krångel, förmynderi och slöseri med skattemedel, så godtas orimligt insatskrävande säkerhetsåtgärder i just skattefinansierade verksamheter. Ganska hemmablint kan man tycka.

Låt mig bara ta några exempel. I Sverige finns runt 5000 grundskolor. Såsom praxis och stöd är utformade ska då informationsklassning genomföras om inte i samtliga grundskolor så åtminstone per förvaltning eller grundskoleområde, gärna med stöd av SKR:s KLASSA. Många kommuner väljer dessutom att ta in konsulter för att genomföra klassningarna med KLASSA för dyra pengar och utan att den så viktiga dialogen uppstår mellan verksamhet och informationssäkerhetsansvarig. Åtgärderna som levereras ur KLASSA är inte i de flesta fall konkreta utan snarare på en nivå som kräver en egen utredning för framtagning av åtgärder hos kommunen som använder verktyget. För mig känns det som en mycket dyrbar metod som ger ett resultat som i bästa fall är tveksamt. Som jag tidigare skrivit betraktar jag inte det som ett sätt att effektivisera säkerhetsarbetet och föreslår andra möjligheter.

Några andra som inte är så ängsliga för att ta säkerhetsresurser i anspråk är MSB. Myndigheten har nu tagit fram en egen mognadsmodell som såvitt jag kan se inte har något vetenskapligt stöd (däremot en närmast rörande metodbeskrivning med formel och allt). Det framgår inte heller varför man inte tydligare anslutit till ISO 27004 som visserligen nämns men lämnar få spår i utformningen. MSB har gått så långt att man skrivit in ISO 27001/27002 i sin föreskrift för statliga myndigheter så det skulle känts rätt logiskt att man då gått all in i standardfamiljen även då det gäller uppföljning.

Rapporten är ett svar på ett regeringsuppdrag:

MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen. Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltning regelbundet ska erbjudas att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå deras informationssäkerhetsarbete befinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå på informationssäkerhetsarbetet. Uppföljningsstrukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen.

Detta skulle kunna tolkas som något som liknar frivillig tillsyn eller revision men istället har MSB knåpat ihop något som enligt min bedömning (jag har ändå rätt många år i mätbranschen) kommer att ta avsevärd tid att hantera för de organisationer som väljer att delta utan egentlig nytta. Ja, visst får ledningen en överblick men även den som är mest besatt av mantrat ”ledningens genomgång” måste någon gång landa i att det är praktiska åtgärder som måste vidtas för att förbättra säkerheten – det räcker inte att rapportera aldrig så mycket. Jag vet hur betvingande det är med spindeldiagram, jag har stått inför otaliga ledningsgrupper och showat med gott resultat, men det som gav verklig nytta var något annat. Det var de insatser vi lade ner på att skriva detaljerade rekommendationer noggrant anpassade efter den specifika organisationens förutsättningar och risker. Efter att ha läst MSB:s rapport kan jag inte förstå hur denna typ av frågeställningar öht ska kunna besvaras och vad eventuella svar skulle kunna ha för kvalitet:

Hur räknar man ens procent på åtgärder? Är åtgärden att sätt lås på ett dokumentskåp lika mycket värd som att ändra backup-rutiner liksom? Måste åtgärderna att ha varit fullständigt genomförda för att räknas eller räcker det att de är påbörjade? Om det endast fullständigt genomförda åtgärder som ingår kommer då organisationen att prioritera kortsiktiga åtgärder och välja bort de som tar lång tid men som kanske har större betydelse för säkerheten? Att med så många grundläggande osäkerhet försöka tillämpa en formel som denna

 

ger mig ett intryck av ett helt verklighetsfrämmande projekt.

Ett tredje ack så resurskrävande villospår är de externa revisioner som många organisationer väljer att göra. Det är ett enkelt men kostsamt beslut att ta för ledningen. Och när man ser på leveranserna från inte minst större välrenommerade företag blir man ofta beklämd. Rapporterna, som inte sällan kommer i power point-format, är så uppenbart standardrekommendationer som av juniora konsulter klippts samman till något som inte är anpassat till kundens verksamhet och i vissa fall inte ens till svensk kontext. Hur svårtolkade (en eufemism) rapporterna kan vara tyder den absurda upplevelse som jag stött på när ett revisionsbolag anlitas för att uttolka ett annat revisionsbolags rapport och försöka göra om den till något som liknar förslag på begripliga åtgärder. Och nej, det blev inte så mycket begripligare i nästa led.

Trots den bristande kvaliteten i många revisionsrapporter får de orimligt stor betydelse i många organisationer. Ledningar tar dem på stort allvar och tycker sig ha fått ett underlag både för den så omtalade ”benchmarketingen” och för att att kunna vidta rätt säkerhetsåtgärder.  Det är inte så konstigt; ledningen tycker sig ha betalat dyrt för att få en professionell genomgång av ett område som man själv i de flesta fall är dåligt insatt i. Att ställa kritiska frågor är inte aktuellt, särskilt om det skulle kunna avslöja ens egen bristande kunskap.

Vid ett inte oväsentligt antal tillfällen har jag tyckt när jag läst rapporterna att de varit mer eller mindre vilseledande när det gäller vilka åtgärder som rekommenderas. Eftersom de som utfört revisionen på ett industriellt sätt inte haft möjlighet att sätta sig in i kundens förutsättningar kan fokuseringen på de prefabricerade åtgärderna leda till både dubbelarbete när vissa element faktiskt redan finns på plats men under annan benämning än revisionsbolagets och till att väsentliga risker missas. Dessutom är hänsyn sällan tagen till beroendeförhållandet mellan olika åtgärder, något som kan göra att kundens åtgärdsarbete blir alldeles i onödan ineffektivt. Ibland betonar revisorerna väldigt specifika åtgärder som den som arbetar med säkerhet i organisationen vet att man redan klarat av på annat sätt eller att avsaknaden av åtgärden innebär en mycket liten risk. Detta går dock inte fram till ledningen som sätter en större tillit till den ytliga granskningen än till den egna personalens bedömningar – onödig kraft läggs då på att checka av åtgärdsförslagen istället för på att reducera verkliga risker. Säkerhetsarbetet kan därmed snedvridas på avgörande sätt för lång tid fram över.

Detta är bara tre exempel, det finns många fler metoder och krav som kan ses som på det hela taget tämligen improduktiva. Det är naturligtvis inte en slump att compliance och rapportering är så populärt. Det är betydligt lättare att ”granska” än att skapa fungerande säkerhetsåtgärder – tro mig, jag har varit på båda sidorna. Ibland skulle jag vilja gå så långt som att det borde vara förbjudet föreslå metoder och åtgärder för den som inte själv stått i det praktiska slitet att försöka förbättra säkerheten i en faktiskt existerande organisation. Det är först då en djupare förståelse för hur komplicerat det är att förbättra den verkliga säkerheten, inte bara den som finns i kolumner och poängsättning.  Säkerhetsbranschen har anammat synsätten som leder till största nackdelen med NPM med oklara rambeskrivningar, mätningar och rapporteringar en masse. Trots att aktörerna i branschen som sagt ofta i andra sammanhang klagar på administration tycks man blind för den negativa byråkrati man själv skapar och som äter upp resurserna som skulle gjort så mycket större nytta i kärnverksamheten.

 

Fler styr och räknar – färre vårdar patienter

Informationssäkerhetskraven såsom de ser ut idag trängs med likartade strukturer för hållbarhet, miljö, jämställdhet, ekonomi m.m. som alla är viktiga men samtidigt tar kraft från det egentliga uppdraget. Det är tyvärr inte så stor risk att vi råkar ut för något ansvarsutkrävande men vi borde verkligen se oss i spegeln och ställa frågan om vi är närande eller tärande. Sannolikt mest det senare vilket borde sporra oss till att tänka på att varje timme vi tvingar alternativt uppmuntrar andra till att lägga på att svara på frågor och rapportera tas från en sjuksköterska eller lärare eller någon som producerar något vettigt.

 

Effektivisera informationssäkerhetsarbetet!

I mitt förra inlägg hävdade jag att arbetet med informationssäkerhet alltför ofta kännetecknas av byråkratiska aktiviteter utan reell säkerhetshöjande effekt men däremot med ett anspråkstagande av verksamheters resurser på ett orimligt sätt. Det är ju inte heller enbart kärnverksamhetens resurser som används på ett sätt som kan etiskt ifrågasättas. Att säkerhetsarbetet bedrivs utan hänsyn till hur effektiv användningen av resurser är samtidigt som den oavlåtliga klagovisan ljuder att säkerhetsarbetet får för litet resurser, ständigt för litet resurser, är paradoxalt. För den som arbetar med säkerhet borde det ha högsta prioritet att få fram arbetssätt som ger största möjliga utdelning av säkerhetshöjande effekter i förhållanden till insatta resurser. Tyvärr har jag sett mycket litet av den typen av analyser och jag kan t.o.m. tycka att säkerhetsområdet får rejält med pengar sammantaget utan det riktigt framgår vad som kommit ut av det.

Rubriken på blogginlägget är aningen ironisk eftersom det väl nu är allmänt känt att effektiviseringar sällan leder till bättre verksamhet. Jag tycker ändå att det är klädsamt om vi som jobbar informationssäkerhet, som är en stödfunktion, håller upp spegeln och ser vad vi kan göra när kärnverksamheten i många organisationer är hårt pressad av krav på besparingar. Att försöka göra saker bättre och mer kostnadseffektiva behöver inte heller vara till nackdel för metodutveckling, jag dristar mig att anse att det skulle vara en fördel om det fanns ROI-perspektiv på både planerade och genomförda säkerhetsåtgärder. Jag tror det skulle vara ett stort stöd för många informationssäkerhetsansvariga som nu ibland verkar beta av ett antal aktiviteter utan att kunna bedöma vad det egentligen leder till. Vissa aktiviteter kan vara stora och dyrbara men det handlar också om annat där kostnaden kanske inte är så stor men effekten ännu mindre. Att genomföra generiska e-utbildningar är enligt min erfarenhet tämligen bortkastat men den informationssäkerhetsansvarige som initierat dem kan bocka av en ruta. För mig betyder detta mekaniska tillvägagångssätt, förutom pengar och medarbetares tid i sjön, att organisationen invaggas i en vilseledande och farlig falsk trygghet.

Det tämligen obefintliga effektivitetspressen inom säkerhetsområdet, som är så kännbar i andra sektorer, tycker jag mig se leda till en lättja i tanke och i handling. Det är lätt att glömma bort men informationssäkerhet handlar i grunden om att ha kontroll över sin information. Har man inte det så har man inte en fungerande informationssäkerhet. Med detta i bakhuvudet så kan den seriösa informationssäkerhetsarbetaren inte leva efter bekvämlighetsprincipen och hela tiden göra det som känns enklast. Att enbart identifiera information som råkar finnas i system som man redan känner till är som, för att använda en mycket uttjatad bild, att leta efter den borttappade nyckeln under gatlyktan eftersom det är enklast. Tyvärr är det så jag uppfattar rätt mycket av de insatser som går under beteckningen ”informationsklassning” som inte leder till kontroll över den information som är viktig för verksamheten utan den som redan finns bekvämt paketerad i en behållare a.k.a ett ”system”. Ibland när jag får ”verktyg” för informationsklassning som är obegripligt efterfrågade presenterade för mig kan jag inte låta bli att fnissa till och tänka på min bekant som var kommunal it-chef på 1990-talet. Hen hävdade att det var en underbar tillvaro där hen sågs som en wizzard som på vilken fråga som helst (i princip) från verksamheten kunde hacka ihop ett it-verktyg för att lösa en uppgift. ”Stöd” sågs helt enkelt som synonymt med någon slags programvara. Tyvärr tycks denna uppfattning leva kvar bland många i informationssäkerhetsbranschen trots att det ofta är de icke-digitala delarna i en aktivitet som är svåra. I informationsklassning (se nedan) är den stora frågan exempelvis att göra rätt analyser, inte att hålla reda på genomförda klassningar. Innehåller verktygen dessutom generiska skyddsåtgärder uppstår en annan problematik: vem tar då egentligen ansvar för att det är korrekta skyddsåtgärder i förhållande till risken?

Efter denna salva känner jag mig förpliktigad att ge exempel på alternativ. Här kommer därför ett förslag på arbetssätt motsvarande informationssäkerhetens kinderägg. De tre fördelarna med mitt förslag är att man faktiskt arbetar med information – inte system, att man kan bygga upp en likvärdig säkerhet i likartade verksamheter och att kostnader i form av pengar och tid radikalt skulle kunna minskas samtidigt som får ökad kvalitet/säkerhet. Med avsikt har jag valt en mycket säkerhetskänslig funktion som även är mycket vanligt förekommande: processen för läkemedelshantering i äldreomsorgen.

För att ge en kort bakgrund så ombesörjs äldreomsorgen med de 290 kommunerna som huvudman. Kommunerna kan bedriva omsorgen själva eller anlita underleverantörer som privata vårdföretag. Oavsett vilket så är det kommunen som har ansvar som sjukvårdshuvudman och ska därmed säkerställa att omsorgen bedrivs på ett säkert och likvärdigt sätt oavsett utförare. En central del i omsorgen av äldre är läkemedelshanteringen. Äldre som inte får rätt läkemedel i rätt dos vid rätt tidpunkt löper en avsevärd hälsorisk, i värsta fall med döden som utgång. Omsorgen sker dygnet runt av ett antal medarbetare som vid varje givet tillfälle måste ha korrekt och spårbar information tillgänglig. Samtidigt berör uppgifterna om läkemedel omsorgstagarens hälsotillstånd vilket gör dem till känsliga personuppgifter som måste omges med ett mycket starkt skydd mot obehörig åtkomst. Utöver detta finns en särskild risk i läkemedelshanteringen, narkotiska preparat och även andra är mycket stöldbegärliga.  Även detta stärker det utpräglade behovet av spårbarhet där varje händelse kan följas och och kopplas till person som i en lång verifikationskedja.

En generisk processbeskrivning på övergripande nivå skulle kunna se ut så här.

 

Inga konstigheter i det men man kan gå ett fördjupande steg till utan att beskrivningen skulle tappa särskilt mycket i allmängiltighet med däremot fånga upp vilken information som hanteras, se detta utsnitt ur processen:

 

 

Processen startar med att en av regionens läkare gör en läkemedelsordination vilket dokumenteras i regionens vårdsystem samt i den nationella läkemedelslistan. Dessa moment ligger utanför processbeskrivningen ovan som startar med att information om ordination överförs till kommunen som en pappersutskrift vilket startar processen. Den intresserade kan notera följande:

  1. Merparten av informationsmängderna är även de att betrakta som tämligen generiska
  2. Merparten av informationen hanteras i pappersform, detta särskilt i kritiska aktiviteter i processen
  3. En stor del av informationen finns på flera bärare samtidigt
  4. I hela processen är spårbarheten är essentiell för patientsäkerheten

Detta är inte på något sätt unikt för den här processen utan gäller för många andra. Slutsatsen man kan dra är att om man seriöst ska arbeta med informationssäkerhet så räcker det sannerligen inte med att ”klassa” ett enskilt system utan måste få kontroll över hela informationshanteringen. Inte heller att enbart titta på digital information utan det är just helheten som måste fångas för att rätt åtgärder ska kunna vidtas. Även för dataskyddet är detta en självklarhet – man kan liksom inte bara skydda personuppgifter i digital form. I den ovan beskrivna processen finns t.o.m. bärare som apodos-påsar som måste omhändertas på ett korrekt sätt.

Det kan tyckas ansträngande att inte bara få ägna sig åt färdigpaketerad information prydligt avgränsad i system men här finns istället stora effektivitetsvinster att göra. Det går att klassa informationsmängden ”ordination” och så vidare så att det går att använda som en normerande klassning i samtliga kommuner oavsett vilka bärare man för tillfället råkar använda. Dagens rekommendation från myndigheter och SKR är  att 290 kommuner med vissa fall flera förvaltningar som bedriver äldreomsorg  ska klassa system i varje förvaltning. Dessutom måste samma manöver upprepas av de privata vårdgivare som anlitas av kommunerna.  Enligt Almegas beräkningar fanns 2019 14900 företag som ägnade sig åt vård och omsorg. Jag har inte riktigt tid att fördjupa mig i exakt hur många av dessa som bedriver äldreomsorg men för saken skull så utgår jag från att det åtminstone finns 500 privata äldreboenden. Sammantaget kanske det då behöver göras 850 klassningar av olika vårdgivare.  Låt oss höfta och säga att resursåtgången per klassning är minst 100 timmar inklusive förberedelser och dokumentation (detta är extremt lågt räknat med tanke på att det ofta är ett flertal deltagare på klassningarna) för att klassa ett system som stödjer en liten del av ordinationsprocessen. Lustigt nog kommer det också att bli samma system som klassas gång på gång med varierande resultat. Kontentan blir alltså bristande kontroll över informationen och bristande likvärdighet mellan olika äldreomsorgsverksamheter till en sammantagen resursåtgång av 85 000 timmar. Betänk också att detta bara är en av flera processer bara i äldreomsorgen.

Mitt förslag är att man istället slår ihop sina påsar, tar fram gemensamma normerande klassningar och skyddsnivåer. Skyddsnivåerna måste då tas fram i stor öppenhet där det redovisas hur man ser på olika risker och hur de föreslagna skyddsåtgärderna avses reducera dessa. Koppling till krav i föreskrifter med mera bör även finnas. Skyddsnivåerna måste även innefatta skydd av andra bärare än system och molntjänster, t.ex. fysiskt skydd av papper. En jätteuppgift är att hålla skyddsnivåerna uppdaterade så att de inte ger förlegade rekommendationer. Då ska vi komma ihåg att detta ändå skulle kräva en bråkdel av de resurser som skulle gå åt om varje vårdgivare skulle genomföra alla moment själv. Jag kan mycket väl tänka mig att man i många fall även kan ge förslag på arbetsrutiner.

Vad skull då detta kunna innebära i praktiken? Naturligtvis skulle ansvaret för säkerheten aldrig kunna delegeras men exempelvis en vårdgivare skulle kunna gå i ett bibliotek av olika verksamhetsprocesser, välja ut den aktuella och få fram en bild av generisk process samt en normerande klassning av typen nedan (fast ifylld):


Därefter jämför vårdgivaren med sin egen verksamhet hur väl det presenterade materialet stämmer överens. Gör det det i stora drag, kanske med litet annorlunda benämningar, så skulle vårdgivaren med detta stöd kunna ta sig ner till nivå att kunna köpa rätt skåp att förvara den enskilde vårdtagarens medicin i. Att krav på digitala lösningar ingår är naturligtvis självklart.

Som en bonus kan även krav på bevarande och gallring läggas in.

Det kan kännas som en överväldigande uppgift att ta itu med men minns då att den redan är överväldigande och idag tynger kärnverksamheten på ett orimligt sätt. Kan vi åtminstone ta fram normerande klassningar för generiska processer i samhällsviktig verksamhet skulle vi ge möjlighet att höja samhällssäkerheten högst väsentligt och dessutom kunna reducera resursåtgången. Eftersom myndigheterna med särskilt ansvar för informationssäkerhet förefaller skeptiska till den här typen av stöd finns det utrymme för andra aktörer att träda fram.

Tack Calle Lilius för bilderna!

Den byråkratiska informationssäkerheten

Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap. Under sommaren har jag en forskningsantologi kallad Statlig förvaltningspolitik för 2020-talet. Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor. Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.

Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga. Tyvärr är det mycket som känns obehagligt välbekant. Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar. Vi kanske ödmjukt borde inse att informationssäkerhet alltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet. En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter. Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder. Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.

Givna frågor borde vara:

  1. Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
  2. Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet? Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
  3. Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt? Och kommer den även att fungera över tid, t.ex. när konsulten lämnat skeppet?
  4. Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?

Varför fungerar då så mycket av informationssäkerhetsarbetet så dåligt trots de avsevärda resurser som läggs på det från olika håll? Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna. NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet. Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag. Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande. Det som regleras är vad som ska göras men inte hur. Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen. Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?

NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om hur olika säkerhetsåtgärder ska utföras. Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva. Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.

Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd. Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.

Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade. Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen. Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.

Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet. Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar. Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.

Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet. Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter. Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder. I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg. Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.

En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs. att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare. I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet. Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).

Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet. Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas  i de olika aktiviteterna i processen. Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd. I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid. Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig. Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare. Och, observera, den normerande klassningen är bara ett stöd. Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.

Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.

Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet??? Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används. Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp. Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.

En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta. Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd. (Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).

Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det. Det är inte i mängden dokument säkerheten sitter.

Skriften och minnet

Jag ska nu framföra den något inopportuna åsikten att det dokumenteras för litet i organisationerna. Inopportun eftersom vi fortfarande lever i en tid med oändlig övertro på fragmentiserade mätvärden, checklistor, matriser och inkodande, väl skildrat här. Huvudsak blir bisak och frågan är allt oftare för vems skull allt detta registrerande sker, kanske inte för patienten eller eleven utan för att försörja något multinationellt företags omätliga begär efter data?

Det är inte denna typ av dokumentation jag skriver om här utan snarare när matriser ersätter resonemang och utvecklade bedömningar. För att ta informationssäkerhetsområdet som ett exempel ser jag som regel snarare än undantag informationsklassningar och riskanalyser vars värde kan ifrågasättas, särskilt i det längre perspektivet. Det som återstår efter timmar av nedlagd arbetstid och noggrann analys är alltför ofta en matris eller ett excel-ark utan förklaringar. Deltagare eller roller som ingått framgår inte och inte heller hur resultatet ska hanteras. Men mest saknas på vilka grunder bedömningen gjorts. Att arbeta på det här sättet är som att skriva i vatten.

Skrivandet, när det sker på ett beständigt sätt, är i sig ett stöd för tanken. Medan man skriver formulerar man sina tankar, utvecklar och förtydligar, hittar svagheter, gör synteser och lägger grunden för kommunikation. Man skapar förutsättningar för en diskussion som vaskar fram de bästa praktiska lösningarna.

Både informationsklassningar och riskanalyser ska naturligtvis ske återkommande. En väl dokumenterad tidigare klassning eller riskanalys är ovärderligt stöd då proceduren ska upprepas. Istället för att börja från noll kan man gå igenom vilka faktorer som kvarstår eller ändrats, om man fått fördjupad kunskap som påverkar bedömningarna, om åtgärder vidtagits som påverkar risken eller om lagstiftning tillkommit för att ta några exempel. Utan bra dokumentation kommer inte ens de som deltagit i den förra övningen hur diskussionen gick, än mindre de som kommer till.

Att det organisatoriska minnet skapar effektivitet är en sak. Ytterligare en är att dokumentationens syfte inte enbart är att kommunicera utan det är också ett sätt att aggregera kunskap inte bara i enstaka situationer utan genom att skapa ett större kunskapsunderlag som kan återanvändas i nya situationer. Detta bör även ses som en del i organisationens generella riskarbete. Det skrivna ordet är vår kapsel för kunskap vilket även går att översätta till mänsklighetens utveckling.

Låt mig ta ett sista argument för bättre dokumentation och organisatoriskt minne, nämligen att det är verktyg för att skapa ett sammanhang för de som arbetar i organisationen. En fullödig dokumentation lägger fram de rationella skälen till gjorda bedömningar och motiverar i förlängningen säkerhetsåtgärder. Detta leder till en positiv säkerhetskultur kan växa fram där det är naturligt att samtala om säkerhet och där det är tillåtet att ifrågasätta säkerhetsbedömningar. Den som arbetar med säkerhet behöver inte känna sig pressad och defensiv när någon frågar varför ett visst tillvägagångssätt ska tillämpas eftersom det finns mer än siffra att bygga sin motiverande argumentation på.  KASAM, känslan av sammanhang, var ett begrepp som myntades av  sociologen Aaron Antonovsky på 1960-talet och innebär i korthet att om omvärlden ter sig begriplig, hanterbar och meningsfull så har du lättare att hantera svåra situationer. Jag menar att det organisatoriska minnet är en betydelsefull del i om vi upplever kasam eller inte på vår arbetsplats. Bättre rutiner för att ta fram och återanvända meningsfull dokumentation ökar vår förmåga att känna delaktighet och motverkar stress. Detta är inte på något sätt oväsentligt i dessa dagar då allt fler mår dåligt på jobbet.

Se alltså detta inlägg som en plädering för att skriva bättre och läsa mer. Den som känner sig osäker i sitt skrivande måste få öva, öva, öva och att skriva bra bör uppvärderas och ses som en omistlig kompetens för den som arbetar med informationssäkerhet.

SKR, myndigheter och sekretessen

Jag ska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se föregående inlägg.

För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening. Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen. SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.

Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna. Häromdagen fick jag detta exempel mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda:

En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

– Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen. Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med. Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen. Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.

Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna. Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara. En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?

Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet. I mitt förra inlägg framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas. Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras. När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan). Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex. gällande samhällsviktig verksamhet. Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.

Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar. Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden. För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.

Enligt mitt resonemang är det alltså  en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar. Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR. Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor:

Hej!

MSB har ett omfattande samarbete med SKR i olika frågor. Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv. I dessa frågor utbyts rimligen känslig information. SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag. Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.

Efter tämligen lång tid och en påstötning fick jag följande svar:

Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.

Genom en sökning i vårt diarium har vi hittat två avtal med SKR:

  • Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779)
  • Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap. 2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.

Du har rätt att begära ett skriftligt beslut som går att överklaga. Skriv till registrator@msb.se.

För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på avtalet angående krisberedskap. Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR. Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens beredskap medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga. Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .

Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya e-hälsostrategin (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv. Från denna myndighet fick jag bara ett kort nej på frågan.

Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess. Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.  Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena. Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör. Detta även då det gäller informationssäkerhet. Nyligen skickades ett mail ut från SKR:

Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.

Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.

Dessutom blir det en hel del ny funktionalitet, t.ex.:
– En ny modul för att mäta organisationens mognad,
– Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp,
– Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå,
– Stöd för CISO i det systematiska arbetet och
– Modul för riskanalys.

Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa. Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa. Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.

Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys! Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.

Det är dags för en mer omfattande diskussion om SKR:s roll. Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor. Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.

 

 

 

 

Spårbarhetens vara eller icke vara

Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.

Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet. Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas. Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen. Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.

För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.

Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre. Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga. Vare sig tillstånd eller förmåga kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis:

integrity

property of accuracy and completeness

Property kan översättas som egenskap.

Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse. I rapportens inledning står det:

Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas. Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.

Här definieras alltså konfidentialitet, riktighet och tillgänglighet som egenskaper men så även bland annat spårbarhet.

I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan. Närmast kommer man i beskrivningen av informationssäkerhetsmodell:

Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser. Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat. Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.

Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.) som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.

Riktighet definieras exempelvis som endast:

skydd mot oönskad förändring

vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en egenskap eller möjligen en funktion.

Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.

Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka. I artikeln Informations security anges som key concepts  som första punkt CIA- triaden med följande beskrivning

The CIA triad of confidentiality, integrity, and availability is at the heart of information security.(The members of the classic InfoSec triad—confidentiality, integrity and availability—are interchangeably referred to in the literature as security attributes, properties, security goals, fundamental aspects, information criteria, critical information characteristics and basic building blocks.)

Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.  Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden. Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.

Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå. Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.

Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är. Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro. Den s.k. Parkerian Hexad konstruerades redan 1998 av Donn B. Parker som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility. Även aktuella svenska exempel på kritisk diskussion om CIA triaden. Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin Informationssäkerhet och organisationskultur där ett bidrag (Vad är säker kultur av Björn Lundgren) starkt ifrågasätter CIA-triaden. Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan. ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.

Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering). I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara

  • Tillförlitlighet
  • Äkthet
  • Integritet (oförändrad)
  • Användbarhet

vilket är snubblande nära ISO 27000 men med andra definitioner. I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet. Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL. Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.

Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.

Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner. För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser. I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion. Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.  För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet:

  • avtalshantering
  • ansvarsutkrävande
  • interna kontrollsystem
  • upptäckt av avvikelser
  • teknisk övervakning
  • dataskydd
  • patientsäkerhet
  • medarbetares integritet
  • medarbetares rättssäkerhet
  • brottsutredning
  • forensik
  • fysiskt skydd

Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster. Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar. I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande. Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.

För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: Information Security Goals in a Swedish Hospital (tillgängligt via DIVA). Angående spårbarhet skriver man bland annat:

However ‘Traceability’ found in the hospital document has much broader meaning than accountability. ‘Traceability’ emphasizes the importance of tracing information, and not only trace the individuals that produce the information. This goal Page 16–9 contributes to business goals: ‘correct healthcare’ and ‘effective healthcare’ and in the end is related to organisations responsibilities to its stakeholders.

Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten. Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen. Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.

Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad. Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig. Autenticitet inte detsamma som riktighet, inte heller oavvislighet täcks av riktighet. Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan. I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.

Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd. Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information. Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer. För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet. Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser. En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var. När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet. En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.

För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att egenskap skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000. Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga. För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder. CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet. I detta sammanhang vill jag understryka att en portalprincip i ISO 27000 är att informationssäkerheten ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar. Om en uppfattning är att standarden inte kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet. Det finns ju liksom inget egenintresse i att följa en standard.

Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige. Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning. Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.

Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m. för föreskrifter. Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om här. 

Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får. Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.  Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död. I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få? Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag). Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar. För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna. Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet. Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.

Nu ser jag fram emot en mängd kloka motargument!

Är informationsklassning verkligen sååå viktigt?

Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m. ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”. Svaret är ja, det har jag och till och med skrivit på bloggen här .  Sedan dess har det skett en viss uppdatering men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget. Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).

De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa. Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga. Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten:

Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang. Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig.  Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna. Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas. Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail. I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.

Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera. Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m. med en statlig verksamhet oavsett omfattning.  Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling).  Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.

Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering. Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.

Det fragmentiserade synsättet går igen i de metoder som presenteras. Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten. Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer. I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet. Det är ungefär som att i vägtrafiken låta  varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna. Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag. När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.

I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning. Omättligt krävande som jag är vill jag nu lägga till två ytterligare.

För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.

För det andra ingå i en större helhet av systematiskt informationssäkerhetsarbete – att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande. Särskilt inte om skyddsnivåerna har stora brister. Informationsklassning är helt enkelt inte sååå viktig i sig.

Men inte ens då tror jag att detta är en särskilt bra väg att gå. Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod. Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar. Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning. Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå. Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet. En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet. Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas. Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.

Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional. Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler.  Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke. Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ett systematiskt informationssäkerhetsarbete bygger på en samverkande helhet av säkerhetsåtgärder.

 

Från BITS till utopi

Om jag ser tillbaka och försöker se var jag fått vägledning i min roll som informationssäkerhetsansvarig så är det första jag kommer att tänka på den Handbok i it-säkerhet i tre delar som Statskontoret gav ut 1997. Även om den angav att innehållet var it-säkerhet var det i realiteten informationssäkerhet den handlade om, det vill säga den organisatoriska styrningen med hjälp av ett antal aktiviteter. När jag tittar tillbaka i den är det inte så mycket som förändrats vilket väl får sägas vara en ganska dyster insikt. Trots att Statskontoret inte hade ett mer renodlat informationssäkerhetsuppdrag tog man även fram ett metodstöd och mallregelverk som skulle hjälpa myndigheter att införa ett ledningssystem för informationssäkerhet. Stödet kallades OffLIS och kom 2003 som en del i arbetet med ”24-timmarsmyndigheten”.

Krisberedskapsmyndigheten (KBM), inrättades efter vissa förvecklingar 2002 och var en av de myndigheter som 2009 slogs samman till dagens MSB. I KBM:s uppdrag fanns bland annat att ha det sammanhållande myndighetsansvaret för samhällets informationssäkerhet och att utforma en nationell handlingsplan för informationssäkerhet.  Som en del i detta uppdrag tog man fram metodstödet BITS (Basnivå för it-säkerhet) som var tänkt att fungera som en de facto-standard för offentlig sektor. BITS introducerades kraftfullt av KBM inte minst i kommunerna och bistod även med en slags konsultstöd samt olika typer av bidrag för att exempelvis höja den fysiska säkerheten och förbättra tillgången till reservkraft till kommunala datorhallar. OffLIS och BITS slogs ihop 2005 för att få en ökad enhetlighet.

Seklets första årtionde var rörligt när de gällde informationssäkerhet. Vid sidan om KBM:s uppdrag pågick informationssäkerhetsutredningen, Verva skrev föreskrifter om säkert informationsutbyte och Nämnden för elektronisk förvaltning tillsattes 2003 med uppgiften:

” att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av”

vilket ju låter välbekant.

Trots att frestelsen är stark ska jag inte gå längre in detta just nu utan bara konstatera att BITS var synnerligen populärt inte minst hos kommuner och efterfrågades långt efter att MSB valt att avveckla stödet. Ett antal kommuner hänvisar fortfarande i sina styrande dokument till BITS (det är bara att googla och kolla). Vad var det då som gjorde BITS så populärt? En vanlig uppfattning bland de kommunala företrädare jag diskuterat frågan med var att BITS gav dem enkla handfasta regler och en tydlig lägstanivå att förhålla sig till. Utifrån de resurser som står till buds i en liten eller medelstor kommun har detta setts med viss tacksamhet, särskilt då stödet åtföljdes med ett visst konsultativt och ekonomiskt bistånd.

Själv har jag varit skeptisk. Ett skäl var att BITS var så inriktat på it-säkerhet (även om man vid revideringen 2006 gjorde en strukturell anpassning till ISO 27000). Ett annat att en tillämpning av BITS leder till en basnivå medan det verkliga behovet i en kommun (liksom i andra organisationer) är att kunna ha olika nivåer av skydd beroende på informationens och verksamhetens karaktär. Framförallt har jag tyckt att man riskerar att missa den unika organisationens behov. BITS övergavs också av KBM och sedermera MSB.

Idag är utgångspunkten för de stöd som tas fram att varje organisation ska starta från noll och ta fram sitt eget ledningssystem med alla delar. Den enskilda organisationen erbjuds det som kallas metodstöd eller delmängder som stöd för att klassa system. Bara i offentlig sektor innebär det att över 400 myndigheter, 290 kommuner och 21 regioner själva ska ta fram och förvalta sina respektive ledningssystem, sina metoder för risk-och kontinuitetshantering och sina skyddsnivåer. Detta är en enorm arbetsinsats som dessutom kräver att varje myndighets/kommuns/landstings ledningssystem måste översättas vid samarbeten. Till detta kommer alla andra nödvändiga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, införande av ledningssystem….

Objektivt sett kommer detta inte att vara möjligt att genomföra eftersom det inte finns tillgänglig kompetens i en omfattning som ens är i närheten av vad som skulle behövas. Min uppfattning är att en dellösning på den annars omöjliga ekvationen med starkt ökande krav på systematiskt informationssäkerhetsarbete i kombination med en mycket påtaglig brist på tillgänglig kompetens är en ökad standardisering.

Jag har därför börjat ompröva min tidigare inställning. Som en följd av detta tror jag det dags att ta fram en ny inriktning där en omvärdering göras av de tankar som låg bakom BITS och även OffLIS kan ingå som ett första steg. Då menar jag inte att en revision av BITS eller en återstart på OffLIS. Snarare att seriöst analysera vilka delar av ett systematiskt informationssäkerhetsarbete som kan standardiseras i olika typer av organisationer.

Ett nytt koncept borde istället vara inriktat på systematisk informationssäkerhet. Jag ska här bara skissa upp några punkter där en standardisering skulle kunna ske och ge mycket stora samordningsvinster. För enkelhetens skull så kan vi ta kommunerna som exempel. Det är också lämpligt eftersom kommunerna har mycket komplexa säkerhetsbehov som är mycket svåra att hantera för den enskilda kommunen, inte minst för de små och medelstora kommunerna.

De svenska kommunerna har tio obligatoriska uppgifter, det vill säga uppgifter som de enligt lag ska utföra oavsett kommunens storlek och resurser. Dessa uppgifter genomförs på olika sätt i olika kommuner och i olika organisatoriska konstruktioner. Men processens olika aktiviteter är i stort sett de samma i flera av dessa obligatoriska uppgifter. Att söka plats på förskolan eller att administrera den politiska beslutsapparaten innehåller samma moment och i stort samma information om än med olika benämningar. För att underlätta för kommunerna skulle följande kunna göras nationellt:

  • Ta fram en grundmodell för informationsklassning inklusive skyddsnivåer. Observera att skyddsnivåerna är den stora tunga uppgiften som kommer att kräva långsiktig förvaltning men som kan användas även andra organisationer t.ex. som stöd för att efterleva NIS-direktivet.
  • Ta fram en certifieringsinstitution där leverantörer kan certifiera sina tjänster och system på olika skyddsnivåer.
  • Ta fram ett antal standardprocesser utifrån de obligatoriska uppdragen
  • Identifiera informationen i dessa processer.
  • Ge stöd för att kartlägga vilka bärare som används för att hantera informationen. Observera att det inte enbart gäller system och tjänster utan även andra bärare.
  • Ge förslag på en standardklassning av informationsmängderna.
  • Med detta som utgångspunkt kan ut skyddsnivåerna plockas fram krav både på den egna verksamheten, egen it och på externa leverantörer av tjänster.

Naturligtvis bör det framgå att organisationen måste göra egna riskbedömningar och att det enbart är förslag. Ändå skulle detta vara en mycket värdefull hjälp för kommunerna som också skulle kunna tillämpa grundmodellen för informationsklassning med skyddsnivåer för den unika information som kan utöver de standardiserade förslagen.

Låter mycket att ta fram nationellt tänker ni kanske. Betänk då att alternativet är att ta fram detta i 290 kommuner, i många fall utan tillräcklig kompetens och resurser, och då få fram inkompatibla lösningar. Sannolikheten för att flertalet kommuner inte klarar uppgiften och istället får skämmas i rapporter från MSB och Riksrevisionen är inte direkt låg. Jag menar därför att det är en mycket rimlig investering att skapa nationella lösningar där det faktiskt går.

Hur dessa lösningar ska tas fram och vem som ska ansvara för utveckling och förvaltning tål att diskuteras. Kanske är en stiftelse där även privata aktörer skulle kunna ingå ett alternativ?

E-arkiv och informationssäkerhet del 1

För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem. Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering. Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken. En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.

För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”. Trots att det både säljs och köps s.k. e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara. Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll. Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras. Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende. Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter. Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden. För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet. Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst. Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivt informationssäkerhetsarbete omge e-arkiven med riskanalyser och informationsklassning m.m. på minst samma nivå som för andra digitala lösningar.

I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar. För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring. Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten. Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna. Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.

Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor:

  1. Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1? Om ja skulle jag, om möjligt, vilja ta del av den.

  2. Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?

  3. Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv? Vilken tidshorisont har ni för nyttjandet av tjänsten?

  4. Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1? Om ja skulle jag, om möjligt, vilja ta del av den.

  5. Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?

  6. Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?

Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling:

62 kommuner (21 % av samtliga tillfrågade)

8 regioner/landsting (40 %)

86 myndigheter (24 %)

Några noteringar kan göras rörande de svarande. Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora. Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %). Av de myndigheter som ingår i eSam som är

 ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL. Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.”

och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten. Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.

Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst. Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar. Här var svarsfrekvensen extremt låg när jag ställde dessa frågor:

  1. Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?

  2. Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?

  3. Kan ni erbjuda tjänsten på olika skyddsnivåer? Är alla typer av information möjlig att hantera i dem?

  4. Vilka krav ställer ni på eventuella underleverantörer?

  5. Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?

  6. Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?

  7. Har ni en utpekad informationssäkerhetsansvarig i er organisation?

  8. Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?

  9. Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?

Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”. Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv. Min slutsats är att leverantörerna:

  1. Inte fått tydligt formulerade säkerhetskrav på sina tjänster

  2. Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.

Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.

I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.

Finns det en informationssäkerhetskultur?

Som jag litet surt påpekat några gånger är kunskapsgrunden för informationssäkerhetsarbetet påfallande svagt. Det är därför en händelse av stort intresse när en ny forskningsantologi inom informationssäkerhetsområdet publiceras som nu då Informationssäkerhet och organisationskultur presenteras. Än mer så när den är inriktad på organisation och inte enbart teknik som den övervägande del av de svenska forskningsinsatser varit.

Antologin bygger på resultatet från ett antal olika forskargrupper som finansierats av MSB i ett femårigt forskningsprogram relaterat till frågor om informationssäkerhetskultur. I programmet genomfördes en omfattande enkätundersökning som använts av flera av de ingående forskningsgrupperingarna.

Att det är ett konglomerat av olika discipliner som deltagit är både en styrka och en svaghet i antologin. Styrka eftersom det ger en i delar ny och intressant belysning av informationssäkerhet, svaghet då den röda tråden i antologin känns väl tunn och att det mer har handlar om paketering än en reell knytning till just säkerhetskultur. Att det inte är ett inarbetat forskningsområde visar sig också i att den litteratur som använts i förvånande hög grad är utgiven för tio år sedan eller mer.

Först två allmänna reflektioner efter genomläsning. För det första beskrivs informationssäkerhet påfallande ofta direkt och indirekt som en statisk entitet, d.v.s. på ett icke-relationellt sätt, som här t.ex:

Informationssäkerhetskultur kan vara bra såväl som dålig. Den är bra om den gynnar informationssäkerheten.

Jag menar att informationssäkerheten inte är ett värde i sig utan att det är organisationens intressen som ska gynnas av informationssäkerhetskulturen, d.v.s. att den goda informationssäkerhetskulturen stödjer organisationen i att identifiera sitt behov av olika informationssäkerhetsåtgärder.

Den andra reflektionen är den i mitt tycke en övertro på regelstyrning. I några av inläggen framstår det som att informationssäkerhetskulturens främsta och möjligen enda uppgift är att motivera medarbetarna att följa regler. Med erfarenhet från att vara informationssäkerhetsansvarig alternativt konsult i rätt många organisationer har jag upplevt att det stora behovet av säkerhetskultur är att den lägger grunden för en dialog om informationssäkerhet. Verksamheten måste vara involverad eftersom det är den som känner de egentliga behoven av säkerhet men behöver hjälp med att kanalisera dem och över huvud taget definiera dem som säkerhetsrelaterade. I detta är exempelvis verksamhetens förmåga och intresse av att uppmärksamma risker och kommunicera dem. Och när det gäller styrningen är det också aningen förvånande att ledarskap inte diskuteras – när organisationskultur i allmänhet brukar ses som i en nära samvariation med ledarskap. Här tänker jag inte enbart på det generella ledarskapet i en organisation. Minst lika viktigt är det ledarskap som de som arbetar med informationssäkerhet utövar både nationellt och i sina respektive organisationer. Min uppfattning, som saknar vetenskapligt belägg, är att detta ledarskap fortfarande är starkt präglat av en patriarkal kultur hämtad från en militär-polisiär tradition som är illasittande i de flesta moderna organisationer. Detta kommer ytterligare att förstärkas när Metoo-revolutionen, som inte bara handlar om sextrakasserier utan även manligt maktmissbruk bland annat på arbetsplatser, rullar vidare.

Några av inläggen läser jag med känsla av: var det inte mer? Det är inte sååå upphetsande med en slutsats som att tjänstemän som arbetar i regelföljande organisationsklimat anammar informationssäkerhetsregler bättre än tjänstemän i organisationer utan detta klimat. Eller att informationssäkerhetskulturen gynnas av att ledningen uttrycker att informationssäkerhet är en viktig fråga för organisationen (även om detta ändå touchar ledarskapsfrågan som jag tidigare skrev att jag saknade).

I andra fall blir jag uppriktigt förbryllad. Avsnittet om ”praktikanpassad informationssäkerhetspolicy” blandar alla nivåer av styrande dokument på ett sätt som jag som strukturfascist känner mig ytterst obekväm med. Bara att skriva informationssäkerhetspolycier i plural …  Ett annat exempel som leder grubbel är detta:

Historiskt sett baseras informationssäkerhetsarbetet på tre tekniskt orienterade principer: sekretess, riktighet och tillgänglighet.

Författarna vill komplettera dem med ”organisatoriskt orienterade och beteendebaserade principer som ansvar, rollintegritet, förtroende och etiskt handlande”. Jag gillar känslan av att få mattan undanryckt under fötterna, för mig har aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet varit definitioner av vad som ska uppnås i tillräcklig grad med både organisatoriska och tekniska åtgärder. Tyvärr kan jag inte säga att den nya vinklingen som författarna från Handelshögskolan i Örebro lanserar känns uppenbar ens vid en närmare genomläsning. ”CIA”-begreppen ifrågasätts även av filosofen Björn Lundgren som vill ersätta dem med den s.k. RIGHT-definitionen. Trots att jag har en del högskolepoäng i filosofi går mig delar av hans resonemang förbi, kanske för att jag fastnar på ett tidigt skede eftersom det förefaller som om hans utgångspunkt är att det finns ett läge där information är ”säker”. I min uppfattning strider detta mot det riskbaserade säkerhetsarbetet där det snarare handlar om att rikta in sig mot ett ständigt rörligt mål och få en acceptabel riskmiljö.

Andra inlägg är mer givande. Den etnologiska studien av den konfliktfyllda kultur som råder runt framtagandet av informationssäkerhetsstandarder bör leda till eftertanke men har också  vissa (ofrivilligt?) komiska inslag.

Flera av inläggen handlar om informationssäkerhet i hälso- och sjukvård och det är kanske här antologin är som mest intressant särskilt med den tydliga kopplingen till integritetsfrågor. När nu många nya aktörer börjat visa intresse för integritetsfrågor i samband med dataskyddsförordningen har det ett generellt intresse.  Jag ska därför göra en fördjupning rörande ett av antologins inlägg.

Integritet och hälso- och sjukvård

Jag har i olika sammanhang ifrågasatt säkerheten och hanteringen av personuppgifter i den nationella tjänsten Hälsa för mig och kan därför säkert uppfattas som jävig men vill ändå hävda att Peter Johanssons och Sofie Hellbergs bidrag som handlar om den tjänsten är det mest givande avsnittet i antologin. Detta inte enbart för att sjukvårdens informationssäkerhet och hantering av integritetsfrågor är så viktiga i sig utan också för att de frågeställningar de lyfter fram kan generaliseras.

Bidraget inleds med en effektiv genomgång av tidigare forskning om integritet samt om några möjliga synsätt. Själva förordar de ett s.k. kontextdrivet förhållningssätt i motsats att försöka skapa en allomfattande och evig definition av integritetsbegreppet:

Vi delar uppfattningen om att nyckeln till att förstå och hantera personlig integritet ligger det sammanhang där integritetsfrågorna uppstår. En fördel med detta förhållningssätt är att man redan i designfasen av nya tekniker och system kan inkludera skydd för den personliga integriteten eller sätt upp regler kring nya teknikers användningsområden. Utan ett sådant kontextdrivet förhållningssätt finns en risk att man vare sig kan identifiera eller hantera situationer där den personliga integriteten hotas.

Detta stämmer väl med privacy by design (som ju föreskrivs i dataskyddsförordningen) även om jag hellre skulle beskriva det som privacy by design i processer än i system.

Forskarna identifierar de två parallella trenderna där accelererande mängder information insamlas och bearbetas samtidigt som individen får en ökad tillgång till information om sig själv. Med denna bakgrund studerar forskarna den tidigare regeringens satsning på tjänsten Hälsa för mig.

Hur ansvaret för säkerhet och integritet ska fördelas i det informationshanteringslandskapet är inte uppenbart vilket caset med Hälsa för mig visar. Att trycka ner ansvaret till individen med krav på hen själv ska ”styra” sin integritet har varit en bekväm lösning som myndigheter och tjänsteleverantörer. Individens möjlighet att göra rimliga avvägningar är av flera skäl mycket begränsad av att hen inte kan överblicka användningen av informationen, konsekvenserna av detta och dessutom är i ojämn maktrelation med leverantören av tjänsten. En egen reflektion är att författarna i marginalen låter ett inslag i den kultur som formats runt e-hälsa skymta fram när man skriver:

Att personlig integritet är något som kan upplevas stå i vägen för e-hälsoutvecklingen har vi noterat vid olika e-hälsokonferenser. Där har vi lyssnat på olika talare som raljerat över ”integritetsivrare”, vilket vi uppfattar som mycket problematiskt då det appliceras svepande på bland annat läkare och patientföreningar som representerar särskilt sårbara patientgrupper.

Potentiellt negativa effekter för integriteten tonas dock ner.

Detta är en kultur jag känner igen sedan åtminstone början av nittiotalet. Som verksam inom informationshanteringen i vården blev jag vittne till ett tydligt perspektivskifte.  Från att tystnadsplikt och integritet hade varit kärnvärden i läkarkåren och vården i stort skedde en snabb relativisering (ja, jag vet att allt inte var idealiskt tidigare heller men pratar här om de uttalade etiska ståndpunkterna). Relativiseringen av integriteten blev ett förhållningssätt som funnits med i digitaliseringsprocessen av vården ända sedan dess begynnelse, där det har målats upp en motsatsställning mellan patientsäkerhet och integritet. Bakgrunden till detta är att det har funnits en motvilja hos sjukvårdshuvudmän, vårdgivare och systemleverantörer att göra den insats som krävs för att få en styrning av informationshanteringen och systemen/tjänsterna så att båda dessa värden kan uppnås samtidigt. Min uppfattning är att denna relativisering främst bottnade i att sjukvårdshuvudmännen m.fl. inte prioriterade att ta fram organisatoriska beskrivningar av hur ”vårdrelation” ska definieras, d.v.s. vilka medarbetare som verkligen har anledning att ta del av den enskilda patientens vårdinformationen. Detta kompletterat med att systemleverantörerna inte klarade av att leverera digitala lösningar med en för ändamålet avpassad behörighetshantering gjorde att den personliga integriteten framställdes som ett hinder för verksamheten och ett hot för patienten. Ett tydligt tecken var den ständigt återkommande bilden på konferenser och andra sammanhang där det beskrevs hur en medvetslös patient kommer in på akuten och personalen p.g.a. att patienten kan ge samtycke inte kommer åt information som överkänslighet eller annan medicinsk bakgrund med följd av att patienten avlider. Att flertalet patienter inte är medvetslösa, inte på akuten och att behörighetsstyrningen kan ske situationsanpassat försvann i detta scenario som gjorde det överväldigande tydligt för många att integritet är av ondo. En rådande doktrin var också att behörighetsstyrning var onödigt och att loggning var lösningen på kontroll av åtkomst. Att loggning i detta syfte skulle kräva att det är mycket tydligt vem som har åtkomsträtt, d.v.s. i princip samma förutsättning som för den behörighetshantering som man sa sig inte kunna åstadkomma, förträngdes. Effekten blev usel informationssäkerhet samt att etiken och i förlängningen lagstiftning anpassades efter organisatoriska och tekniska brister. Detta vore ytterst intressant att läsa om i en forskningsstudie.

Den inneboende paradoxen med självstyrd integritet samtidigt som individen inte har det egentliga valet eller möjligheten att styra begränsningen av användningen av personuppgifter är inte unik för Hälsa för mig. Den möjlighet att spärra uppgifter som patienten fick i patientdatalagen (PDL) 2008 har i praktiken inte realiserats utan på många sätt motarbetats av vårdgivare. Bidraget om Hälsa för mig och den bristande integritetsanalysen i det projektet illustrerar en historisk utveckling formad genom tekniska ofullkomligheter men därefter stödd av en säkerhetskultur som legitimerar den bristande säkerheten, ja rent av gör den till en dygd. Den bristande analysen i fråga om integritet i Hälsa för mig har lett till att Datainspektionen listat ett antal förelägganden som måste åtgärdas innan tjänsten kan tas i bruk. E-hälsomyndigheten har överklagat detta till förvaltningsrätten men i dagsläget verkar det oklart om tjänsten kommer att kunna tas i bruk.

För mig är detta antologins absolut viktigaste bidrag när det gäller att vissa betydelsen av en positiv respektive negativ informationssäkerhetskultur. Dessutom att den kulturella påverkan på intet sätt är begränsad till en enskild organisation utan kan omfatta en hel sektor. Här finns verkligen möjlighet till vidare forskning. I dessa dataskyddsförordningstider är det också av stor betydelse att visa att integritet inte handlar om teknikaliteter utan om kultur och värderingar.

 

Sammantaget illustrerar antologin ett spretigt kunskapsområde med oklar teori och en ganska lång väg kvar att gå. Svaret på frågan i rubriken tycker jag mig kunna se som: ja, det finns både positiv och negativ informationssäkerhetskultur och vi måste förstå mer för att kunna stärka den positiva kulturen.