Sluta obfuskera och gå vidare

Att lyckas med sitt informationssäkerhetsarbete handlar i hög grad om att kommunicera. Att kommunicera handlar i sin tur i hög grad om att skapa förståelse och samsyn. Detta är nödvändigt för att få människor och organisationer att agera. Banala sanningar kan tyckas men tyvärr är dålig kommunikation en ständig ledsagare för de som arbetar med informationssäkerhet. Ibland känns det som folk i branschen oavsiktligt använder obfuscation som sin normala kommunikationsform, här i Wikipedias definition:

Obfuscation is the obscuring of the intended meaning of communication by making the message difficult to understand, usually with confusing and ambiguous language. The obfuscation might be either unintentional or intentional (although intent usually is connoted), and is accomplished with circumlocution (talking around the subject), the use of jargon (technical language of a profession), and the use of an argot (ingroup language) of limited communicative value to outsiders.

Själva begreppet informationssäkerhet saknar en tydlig och accepterad uttolkning. Detta leder till problem både för dem som anser sig arbeta med ”informationssäkerhet” och för dem som avser att anställa eller anlita vad de tror är en definierad kompetens. Det blir inte enklare då man slänger in nya spännande beteckningar som ”cybersäkerhet”.

Jag tror att det finns en olycklig tendens att de som arbetar med informationssäkerhet (i någon form) är mer intresserade av att bekräfta varandra i gruppen än att skapa en relation med omvärlden, d.v.s. en relation byggd på ömsesidig förståelse. Därav obfuscation.

Ta exemplet med titeln ”CISO” som fått en snabb spridning i svenska myndigheter inklusive regioner och kommuner. Uttytt står CISO för chief information security officer vilket låter flott men titeln leder enligt min mening till mer oförståelse och förvirring än klarhet. När  informationssäkerhet  i sig ännu inte är ett hushållsbegrepp så min fråga är varför man i Söpple kommun väljer att höja svårighetsnivån ytterligare och införa en titel som är helt ogenomtränglig för alla utanför skrået.Vad man chiefar över är även det höljt i dunkel.

Särskilt märkligt blir detta titulerande sett i ljuset av den svenska språklagen som uttryckligen skriver:

Språkanvändningen i offentlig verksamhet

10 §   Språket i domstolar, förvaltningsmyndigheter och andra organ som fullgör uppgifter i offentlig verksamhet är svenska.

I annan lag finns särskilda bestämmelser om rätt att använda nationella minoritetsspråk och annat nordiskt språk.

När det gäller skyldigheten för domstolar och förvaltningsmyndigheter att anlita tolk och att översätta handlingar finns det särskilda bestämmelser.

11 §   Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.

12 §   Myndigheter har ett särskilt ansvar för att svensk terminologi inom deras olika fackområden finns tillgänglig, används och utvecklas.

Detta har alltså svenska myndigheter att följa vilket jag finner som ett rimligt krav. Jag har funderat över varför så många väljer att bryta mot detta när det gäller CISO-begreppet, vad vill man uppnå på bekostnad av att varken den egna organisationen eller de invånare man är satt att tjäna begriper vad man sysslar med? CISO är ju inte heller på något sätt en skyddad yrkestitel eller resultatet av en specifik utbildning utan kan stå för litet vad som helst. Jag är den första att förespråka en klassisk professionalisering av vår yrkesgrupp, vilket jag skrivit om bland annat här, men då är det helt andra och mer seriösa åtgärder som krävs än en flashig titel. Vi borde vilja nå ut, inte spinna in oss i en allt tätare skråkokong.

Återigen; CISO-begreppet är bara ett exempel men jag tycker det är signifikativt för en attityd som jag menar är till nackdel både för professionen och för uppdragsgivare. En episod som ofta återkommer i mitt minne är när en medarbetare för ett antal år sedan argumenterade för sin linje (som inte var min) med fritt citerat:” well, det är så vi i communitiet ser det.”. Tyvärr fann jag mig inte tillräckligt snabbt för att fråga exakt vad ”communitiet” egentligen var och vilka som ingick i det men jag misstänker att det var någon slags informell och självutnämnd kommitté av människor som såg sig som ägare av informationssäkerhetsfrågan i Sverige. Eftersom jag själv alltid skytt den här typen av gemenskaper är jag partisk. Ändå vill jag säga jag uppfattar den här kårandan som ett problem som gestaltas bland annat genom lanserandet av CISO-titeln.  Istället för att rikta blicken på den egentliga målgruppen, det vill säga de som inte arbetar med informationssäkerhet, spelar vi för vårt eget galleri. Den skapar också osunda lojalitetsband eftersom det saknas objektiva och accepterade krav på den som ska ses som en kompetent yrkesutövare.

Låt oss skingra dimman och inrikta oss på att nå ut till de som vi egentligen ska tjäna och skapa förutsättningarna för en seriös utveckling mot en profession. Detta kan också en etablerad titel med ett tydligt kompetenskrav som på sikt till och med skulle kunna bli en skyddad.

När krisen kommer

Kriser har den fördelen att de oftast tar slut. Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden. Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst. Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i totalen skapar större ohälsa och död än själva viruset.

Däremot når nu MSB:s insatser en sådan nivå att de t.o.m. får vara med i satirinslaget Public Service i P1, en ynnest som är få myndigheter förunnad. Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra inlägg och som nu även tagits upp i Ekot.

MSB har hintat om lanseringen av appen med en  näraliggande men okänd startpunkt. Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast  undflyende svar. Jag kan förstå det. Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst. Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen. Det är ju liksom ingen slump att eSam gjort ett uttalande om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.

Vid sidan om själva enkätappen är MSB:s kommunikation om den lika märklig. Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen. MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation. Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist. En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier. Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid. Detta leder inte till en större tillit i krisen.

Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade. Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex. gällande riskbedömningar. Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas. I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.  Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m. Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.

Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund. Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan. För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas. MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna. Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår. Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande. Har MSB lyckats knäcka den nöten så är det stora nyheter för både offentliga och privata organisationer. Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt)  och då vore det ju  bra om MSB gick ut och beskrev hur det egentligen ser ut.

Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster. Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhällets informationssäkerhetsarbete slarvar med säkerheten. Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför. MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.

MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ. Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser. När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press. Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke. Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.

Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet. Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer. Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet. Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.

Nej, det är inte alltid bäst att göra ”något”

Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det. Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut. I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad. Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.

Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin. Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen. Likaså är historien rik på exempel där boten varit värre än soten, d.v.s. att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka. En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar. Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.

Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig. De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem. Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.

När vi blir utsatta för en  pressande situation får många individer och organisationer ett starkt behov av att agera. Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna. Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget). Samma sak med integritet och skyddet av personuppgifter. De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.

Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem. Okritiska reportage om hur kreativa elever fått skolor att börja använda Discord (!) i skolans uppgifter. Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning. Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”. Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar. När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion mot spårbarhet som säkerhetsdimension). Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna? Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.

När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet. Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten. En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.

Det är just i krissituationer som det systematiska informationssäkerhetsarbetet prövas. Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare. Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.  Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras. Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan. Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten. Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen. Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.

 

 

Distansarbete och informationssäkerhet under coronapandemin

Jag blev ombedd att vara med som expert i en chattpanel rörande den nu så aktuella frågan distansarbete. Det blir ju litet fragmentariskt när man svarar på inkomna frågor så jag tänkte ta tillfället i akt och sammanställa några rekommendationer rörande distansarbete. Den organisation som tagit fram (samt övat) en fungerande kontinuitetshantering och dessutom tagit fram regler för distansarbete i normalläget har naturligtvis ett stort försprång nu. För de som inte fokuserat på detta är det en längre väg att gå men då gäller det att man är på rätt väg innan man börjar gå. Utgångspunkten för nedanstående rekommendationer är att det är verksamhetens processer som ska upprätthållas. För processerna är informationen en central resurs. Informationen och organisation i centrum alltså medan it-säkerheten blir den följd av de krav som verksamheten ställer. Jag tar inte upp ergonomi eller vikten av gemensamma kaffestunder. Målbilden är att kunna arbeta lika säkert på distans som på den ordinarie arbetsplatsen.

  1. Skapa en insikt om att i nuvarande läge kommer inte all verksamhet att kunna upprätthållas utan en prioritering måste ske. Har man kontinuitetsplanerat kan man använda den prioritering av processer som redan gjorts (även om det kan behövas en liten analys för att se om tidigare prioritering fortfarande är relevant. Om kontinuitetshanteringen inte finns på plats måste ledningen göra en prioriteringen av vilka processer/funktioner som måste fungera.
  2. När prioriteringen bör en snabb processkartläggning göras för att identifiera vilken information som stödjer processen samt hur informationen hanteras, d.v.s. vilka system, tjänster eller andra bärare som telefoni och papper som används. Därefter görs en informationsklassning/riskanalys för att fastställa säkerhetskrav. Även detta bör ske enligt prioriteringen så att de mest tidskritiska processerna/funktionerna tas först.
  3. It får i uppgift att gå igenom hur befintliga lösningar kan användas för distansarbete utifrån  klassningen/riskanalyserna och kontrollera it-säkerheten i dessa lösningar. I detta ligger även att bedöma om åtkomst och kommunikation vid distansarbete kan ske på ett tillräckligt säkert sätt. Om it-säkerheten bedöms som för låg i befintliga lösningar föreslås alternativa lösningar där så behövs. Om det finns en stor kvarstående risk måste ledningen få möjlighet att acceptera risken alternativt säga att den är oacceptabel vilket kan leda till att nya lösningar arbetas fram eller så bedömningen att distansarbete är olämpligt för den aktuella aktiviteten.
  4. Börja planera och bemanna en supportfunktion som är avpassas till hur många som förväntas distansarbeta och se till att supporten finns när medarbetaren behöver hjälp. Att inte få support i en ny arbetssituation leder ofelbart till att många kommer att göra fel, gena, hoppa över säkerhetsåtgärder. Bristande support är därför ett garanterat säkerhetsproblem.
  5. Kommunicera redan från början och slarva inte med sådana frågor som att det är ledningen som tar ansvar för helheten och de åtgärder som ska vidtas. I kommunikationen bör även ingå signaler som kan leda till en positiv säkerhetskultur som att det är viktigt att medarbetare är observanta på att det kan uppstå nya risker och att det finns en tydlig punkt att rapportera detta till. Det vill säga visa respekt för medarbetarna och se dem som en resurs i säkerhetsarbetet!
  6. Ta fram über-tydliga instruktioner till medarbetarna där det bland annat framgår:
    – att samma säkerhetsregler ska användas hemma som jobbet, exempelvis att alltid låsa datorn när den är obevakad
    – hur pappersdokument ska hanteras
    – vilken typ av information som kan ses som extra känslig, exempelvis känsliga personuppgifter och känslig företagsinformation
    – att arbetsgivarens utrustning bara får användas för arbetsändamål
    – att privat utrustning inte får användas för att hantera arbetsgivarens information
    – att telefonsamtal bör ske på ett skyddat sätt
    – vilka verktyg som ska användas
    – hur de ska användas
    – att verktyg som inte godkänts av arbetsgivaren inte får användas (dubbel negation, jag vet)
    – vem som ska kontaktas för support
    – vem som ska kontaktas för säkerhetsrelaterade frågor
    – hur incidenter ska rapporteras
  7. När man kan räkna med att distansarbetet blir långvarigt bör även den fysiska säkerheten gås igenom. Det kan handla om att skaffa skåp med tillräcklig säkerhetsnivå för vissa medarbetare eller att se över det yttre skalskyddet i vissa bostäder där känslig information ska hanteras.
  8. Skapa rutiner för uppföljning där ni minst en gång i veckan går igenom hur säkerheten vid distansarbetet fungerar, om vidtagna åtgärder fallit ut som ni hoppats eller om det finns anledning att förbättra skyddsåtgärder, om ni upplever att medarbetare fått tillräckligt bra information och om det inträffat incidenter. Uppföljningen bör rapporteras till ledningen.
  9. Planera för uthållighet. De säkerhetsåtgärder som vidtas i samband med distansarbete måste planeras för längre tid och det kan vara bättre att ha en mer långsam uppbyggnad för att få en långsiktigt väl fungerande lösning än att göra quick fixes som snabbt måste ersättas till allmän irritation och med medföljande säkerhetsrisker. En fråga som tål att ställas är om verksamheten verkligen är så tidskritisk som man tror särskilt i rådande läge då ingenting riktigt fungerar som vanligt. Att slippa stressa fram lösningar leder alltid till bättre kvalitet och oftast bättre ekonomi.
  10. Försök att använda det påtvingade säkerhetsarbetet som måste göras till följd av pandemin som en resurs för framtiden. Skapa säkerhetslösningar och en säkerhetskultur som förbättrar säkerheten även i det normalläge som vi förhoppningsvis snart ska återgå till.

Varför funkar det inte? Del 8

Jag har tidigare skrivit om att jag ser kommunikation som det centrala verktyget i informationssäkerhetsarbetet och kanske det tydligast inte funkar. Det här inlägger kommer att ytligt behandla om några aspekter av det vittomfattande ämnet, nämligen förutsättningar och förförståelse, innehåll och form.

Att kommunikationen internt inom informationssäkerhetsområdet har jag redan försökt beskriva i ett tidigare inlägg. Det saknas arenor och samtalsformer för att utveckla kunskap och samsyn. Det språkbruk och de metaforer som uppstår i denna dysfunktionella kultur gör även att vår kommunikation inte fungerar i samspelet med de vi vill engagera. Ofta framstår både vi själva och det vi säger uppfattas som ovidkommande, auktoritärt, svårbegripligt och alarmistiskt (källa: de många verksamhetsföreträdare jag samverkat med under ett par decennier).

Själv uppfattar jag kommunikationen i informationssäkerhetsfrågor ibland som direkt vilseledande för civila organisationer. Ett exempel är den nednötta metaforen om att skydda sina guldägg. Den underförstådda tanken är att alla organisationer har avgränsade informationsmängder eller hård/mjukvara som ska skyddas mot främst obehörig åtkomst (?) framför alla andra. Detta menar jag är en feltolkning av hur dagens informations- och it-infrastrukturer fungerar där det snarare handlar om komplexa samband där olika men i många fall lika viktiga krav ställs på olika delar för att helheten ska fungera. För att ta ett exempel från verkligheten så är det i en kommunal verksamhet meningslöst att försöka peka ut vad som skulle vara ”guldägg”. I den kommunala äldreomsorgen bör det ställas mycket höga krav på tillgänglighet i trygghetslarmen, lika höga krav på riktighet och spårbarhet i journaldokumentationen och mycket höga krav på konfidentialitet i alla delar. För den ekonomiska redovisningen kommer peakar i tillgänglighetskraven vid vissa perioder under bokföringsåret. Jag kan fortsätta uppräkningen med att peka på PuL, algoritmer, webbplatser m.m., m.m. men det enda jag vill komma fram till är att jakten på ”guldägg” leder tanken och därmed kommunikationen helt fel. Andra vanliga påståenden på konferenser och i marknadsföring är att medarbetarna skulle vara det största problemet. I beg to differ. Detta påstående saknar belägg och den organisation som skulle se medarbetarna som den största risken tror jag får anledning att snabbt göra en förnyad riskanalys.

guldagg2

Den som tycker att ovanstående kan ses som bagateller behöver sannolikt mer övergripande argumentation om den problematiska kommunikationen. Låt oss se ett grundscenario som både gäller i den enskilda organisationen och på ett nationellt plan. Å ena sidan finns informationssäkerhetsexperterna som ser generella risker och som har organisatoriska och tekniska metoder för att reducera dessa risker (i alla fall hypotetiskt). Å andra sidan finns det organisationer för vilka informationen är en resurs för verksamhetens olika processer. Det är de senare som har den faktiska möjligheten och resurserna att genomföra informationssäkerhetsåtgärder. För att uppnå fungerande informationssäkerhet krävs insatser från båda parter. Enda sättet att skapa en sådan gynnsam situation är god kommunikation, den goda kommunikation som jag menar ofta saknas. Resultatet blir alltför ofta att verksamhet och informationssäkerhet samexisterar som olja och vatten. Trots att det är verksamheten som har behov av informationssäkerhet för att kunna leverera talar informationssäkerhetsspecialisten för döva öron. Ett aktuellt exempel på hur det kan gå är när eHälsomyndigheten, som objektivt sett är en av de svenska organisationer som har mest behov av god informationssäkerhet, levererar två regeringsuppdrag om framtiden och överhuvudtaget inte analyserar behovet av just informationssäkerhet . Jag kommer återkomma till detta i ett senare inlägg.

Sammantaget är min erfarenhet som statlig tjänsteman som försökt förbättra informationssäkerheten inom e-förvaltning och e-hälsa att försöket mötts med en ganska avsevärd brist på förståelse från båda lägren. De som arbetar med informationssäkerhet nationellt har haft begränsat intresse av och insikt om behovet av informationssäkerhet i verksamheter som är utpräglat civila. De som arbetar med digitalisering i förvaltning och sjukvård har med två undantag sagt typ: ”jaja, det är säkert viktigt med säkerhet men det tar vi sedan när vi realiserat våra lösningar – säkerhet innebär ju bara en massa krångel som kan leda till att vi inte kan genomföra det vi vill.” Förutsättningen för kommunikationen är alltså en ömsesidig misstro som måste överbryggas.

Behovet av informationssäkerhet finns främst hos organisationerna själva även om det på aggregerad nivå naturligtvis i hög grad är ett samhällsintresse. Ansvaret för kommunikationen ligger dock på informationssäkerhetsspecialisterna eftersom organisationerna inte är medvetna om sitt behov. Här uppstår dock ett avgörande problem eftersom kommunikationen om informationssäkerheten som skapas i denna situation i de flesta fall är utbudsstyrd istället för behovsstyrd. Det är informationssäkerhetsspecialisterna som försöker sälja in sitt utbud av standardiserade synsätt och metoder till en verksamhet som har ett behov, ett behov som tyvärr formuleras på verksamhetens egna premisser. Detta gäller även det nationella planet där det är myndigheterna med ett utbud som fått styra strategier och handlingsplaner, inte de civila verksamheterna med behov. Och som alltid vid utbudsstyrning är det svårt att sätta nivån och inriktningen eftersom behovet inte är definierat – utmärkt situation för ett kommersiellt företag men knappast då man försöker styra med begränsade resurser.

Kommunikationen är en produkt av områdets kultur. Den blir därför alltför ofta inriktad på envägskommunikation, förutsätter att de man riktar sig till är okunniga (”hur ska vi få dem att förstå”) samt på lösningar som är helt omöjliga i praktiken (som att använda signalskyddslösningar i sjukvården). Den känslomässiga argumentationen kring attacker och antagonistiska hot lämnar mottagaren i ett rationellt limbo, kvar blir rädda människor underkastade olika auktoriteter. Den auktoritära kommunikationsformen är naturligtvis också ett resultat av vår bristande kunskap inom informationssäkerhetsområdet (se tidigare inlägg), om man är osäker ger man sig ogärna in i dialog och diskussion.  Inte så få av de ”kommunikationsplaner” jag sett har enbart innehållit aktiviteter där avsändaren förmedlat budskap men inga aktiviteter av inlyssnande.

Hur ska vi då förbättra vår kommunikation så att organisationerna drivs av en inre motivation och på så sätt får ett ständigt förbättrat informationssäkerhetsarbete? Jag tror det viktigaste förhållningssättet är att bestämma sig för en rollfördelning där informationssäkerhetsspecialisten (både i en enskild organisation och i form av myndigheter på nationell nivå) är en stödfunktion. Ytterst få organisationer har informationssäkerhet som sin kärnverksamhet. Informationssäkerheten tjänar istället syftet att organisationen ska kunna upprätthålla sitt uppdrag och sin leverans med tillräcklig kvalitet och utan störningar (i detta ligger naturligtvis även att kunna uppfylla externa krav). För att kunna ge stöd måste informationssäkerhetsspecialisten förstå verksamheten, den unika informationshanteringen och de unika behoven.  Helt enkelt förstå att en pågående dialog, ett ömsesidigt utbyte är nödvändigt i lika hög grad för den som ska stödja som den blir stödd.

Varför funkar det inte? Del 7

Under senare år har frågan om säkerhetskultur blivit alltmer aktuell. Att få medarbetare i en organisation att vara medvetna och motiverade i säkerhetsfrågor ses av allt fler som något som inte bara är ett komplement till den traditionella regelstyrningen.

Tidigare har jag skrivit om betydelsen av en profession inom informationssäkerhetsområdet. Även för en profession är det centralt att ha någon form av kultur som både skapar gemenskap inom gruppen men också bär upp de handlingar, synsätt och värderingar som gruppen förmedlar till utomstående. Kort sagt kan ett kollektivs kultur ge gruppen en enighet om mål och medel som inte bara beskrivs i standarder, strategier och andra dokument utan som ett socialt kitt och ett ethos. Kultur handlar i första rummet inte om beteenden utan om det som ligger bakom beteenden, som innebörder, förståelser, idéer, värden, trosföreställningar, prioriteringar och förgivettaganden. Kulturens betydelse finns belagd i en ganska ymnig forskning inom olika fält som jag inte här kommer att gå närmare in på utan bara som icke-expert nicka och säga: ja, detta verkar relevant även för oss som arbetar med informationssäkerhet.

Det kan verka flummigt men jag tror detta är en mer central fråga än vad det först kan tyckas eftersom den kulturella grunden kan peka ut vägen för gruppen långsiktigt. De kulturella värderingarna ger också underlaget för prioriteringar i det vardagliga arbetet.  Sist men inte minst är en grupps kultur kärnan i den kommunikation som sker med de utanför för gruppen, de kulturella budskapen som gruppen förmedlar överröstar i princip alltid själv sakinnehållet i kommunikationen. Eftersom jag ser kommunikation som det viktigaste verktyget i arbetet med informationssäkerhet blir därför kulturfrågan central.

kultur3

Vad är då våra gemensamma värderingar och vad leder de till för beteenden? Ingen har, såvitt jag vet, gjort en kulturanalys av aktiva inom säkerhetsområdet utan jag ska försöka uttolka de gemensamma tendenser jag tyckt mig se genom åren. Redan nu ber jag om ursäkt för de kategoriska och säkert missvisande beskrivningar som följer men jag har för närvarande enbart tillgång till mina egna erfarenheter (vilket i sig är en del av kulturen eftersom denna typ av diskussion aldrig förs).

En första reflektion är att den militär-polisiära bakgrunden fortfarande vilar tung över oss. Det tar sig många uttryck som i den metaforvärld som används där ”attacker”, ”hot” och ”antagonism” bara är några exempel. Detta skapar naturligtvis en speciell atmosfär men eftersom det inte bara är så att tankar som styr ord utan i lika hög grad det omvända: att våra metaforer styr våra tankar kommer detta att påverka vårt agerande. Jag dristar mig till att säga att traditionella informationssäkerhetsmänniskor finner det betydligt enklare att fokusera på ”attacker” än att inrikta sig på de störningar i informationshanteringen som uppstår av andra orsaker som uppdateringsfel, buggar, bristande rutiner, ineffektivitet som gör att medarbetarna är mer eller mindre tvungna att bryta mot reglerna m.m. Vårt mindset är helt enkelt mer inriktat på attacker och det är också det vi kommunicerar exempelvis med ledningarna i de organisationer där vi verkar. Men denna kulturella värdering kan leda oss fel även i praktisk handling för om ENISA har rätt i sin rapport så är det inte antagonistiska hot som skapar flertalet störningar:

 

 

enisa

Även om alla säkert kan vara överens om att incidentrapportering är problematiskt som underlag för att bedöma vad som egentligen händer och i ännu högre grad om vilka hot som finns är ENISA:s redovisning intressant, särskilt som det väl för Sveriges del inte finns någon som är mer relevant. Om vi nu antar att ENISA:s uppgifter stämmer så är det stora problemet störningar i kommunikationen som leder till störningar i system. Malicious actions är däremot en mycket liten kategori. Flera rimliga frågor inställer sig som vad som orsakat störningarna i kommunikationen. En annan vanlig kommentar när den här typen av siffror redovisas är att det finns ett stort mörkertal när det gäller attacker m.m. Där är jag helt beredd att hålla med, vi ju är långt ifrån att ha en heltäckande redovisning av inträffade incidenter, men rimligen är mörkertalet lika stort eller större när det gäller icke-antagonistiska incidenter. Min poäng är i all enkelhet att den kulturella styrningen mot antagonistiska hot kan leda till felprioriteringar i informationssäkerhetsarbetet.

Att vara inriktad på antagonistiska hot är också belönande i så måtto att det enklare att få uppmärksamhet både från ledningar och media om man pratar om spännande hotbilder med antagonister än om frågeställningarna tangerar den vardagliga verksamhetsutvecklingen. I den nu rådande kulturen finns en påtaglig fara för att informationssäkerhetschefen medverkar till att ledningen beslutar om säkerhetsåtgärder som inte motsvarar den faktiska riskbilden. Och här gömmer sig kanske också ett kulturellt problem eftersom det finns två mål för säkerhetsarbetet; att avvärja hot respektive att stödja att informationshanteringen uppfyller verksamhetens krav på konfidentialitet, riktighet, spårbarhet och tillgänglighet. Det förstnämnda liknar mer än militär uppgift medan det andra är mer att jämföra med ett kvalitetsarbete och inbegriper en nära dialog med verksamheten. Om vi ska arbeta mer aktivt med kulturfrågan måste vi förtydliga vilken som är vår gemensamma målbild och också vår roll.

För att skissa vidare på den kultur jag uppfattar finns i vårt sammanhang så ser jag också ett auktoritärt drag. Detta drag har förmodligen samma militär-polisiära bakgrund som det tidigare men kanske det svaga kunskapsunderlag vi ofta har för det vi föreslår också spelar in. Exempel på vad jag menar med det auktoritära draget är att jag tycker att det finns en övertro på regler och compliance jämfört med andra typer av styrning som mer bygger på diskussion och tvåvägskommunikation. Jag uppfattar också att kultur och former för diskussioner som alltför litet öppna och ”akademiska”, kanske för att det inte forum som inbjuder till det. De forum som finns är i de flesta fall konferenser där ”heliga” sanningar presenteras utan återkoppling. Denna attityd förstärks genom att informationssäkerhetsspecialistens legitimitet oftare hämtas i externa krav som lagstiftning eller standarden än verksamhetens egna behov.

Det finns också dragning mot hemlighetsfullhet. Detta kan härledas till när säkerhetsarbetet i första hand var inriktat på att skydda rikets säkerhet men kanske också till att vi har svårt att rationellt argumentera för olika åtgärder. Det kan då vara enklare att antyda att det finns hot som tyvärr inte kan yppas än att tydligt redogöra för olika risker och låta ledningen eller verksamheten avgöra vad som är nödvändiga åtgärder. Detta är en bräcklig position som jag också tror skapar osäkerhet hos många i branschen. Jag uppfattar inställningen som felriktad därför att betoningen på det hemliga, förutom att göra de flesta samtal till återvändsgränder, också gör att andra lika viktiga frågor kommer helt i bakgrunden. I myndigheter finns till exempel kravet på öppenhet i offentlighetsprincipen som ställer stora krav på riktighet och spårbarhet i de offentliga informationsflödena. Informationssäkerhetsspecialisten har, i min mening, ett lika tungt uppdrag i att medverka till detta som att skydda mot obehörig åtkomst.

Detta är ett exempel på statusbalansen i kulturen, sekretess har högre status än öppenhet, men det finns även andra statusförhållanden som kan diskuteras. Ett sådant är förhållandet mellan teknik och organisation som ofta omnämns som ”hårda” respektive ”mjuka” frågor. Man behöver inte ha läst genusvetenskap för att tolka att den egentliga innebörden är att de hårda, manliga frågorna är aningen viktigare än de mjuka, kvinnliga. Så är det i det övriga samhället och det finns inga skäl att tro att det set annorlunda ut inom informationssäkerhetsområdet. I praktiken leder denna inställning ofta till en överbetoning av tekniska lösningar framför organisatoriska och också till ett ofta väl teknokratiskt förhållningssätt även i organisatoriska åtgärderna. Det blir litet märkligt i kombination med standardens tydliga organisatoriska inriktning men det är en dissonans som har accepterats.

Slutligen är en annan viktig aspekt av kulturen den tydliga mansdominansen. Jag ser det som ett svaghetstecken för en yrkeskår när det måste skapas särskilda forum för kvinnor vilket nu skett på flera håll. Kanske känns det nödvändigt för att kunna leva vidare i den auktoritära och teknokratiska kultur som jag frammanat ovan. Jag skulle dock hellre se att vi gick vidare och försökte utveckla en mer ändamålsenlig kultur för de uppgifter vi har att lösa och där alla kan delta i ett gemensamt samtal på lika villkor.

Varför funkar det inte? Del 6

En profession behöver metoder

För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder. Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.

 

lojlfammal

I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat. I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering. Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter. Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat. Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.

Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet. För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs. Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning. Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter. Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta. Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas. En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer. Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder. Detta var dock inte en uppfattning som delades av alla. Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.

I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik. Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas. I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.

Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade. Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.  Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.

Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod. Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade. Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.

Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp. Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella. ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod. Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna. Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i en organisation när information i allt högre grad flödar över organisationsgränser. ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare. Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.

Varför funkar det inte? Del 3

I mitt förra inlägg hävdade jag att det är svårt att säga vad informationssäkerhet egentligen är. En fråga som nära ansluter till detta är vad målet för arbetet med informationssäkerhet är. Jag uppfattar den frågan som central att analysera både för informationssäkerhet som kunskapsområde och för den enskilda organisationen som inleder eller redan har ett fortlöpande arbete för att hantera den egna informationen på ett säkrare sätt. Om målet inte är klarlagt är risken överhängande att informationssäkerhet blir ett självändamål. Detta skulle strida mot en av mina mest grundläggande övertygelser; att informationssäkerhet aldrig kan ha ett existensberättigande i sig själv utan måste se som en stödfunktion. Då måste man dock veta vad det är som ska stödjas.

Informationssäkerheten så som vi känner den idag (om vi nu gör det) har en kort historia. Med det menar jag inte bara begreppet informationssäkerhet vars tidigaste belägg tror jag finns på 1970-talet. Däremot har vissa synsätt och metoder en betydligt längre historia. Att skydda information mot obehörig åtkomst är något som skett med olika metoder är i princip lika gammalt som skrivkonsten i olika former. Även metoder för spårbarhet som signering och för riktighet som vidimering blivit alltmer standardiserade i Europa sedan medeltiden och framåt, och då kanske främst som stöd i det alltmer intensiva ekonomiska livet. Detta finns ganska väl beskrivet på annat håll men inom informationssäkerhetsområdet har traditionen ofta snarare hämtats från militär och polisiär verksamhet. Målet för aktiviteterna har som en följd av detta formulerats utifrån militär/polisiära behov snarare än det från det civila samhällets behov av säkra ekonomiska transaktioner, rättssäkerhet för den enskilde och det enskilda företagets möjlighet att ha stöd för sina affärer. I detta perspektiv är syftet med informationssäkerheten att framför allt skydda staten i någon mening, inte den enskilda verksamheten och allra minst den enskilda individen.

Den militär-polisiära bakgrunden påverkar fortfarande området starkt vilket gör målet för arbetet otydligt – är det nationens intresse som står i förgrunden eller är det vardagliga arbetet i en organisation som på bästa sätt försöker upprätthålla sin egen verksamhet med tillräcklig effektivitet och kvalitet?  Är det de externa kraven för att skydda statens intressen som ska vara det som ska lyftas fram som den främsta målbilden eller är det de interna behoven? Innan någon börjar rasa ska jag vara tydlig: självklart menar jag inte att det går att enbart tillgodose externa krav eller enbart tillfredsställa interna behov – alla organisationer måste göra båda delar. Vad jag menar är att det inte längre kan vara tillräckligt att se till externa krav i form av säkerhetsskyddslagen. Inte heller går det enligt min erfarenhet att med någon större framgång att använda merparten av de informationssäkerhetsmetoder framtagna för militära eller polisiära syften i en tidspressad civil informationshantering.

Min slutsats är därmed att målet för informationssäkerhetsarbetet måste vara att stödja den enskilda organisationen, eller idag snarare informationssamverkande organisationer, att klarlägga sitt eget behov av informationssäkerhet inklusive olika typer av externa krav som riktas mot organisationen/organisationerna. Föga revolutionerande slutsats kan tyckas, särskilt som den är i stark harmoni med ISO 27000 förutom i avseendet att standarden är helt inriktad på en autonom organisation och inte på e-samhällets allt tätare integration av informationshanteringen.

Om målet accepteras är dock konsekvenserna att ta på allvar. Den viktigaste konsekvensen är informationssäkerhet som kunskapsområde måste kunna erbjuda effektiva sätt att avgöra vad som organisationens/organisationernas faktiska behov. Det innebär också möjligheten att det måste finnas en öppenhet för att ledningen inte önskar särskilt mycket säkerhet utan är beredd att ta risken eftersom målet inte är så mycket säkerhet som möjligt. När ledningen gör bedömningen kommer den att ta hänsyn till ett antal faktorer som den formulerar som verksamhetens behov inklusive att följa relevant lagstiftning. Relevant lagstiftning är för de flesta civila organisationer i mindre grad säkerhetsskyddslagen medan alla organisationer som hanterar personuppgifter måste leva efter dataskyddsförordningen. Myndigheter ska dessutom hantera sin information enligt offentlighetslagstiftningen vilket förutsätter god ordning på riktighet och spårbarhet. Informationssäkerhet är alltså i sig inte ett mål utan ett medel som kan tjäna olika mål som exempelvis god integritet och god offentlighetsstruktur – vilket kan leda till intressanta intressekonflikter. Detta ligger ganska långt ifrån det traditionella militära perspektivet att vissa handlingar som innehåller specifik information ska stämplas med sekretessmarkering och sedan hanteras enligt väl reglerade metoder.

Att kunna beskriva informationssäkerheten som ett medel är därför ett mål i sig. Ett mål som ställer krav på kommunikation mellan den informationssäkerhetsansvarige och verksamheten. När verksamheten frågar ”vad ska informationssäkerheten egentligen vara bra för?” är detta en rimlig utgångspunkt och en bra prövosten för den informationssäkerhetsansvarige för att kunna motivera sitt arbete.

Jag tror vi idag är ganska långt ifrån denna typ av målformulering för vårt arbete. Alltför ofta motiveras säkerhetsarbetet utifrån ett ganska alarmistiskt agiterande utifrån generella hot. Verksamhetsanknytning i form av bedömning av de egna riskerna eller genom informationsklassning har ju i de genomförda undersökningarna inte visat sig förekomma i närheten av det som föreskrifter och annat stipulerar. Den otydliga målbilden kan också göra det svårt att hitta en fungerande yrkesroll som ju snarast bör vara en konsultativ och stödjande funktion än en som söker sin legitimitet främst i externa krav som lagstiftning. När omvärlden präglas inte bara av en stark teknikutveckling utan även en snabb organisatorisk förändring där offentliga och privata verksamheter delar informationshantering kan inte målet vara enbart att skydda statens intresse. Istället måste målbilden vara tydlig men dynamisk och anpassad till den verksamhet som ska skyddas med hjälp av informationssäkerheten. Först då kommer en verklig drivkraft att förbättra informationssäkerheten att komma inifrån verksamheterna själva.

Mitt eget utopiska mål är den osynliga informationssäkerheten, när den är så inarbetad i verksamhetens rutiner att ingen tänker på att den finns och risker ur säkerhetssynpunkt bedöms på samma sätt som andra risker utifrån hur de påverkar verksamhetens resultat.

Varför ligger lösenorden under skrivbordsunderläggen?

Det finns vissa återkommande anekdotiska exempel inom informationssäkerhetsområdet som ska beskriva en situation eller ett problem. Vissa har jag säkert använt själv vid olika tillfällen. Men när man hört något litet för många gånger börjar i alla fall jag begrunda vad som är den egentliga innebörden i exemplet – vad vill man ha sagt? Och därefter funderar jag på vad effekten hos åhörarna, blir den verkligen den som eftersträvas?

Ett sådant återkommande exempel i presentationer, föreläsningar och utbildningar handlar om lösenord. Antingen genom att beskriva det hela som en personlig upplevelse eller en mer generell företeelse så säger vi (även jag har gjort det någon gång för länge sedan…) att användare haft lösenord på post it-lappar fästa vid skärmen eller under skrivbordsunderlägget. Samma exempel återkommer i tips för bättre säkerhet som här och här. Det är uppenbarligen en bild som säkerhetsmänniskor finner effektfull trots att skrivbordsunderläggen i ärlighetens namn numera är sällsynta.

Ofta berättas detta med ett överseende, eller ännu värre; ett smått föraktfullt, leende som låter påskina att medarbetarna inte förstår sig på alternativt inte bryr sig om säkerhet. Min erfarenhet är att detta är en helt felaktig uppfattning. I princip alla verksamheter som jag jobbat i, och inte minst inom vården, är de allra flesta medarbetare mycket engagerade i att göra ett bra jobb. Detta inkluderar även att följa de säkerhetsregler som finns. Att sedan lösenordshanteringen ändå kan vara litet si och så tror jag beror på flera faktorer.

En väsentlig elefant i rummet är att det är jobbigt att hantera lösenord på det sätt som sker nu. Sedan mitten av 90-talet har det utlovats single sign-on-lösningar men få har hittills skådat fungerande lösningar i verkligheten. Istället fortsätter det som förut med allt längre lösenord, olika lösenord i de allt fler applikationer som används på arbetsplatserna och med krav på byten var tredje månad. I en stressig arbetssituation kan jag inte annat än ha förståelse för att medarbetare söker genvägar. I vårt privatliv kan vi använda olika lösningar som automatgenererar hyfsat säkra lösenord men i arbetsmiljön är många kvar på ruta ett.

En annan faktor är kommunikationen om lösenord. När jag läser och hör hur reglerna för lösenordshantering kommuniceras med medarbetare är det sällan med någon motivation eller beskrivning av vari risken ligger om lösenordet är för kort eller används längre än ett kvartal. Detta tror jag är en mer generell problematik inom säkerhetsområdet.  Alltför ofta använder vi olika former av envägskommunikation och dessutom utan att ge tillräckligt bra förklaringar hur bristande tillämpningar av säkerhetsåtgärder påverkar kvaliteten och effektiviteten i verksamheten. Jag ser det hela framför mig som en våg där goda förklaringar gör säkerhetsåtgärden uppfattas som motiverad och krångligheten acceptabel.

krångel

Slutligen är ett problem att det tycks finnas mycket litet evidens om lösenord, hur långa de bör vara och hur ofta de bör bytas. Vi går på det som litet slängigt brukar kallas ”best practice” vilket kan tolkas som ”vi tror att det här det bästa sättet att göra det men har inga belägg för det”. Att beläggen är svaga gör vår egen argumentation svag vilket gör det svårare att övertyga andra vilket sannolikt är en förklaring till att vi hellre kör ut en oemotsagd regel än har en mer djuplodande diskussion om risker med verksamheten.

Jag tror inte medarbetare känner sig särskilt motiverade av den här typen av exempel hur ”dumma” andra medarbetare i samma situation är. Förmodligen kommer istället antingen en viss skamsenhet över att man inte själv heller alltid lyckas leva upp till de krångliga reglerna eller så fnyser man invärtes och tänker: ”det är ju lätt att säga när man inte vet hur det fungerar här och hur stressigt det är”. I båda fallen tappar den informationssäkerhetsansvarige kontakten med sin publik.

Sammantaget drar jag tre slutsatser av ovanstående. Att det inte är så konstigt att medarbetare gömmer lösenord under de imaginära skrivbordsunderläggen. Att vi måste hitta bättre fungerande säkerhetslösningar både i bemärkelsen att de fungerar effektivt mot beskrivna risker och i bemärkelsen att de går att använda på ett inte alltför tyngande sätt för medarbetare. Att vi måste bli bättre på att belägga de säkerhetslösningar vi föreslår med evidens istället för att hänvisa till ”best practice”. Med tanke på att behovet av informationssäkerhet kommer att öka alltmer måste vi kunna både för oss själva och för de organisationer vi verkar i visa att vågen är i balans; att de tyngande rutiner och åtgärder vi förordar är motiverade.

Varför lyssnar inte ledningen på mig?

Vad ska det första blogginlägget handla om? Det finns en uppsjö av intressanta frågor som bara ligger och väntar på att ventileras, alltifrån teoretiska frågor som vad informationssäkerhet egentligen är till hur man genomför en bra riskanalys i praktiken. Jag bestämde mig dock för en rivstart; att ta upp den så omtalade ledningsfrågan som i alla sammanhang framhålls som förutsättningen för att informationssäkerhetsarbetet ska lyckas. Ledningens engagemang ni vet…

Genom åren har jag träffat ett mycket stort antal informationssäkerhetsansvariga (med litet olika titlar). Den mest återkommande förklaringen till att säkerheten inte är så bra som man skulle vilja är att ledningen inte lyssnar, inte intresserar sig, inte förstår varför informationssäkerhet är så viktigt. Ledsna och irriterade säkerhetsmänniskor beskriver hur de ihärdigt försöker förklara för till synes oengagerade ledningar allt som borde göras, vilka risker som finns och vad lagstiftningen säger. Ibland lyckas den informationssäkerhetsansvarige faktiskt upprätta en relation med ledningen, hen kanske till och med får vara adjungerad i ledningsgruppen eller åtminstone vara en fast punkt på agendan en gång i kvartalet. I de mest lyckade ögonblicken inser ledningen att informationssäkerhet är en förutsättning för att organisationen ska kunna leverera det man har som mål på ett bra sätt. Ofta är dessa lyckosamma relationer, enligt min erfarenhet, mycket personberoende och med dagens snabba arbetsmarknad så riskerar de snabbt att upplösas.

Vad jag talar om är inte att lyckas med att få ledningen att besluta om att införa ett ledningssystem, vilket inte behöver vara så svårt – särskilt inte med en omedveten ledning som tror att det gäller att besluta några dokument så är det klart. Men att skapa en god säkerhetskultur där både ledning och medarbetare är engagerade i säkerhetsfrågor, vaksamma för nya risker och beredda att ständigt utveckla säkerhetsarbetet, det är något helt annat.

För att komma vidare tror jag att vi säkerhetsmänniskor måste omformulera frågan. Istället för att se ledningens bristande engagemang som grundad i att ledningen inte förstår vikten av säkerhet så tror jag att vi måste se på oss själva. Hur väl förstår vi verksamheten och dess säkerhetsbehov, vilka aspekter som är prioriterade för ledningen och hur vi få säkerhetsarbetet att stödja dessa prioriteringar? Informationssäkerhet har inget egenvärde utan måste ställas i relation till behoven i den verksamhet där man verkar där behov kan vara förmågan att leva upp till externa krav som lagstiftning men också så mycket mer.

Själv har jag träffat många ledningsgrupper både som anställd och som konsult. Framgången med att lyckas övertyga ledningarna om hur central informationssäkerhetsfrågan är har varierat och om jag försöker summera vad som funkat och vad som inte funkat i punktform ser det ut så här:

Funkar inte:

  • Detaljerade beskrivningar av tekniska problem och tekniska lösningar – ledningsgrupper har sällan den tekniska kompetensen så att de uppskattar detta.
  • Långrandig och överdrivet heltäckande rapportering – ledningen har ju anställt den informationssäkerhetsansvarige för att ha kompetens vilket också innebär kompetens att sålla fram det som relevant.
  • Att hämta alltför mycket av argumentationen ur lagstiftning – självklart inser alla ledningar att lagstiftning måste följas men det är liksom inte huvuduppgiften för verksamheten.
  • Att var alltför ängslig och ovillig att inse att riskhantering innebär att leva med vissa risker – informationssäkerhet skiljer sig inte från andra områden och en fungerande ledning tar alltid risker och kommer att göra det även när det gäller informationssäkerhet.
  • Att presentera risker och brister utan komma med förslag om åtgärder – denna typ av kommunikation gör ofta att ledningar går i baklås och är oförmögna att hantera problemet.
  • Att vara alarmistisk och försöka ”skrämma” ledningen till att vidta åtgärder – detta är det absolut sämsta sättet att kommunicera kring säkerhet och leder enligt min erfarenhet osvikligen till att ledningsgruppen stänger av och försöker undvika kontakt i fortsättningen.

 

Funkar:

  • Att försöka sätta sig i ledningens position och försöka förstå vad det är de vill veta – att känna till ledningens inriktning och kunna anknyta till den underlättar påtagligt kommunikationen.
  • Att försöka sätta sig in i vad ledningen kan och vet om informationssäkerhet och anpassa kommunikationen därefter – ofta utgår vi ifrån att de vi talar med vet mycket mer än vad de faktiskt gör. Om man respekterar de man pratar med och deras förförståelse av ämnet är det också mycket lättare att nå fram.
  • Att genomföra riskanalyser med ledningen – riskanalyser ger ledningsgrupper möjlighet att själva reflektera kring risker vilket gör att de får en egen relation till frågan.
  • Att alltid kommunicera specifikt om den egna organisationen och dess behov – ledningar har sällan tålamod med abstraktioner, däremot om det finns en uppenbar verksamhetsnytta i den egna organisationen blir ämnet mycket intressantare.
  • Att presentera hur brister leder till konkreta konsekvenser i verksamheten – de tekniska orsakerna är ofta ointressanta, däremot innebär konsekvenser i verksamheten också konsekvenser för ledningen vilket får dem att lystra.
  • Att göra ledningsgruppen beslutsför – ledningars funktion är att fatta beslut och att då ta fram väl underbyggda underlag om risker och åtgärder för att reducera dem som det går att fatta beslut om gör de flesta ledningar vänligt stämda.

 

Detta var några tankar kring ledningens engagemang. Bidra gärna med dina egna!