Nej, det är inte alltid bäst att göra ”något”

Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det. Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut. I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad. Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.

Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin. Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen. Likaså är historien rik på exempel där boten varit värre än soten, d.v.s. att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka. En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar. Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.

Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig. De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem. Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.

När vi blir utsatta för en  pressande situation får många individer och organisationer ett starkt behov av att agera. Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna. Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget). Samma sak med integritet och skyddet av personuppgifter. De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.

Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem. Okritiska reportage om hur kreativa elever fått skolor att börja använda Discord (!) i skolans uppgifter. Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning. Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”. Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar. När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion mot spårbarhet som säkerhetsdimension). Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna? Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.

När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet. Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten. En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.

Det är just i krissituationer som det systematiska informationssäkerhetsarbetet prövas. Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare. Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.  Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras. Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan. Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten. Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen. Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.

 

 

Kontinuitetshanteringens hårda verklighet

It-incidenter och andra störningar som påverkar informationshanteringen är och kontinuitetshantering i ett informationssäkerhetsperspektiv är en allt hetare fråga. Detta förstärks naturligtvis av att vårt beroende till informationshanteringen är i ständig tillväxt liksom riskerna, både de medialt tacksamma antagonistiska hoten och de mer vardagliga som uppdateringar som misslyckas, buggar och hårdvaruproblem. Utan tillgång till information och kommunikation befinner sig organisationer snabbt i krisläge. Stora resurser ofta behövs för att åtgärda orsaken till incidenten och för återställelse till normalfunktion men också för att upprätthålla verksamhetsprocesserna med reservrutiner.

I idealläget finns en planering för åtgärder, återställelse och verksamhetsprocessernas reservrutiner samt, inte minst viktigt, för kommunikation med medarbetare och externa intressenter. Planerna är övade, samordnade och ständigt förbättrade. Organisationen är också medveten om att det inte bara är tillgängligheten som påverkas av avbrottet, det finns även stora risker för obehörig åtkomst och för negativa konsekvenser för riktighet och spårbarhet.

I verkligheten är i idealläget ganska långt borta vilket inte bara är en personlig erfarenhet utan framgår också från de undersökningar som gjorts av statliga myndigheter och kommuner. Hur det står till i privata företag finns det ingen lika heltäckande undersökning av men indicierna är starka på en liknande situation även där. Tyvärr gäller detta även verksamheter som allmänheten har stora förväntningar på ska kunna fungera även under svåra omständigheter,  som sjukvården. Den kanske mest genomarbetade analysen av dessa litet skrämmande förhållanden gjordes av Tom Andersson i en mycket intressant studie av läkemedelshanteringen i Västra Götalandsregionen.

Utöver de reflektioner som Tom Andersson själv gör i studien finns det några övergripande faktorer som jag anser gör det svårt för den som villa skapa en fungerande kontinuitetshantering i den egna organisationen.

Den kanske mest avgörande är att i princip alla offentliga och privata organisationer idag av sina uppdragsgivare förväntas planera enbart för ett ständigt normalläge. Att i budgetdiskussioner hävda att det behövs en marginal, litet luft i systemet, litet extrakapacitet att ta till i händelse av störningar skulle i bästa fall väcka förvånade huvudskakningar. Lean är möjligen en organisationsfilosofi på utgående men önskan att slimma verksamhetsprocesserna till allra nödvändigaste är numera etablerad i flertalet organisationer. Tyvärr är det oundvikligt att en fungerande kontinuitetshantering kräver att organisationen ska klara situationer utanför normalläget vilket innebär extra resurser både för själva åtgärds- och återställelsearbetet och för reservrutiner som dessutom måste övas för att fungera. En stor del av tidigare offentligt finansierad och offentligt utförd verksamhet överförts till privata utförare utan att avtalen innehåller krav på att utföraren ska ha en kontinuitetshantering vilket ytterligare försvårar situationen.

Även den som fått budget och sanktion för att skapa en kontinuitetsplan för informationshanteringen i den egna organisationen kommer att ha en svårhanterlig uppgift framför sig. Informationshanteringen sker inte längre enbart i den egna organisationen utan är en del i ett komplext samspel med andra. En processkartläggning över en verksamhetsprocess beroenden till olika tjänster och resurser för informationshantering som dessutom ständigt förändras är ett nödvändigt underlag. Att få kontroll över denna helhet och skapa förutsättningar för att kunna hantera störningar är inget som går att lösa i ett projekt utan kräver ett systematiskt och uthålligt arbete där många interna och externa parter måste vara involverade.

I många sammanhang finns den outtalade förutsättningen att organisationer har en generell kontinuitetshantering som det går att komplettera med informationssäkerhetsaspekterna. I ett sådant scenario finns redan modell och andra viktiga komponenter som ansvarsfördelning på plats. Tyvärr är min erfarenhet att detta sällan är hur verkligheten beskaffad i flertalet organisationer. Vad som finns är kanske en krisledningsorganisation men ingen faktisk planering eller övning av händelser då centrala resurser faller bort. Den informationssäkerhetsansvarige får då arbeta i underläge och ta ansvar för mycket mer än vad som ligger i rollens mandat och uppgifter. Här tror jag många informationssäkerhetsansvariga resignerar och med viss förtvivlan grubblar över hur de ska kunna göra det som de ändå vet är en mycket viktig del i uppdraget.

Varken för den generella kontinuitetshanteringen eller den som är specifikt inriktad på informationssäkerhet finns det mycket stöd att hämta. Detta trots att förmågan att upprätthålla den verksamheten vid större störningar och kriser är ett ansvar som i det svenska krishanteringssystemet ligger på den enskilda organisationen. Det finns naturligtvis standarder och konsultföretag som kan hjälpa till men någon nationell modell eller metod finns inte etablerad även om detta efterfrågats av bland annat kommuner. Att plocka fram en egen modell eller metod framstår säkerligen för de flesta medelstora och små organisationer som övermäktigt. Ur ett samhällsperspektiv är det också en suboptimering om alla organisationer ska ta fram egna varianter som dessutom inte är koordinerade sinsemellan.

Denna dystra bild får ändå inte göra oss passiva eftersom kontinuitetshanteringen är så betydelsefull för oss både i den enskilda organisationen och på en samhällsnivå. Nedan följer några tips som ändå kan underlätta arbetet.

  • Prioritera verksamhetsprocesser. Vid en större störning kommer det inte att vara möjligt att upprätthålla all verksamhet utan de resurser i form av exempelvis tjänster, kommunikation och medarbetare måste användas för de processer som ledningen prioriterar. Prioriteringen ska inte ske under störningen utan under exempelvis verksamhetsplanering.
  • Kartlägg beroenden. Genom processkartläggning går det att identifiera vilken information och vilka bärare som är nödvändiga för att upprätthålla processen. Det ger också ett bra underlag för it-ansvariga att ta fram den planering som ska ske mellan olika tjänster och andra it-resurser.
  • Håll planeringen så enkel som möjligt. Alltför komplexa planer blir snabbt inaktuella och dessutom svåra att hantera i ett kritiskt läge. Det är sällan intressant att gå djupare i olika tänkbara orsaker till störningen utan det är störningens effekter på verksamheten som är det intressanta. Att koncentrera sig på effekterna gör också planeringen enklare än att ha en mängd olika alternativ utifrån olika orsaker till störningar.
  • Se till att ledningen är beslutsför. Under ett akut skede måste ett antal beslut tas som ligger utanför det som är möjligt att planera och då måste de som har en ledningsfunktion känna sig trygga i att de får fatta beslut.
  • Förbered för kommunikation. God kommunikation med de egna medarbetarna och med intressenter utanför den egna verksamheten är oumbärlig både före, under och efter en större störning.
  • Öva, öva,öva! Övningar kan ske under mycket anspråkslösa former som exempelvis på en arbetsplatsträff där man går igenom ett scenario och simulerar de steg som planen innehåller. Mycket nyttigt både för planen, den informationssäkerhetsansvarige och verksamheten.