Spårbarhetens vara eller icke vara

Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.

Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet. Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas. Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen. Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.

För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.

Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre. Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga. Vare sig tillstånd eller förmåga kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis:

integrity

property of accuracy and completeness

Property kan översättas som egenskap.

Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse. I rapportens inledning står det:

Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas. Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.

Här definieras alltså konfidentialitet, riktighet och tillgänglighet som egenskaper men så även bland annat spårbarhet.

I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan. Närmast kommer man i beskrivningen av informationssäkerhetsmodell:

Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser. Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat. Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.

Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.) som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.

Riktighet definieras exempelvis som endast:

skydd mot oönskad förändring

vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en egenskap eller möjligen en funktion.

Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.

Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka. I artikeln Informations security anges som key concepts  som första punkt CIA- triaden med följande beskrivning

The CIA triad of confidentiality, integrity, and availability is at the heart of information security.(The members of the classic InfoSec triad—confidentiality, integrity and availability—are interchangeably referred to in the literature as security attributes, properties, security goals, fundamental aspects, information criteria, critical information characteristics and basic building blocks.)

Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.  Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden. Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.

Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå. Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.

Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är. Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro. Den s.k. Parkerian Hexad konstruerades redan 1998 av Donn B. Parker som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility. Även aktuella svenska exempel på kritisk diskussion om CIA triaden. Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin Informationssäkerhet och organisationskultur där ett bidrag (Vad är säker kultur av Björn Lundgren) starkt ifrågasätter CIA-triaden. Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan. ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.

Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering). I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara

  • Tillförlitlighet
  • Äkthet
  • Integritet (oförändrad)
  • Användbarhet

vilket är snubblande nära ISO 27000 men med andra definitioner. I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet. Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL. Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.

Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.

Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner. För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser. I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion. Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.  För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet:

  • avtalshantering
  • ansvarsutkrävande
  • interna kontrollsystem
  • upptäckt av avvikelser
  • teknisk övervakning
  • dataskydd
  • patientsäkerhet
  • medarbetares integritet
  • medarbetares rättssäkerhet
  • brottsutredning
  • forensik
  • fysiskt skydd

Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster. Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar. I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande. Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.

För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: Information Security Goals in a Swedish Hospital (tillgängligt via DIVA). Angående spårbarhet skriver man bland annat:

However ‘Traceability’ found in the hospital document has much broader meaning than accountability. ‘Traceability’ emphasizes the importance of tracing information, and not only trace the individuals that produce the information. This goal Page 16–9 contributes to business goals: ‘correct healthcare’ and ‘effective healthcare’ and in the end is related to organisations responsibilities to its stakeholders.

Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten. Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen. Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.

Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad. Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig. Autenticitet inte detsamma som riktighet, inte heller oavvislighet täcks av riktighet. Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan. I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.

Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd. Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information. Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer. För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet. Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser. En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var. När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet. En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.

För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att egenskap skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000. Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga. För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder. CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet. I detta sammanhang vill jag understryka att en portalprincip i ISO 27000 är att informationssäkerheten ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar. Om en uppfattning är att standarden inte kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet. Det finns ju liksom inget egenintresse i att följa en standard.

Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige. Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning. Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.

Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m. för föreskrifter. Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om här. 

Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får. Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.  Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död. I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få? Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag). Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar. För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna. Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet. Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.

Nu ser jag fram emot en mängd kloka motargument!

Är informationsklassning verkligen sååå viktigt?

Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m. ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”. Svaret är ja, det har jag och till och med skrivit på bloggen här .  Sedan dess har det skett en viss uppdatering men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget. Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).

De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa. Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga. Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten:

Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang. Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig.  Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna. Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas. Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail. I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.

Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera. Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m. med en statlig verksamhet oavsett omfattning.  Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling).  Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.

Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering. Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.

Det fragmentiserade synsättet går igen i de metoder som presenteras. Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten. Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer. I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet. Det är ungefär som att i vägtrafiken låta  varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna. Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag. När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.

I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning. Omättligt krävande som jag är vill jag nu lägga till två ytterligare.

För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.

För det andra ingå i en större helhet av systematiskt informationssäkerhetsarbete – att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande. Särskilt inte om skyddsnivåerna har stora brister. Informationsklassning är helt enkelt inte sååå viktig i sig.

Men inte ens då tror jag att detta är en särskilt bra väg att gå. Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod. Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar. Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning. Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå. Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet. En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet. Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas. Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.

Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional. Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler.  Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke. Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ett systematiskt informationssäkerhetsarbete bygger på en samverkande helhet av säkerhetsåtgärder.

 

Om jag fick ställa några frågor

Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan. För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet. Rollen kräver ju en något mer nobel approach än den som småaktig bloggare. Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den. Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.

Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.

– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare. Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan. Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare. Själva vyn är osynlig genom dessa tunnlade perspektiv. När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.

I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet:

En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid. En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation. Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter. I detta ligger också omfattande utbildningsinsatser. I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer. För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet. Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning. Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk. Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.

Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet. Min fråga till statsrådet är därför var detta förslag hamnat. En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för offentliga och privata organisationer.

– Herr ordförande, två konkreta frågor angående molntjänster. I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet. Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö. Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster. Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd. En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna. Jag förstår problematiken när det gäller konkurrensfrågor m.m. men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet. Detta ställer ju  ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning. Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?

-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”. Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet. Säkerhet existerat alltid i en relation till andra värden. En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns. Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”. För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet. I digitaliseringssträvandena ligger önskan om effektivitet. Demokrati i den form vi känner den är ett centralt element insyn och delaktighet. Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter. Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.

– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige. En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer. Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter. Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer. Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga. Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området. Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog. Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism. Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier. För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.

– Herr ordförande, en sista fråga. I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram. Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser. Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet. Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer. Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?

Den viktigaste förebyggande åtgärden saknas

Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna. Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske. Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.

För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer. För att uppnå detta krävs både episteme, fronesis och techne. Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerande informationssäkerhetsarbete ska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras. Jag skulle vilja hävda att detta idag i allt för hög grad saknas.

Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sitt informationssäkerhetsarbete så att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär. Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.  Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag. Det gäller c.a. 350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet. En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns. Hos de som får allt tyngre ansvar för det faktiska informationssäkerhetsarbetet finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet. Till viss del fanns denna insikt även i  den strategi för samhällets informationssäkerhet som MSB tog fram tillsammans med andra myndigheter. Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.

Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen. Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.   Utredningar som SOU 2015:23 Informations- och cybersäkerhet i Sverige, SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster, SOU 2017:114 reboot – omstart för den digitala förvaltningen liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter. Den nationella strategin för informations- och cyberssäkerhet (Skr. 2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen. Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.  Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.

Jag delar inte denna tilltro till den osynliga handen. Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov. Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas. Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt). Därav ett stort fortbildningsbehov. De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning. Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning. Detta räcker naturligtvis inte långt.

Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren. Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället. Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist. Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas. Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet. Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.

 

Varför funkar det inte? Del 6

En profession behöver metoder

För att förena episteme och techne (och förhoppningsvis uppnå fronesis) så behöver professionen sina metoder. Metoderna är i kunskapssamhället professionens verktyg och det som utgör grunden för en intern gemenskap och en extern uppfattning om vad en medlem i professionen kan utföra.

 

lojlfammal

I detta sammanhang kommer jag att använda begreppet ”metod” som ett systematiskt och enhetligt sätt att utföra en viss aktivitet med ett beskrivet önskat resultat. I teorin finns också ett antal metoder inom informationssäkerhetsområdet som riskanalys, informationsklassning, incident- och kontinuitetshantering. Ledningssystem a´ la ISO 27000 kan också ses som en metametod där ovanstående metoder ingår som komponenter. Frågan är dock hur väl metoderna uppfyller kraven på att vara systematiska, enhetliga och ha beskrivet önskat resultat. Att metoderna är utvärderade och därmed sägas vara effektiva sedda till sitt syfte bör vara ytterligare ett krav för att de ska sägas fungera.

Förutom införandet av ledningssystem är sannolikt informationsklassning den mest upplyfta metoden för att uppnå bättre informationssäkerhet. För att göra en snabb bedömning av metoder känns det därför ganska rimligt att titta litet närmare på klassningen så som den beskrivs. Här har jag ett underlag på divergerande åsikter som uppstod när jag arbetade på MSB och dristade mig till att fram ett förslag på vägledning för informationsklassning. Den informella remissen ledde till att det ramlade in en mängd svar från informationssäkerhetsmänniskor i framför allt myndigheter. Jag planerar att använda dessa svar för en litet utförligare analys vid ett senare tillfälle – nu räcker det att säga att synpunkterna gick i alla riktningar och att alla var lika övertygade om att det sättet de uppfattade saken var det enda rätta. Inte ens var man överens om det skulle heta ”klassning” eller ”klassificering”, ännu mindre om huruvida det är information eller system som ska klassas. En litet märklig upplevelse vid genomläsningen var att själva syftet med informationsklassningen framstod som så odefinierat i ett antal av svaren, framför allt då man hade invändningar mot att jag i vägledningen beskrivit att informationsklassningen som metod också måste innehålla skyddsnivåer. Lika fången som andra av min egen tankegång så har jag alltid föreställt mig det som meningslöst att klassa information om det inte leder till konkreta skyddsåtgärder. Detta var dock inte en uppfattning som delades av alla. Jag svävar fortfarande i ovisshet om vad då klassningen tjänar till och det är en av de många frågor som jag tycker det vore ytterst intressant att diskutera.

I paradgrenen informationsklassning saknas det alltså enhetlighet samt systematik. Den bristande systematiken ligger bland annat i att klassningen som aktivitet inte har ett givet samband med andra aktiviteter som exempelvis riskanalys och inte heller beskrivs som en process vars resultat regelbundet utvärderas. I vägledningen skrev jag till exempel djärvt att klassning ska ses som en form av risk- alternativt konsekvensanalys men fick mycket starkt mothugg mot detta och hur då det systematiska sambandet mellan riskanalysen och klassningen ser ut för dessa skribenter är fortfarande oklart för mig.

Det mest slående i svaren var att ofta saknades argument eller teori för den åsikt man förfäktade. Istället var det redovisande av hur man själv i praktiken genomför sina klassningar eller, mest återkommande, hänvisningar till hur man tolkat ISO 27000.  Här ligger en viss ironi eftersom en del svar rörande klassningen där man hänvisar till standarden faktiskt går emot vad standarden säger, som när man hävdar att det system som ska klassas samtidigt som standarden uttryckligen säger att det är information.

Mycket av det som kan sägas om informationsklassning kan sägas också om ledningssystem som metod. Förutom att syftet och genomförandet saknar enhetlighet är båda metoderna synnerligen icke utvärderade. Jag under senare tid plöjt en hel del av den litteratur som finns på området och har ännu inte hittat några studier som exempelvis utvärderar olika metoder för informationsklassning, ej heller av om ledningssystem på det sätt som standarden föreskriver är ett effektivt sätt att styra informationssäkerhet i en organisation.

Och här måste jag gå in på helig mark och framföra ståndpunkten att ISO 27000, som gett mig så mycket stöd genom åren som yrkesverksam, inte så sällan snarare är ett hinder än en hjälp. Eller, rättare sagt, vårt användande av standarden som en ersättning för utvärderade metoder utgör ett hinder för oss att bli mer professionella. ISO 27000 definierar ett område som jag skulle vilja kalla organisatorisk styrning men innehåller ingenting om hur olika aktiviteter ska utföras, och är alltså ingen metod. Som jag skrev inledningsvis skulle man kunna sträcka det till att standarden översiktligt beskriver en metametod men överlämnar till oss praktiserande att ta fram de konkreta, enhetliga, systematiska och utvärderade metoderna. Denna metametod börjar kanske också bli litet anfrätt av tiden med sin inriktning på styrning av informationssäkerhet i en organisation när information i allt högre grad flödar över organisationsgränser. ISO 27000 har i många fall blivit en ersättning för metoder vilket vi måste erkänna för att komma vidare. Istället för att i övermåttan peka på standarden som en bibel måste vi ta uppgiften med metodutveckling på allvar och skapa en gemensam plattform som uppfyller kraven på enhetlighet och systematik.

Varför funkar det inte? Del 5

I ett tidigare inlägg skrev jag om vad jag uppfattar som ett bristande vetenskapligt stöd för det informationssäkerhetsarbete som bedrivs. Att inte kunna bottna sitt arbete i etablerad kunskap skapar av naturliga skäl avgörande hinder i det kunskapssamhälle som numera är vårt. Men om vi kontrafaktiskt skulle anta att det fanns en välutvecklad akademisk kunskap om informationssäkerhet skulle inte denna kunskap vara tillräcklig för att få en verkligt fungerande informationssäkerhet i organisationer och i samhället i stort. Det behövs också aktörer som vet ”hur” man ska göra, det vill säga tillför techne och fronesis till episteme.

Behovet av en profession

Vad jag avser är en profession av låt oss kalla det informationssäkerhetsspecialister. Behovet av att skapa nya professioner följer med utvecklingen av det moderna samhället från skråväsendets tillkomst under medeltiden till dagens på olika sätt legitimerade eller auktoriserade yrken. Professionen skapar legitimitet åt yrkesutövarna, ”paketerar” deras kompetens så att den blir hanterbar även för externa parter som är intresserade av att använda den och, inte minst, utgör en dialogpartner för den akademiska kunskapsutvecklingen.

Den fruktbara relationen mellan profession och akademin kan kanske mest arketypiskt ses inom det medicinska fältet där läkarna genomgått en professionaliseringsprocess under mycket lång tid. Numera har även andra yrkesgrupper som sjuksköterskor och fysioterapeuter gjort samma resa men för enkelhetens skull ska jag fortsättningsvis hålla fast vid läkarna som exempel.

För den som läst något om medicinhistoria är det uppenbart att samspelet mellan de praktiserande läkarna och den akademiska forskningen varit nödvändigt för att nå fram till dagens möjligheter att faktiskt bota, förebygga och lindra allehanda sjukdomstillstånd. Sextonhundratalets fältskärer skulle inte genom praktiskt karvande i sårade soldater kunnat generalisera sin kunskap så att den skulle kunna beskriva sårinfektioner på ett allmängiltigt sätt. Lika litet skulle de medicinska forskarna som faktiskt fanns vid denna tid kunnat avvara den praktiska kunskapen hos dem som dagligdags mötte patienter, om än med bensågen i högsta hugg. För att detta samspel skulle kunna utvecklas på det fruktbara sätt som faktiskt skett var en viktig faktor att de praktiserande läkarna kom att utgöra en alltmer skarpt avgränsad profession med bestämd kompetens och enhetliga metoder.

Jag gör analogin till informationssäkerhetsområdet där vi har samma behov av att förena teori och praktik. En professionell yrkesutövning kan borga för den kvalitet som är nödvändig i den praktiskt utövande delen av kunskapsområdet och av denna anledning bör en profession av informationssäkerhetsspecialister skapas.

Krav på en profession

Utvecklandet av en profession är som sagt den normala gången inom olika kunskapsområden och det finns också en omfattande forskning på temat. Både inom gruppen själv och för externa parter som arbetsgivare in spe måste det gå att beskriva vad professionens Unique Selling Proposition eller Unique Selling Point (USP) är och också skapa organisatoriska strukturer för att upprätthålla denna USP. Några av de moment i professionsbildandet som brukar tas upp litteraturen är följande:

Definition av kunskapsområde

En grund då en profession vill formalisera sig är att man annekterar ett kunskapsområde och hävdar att den egna gruppen är den främsta/enda som äger denna kunskap, jämför läkare och medicinen. Förutsättningen är att det går att definiera kunskapsområdet på ett sätt som både gruppen internt och omvärlden kan vara eniga om. Här finns ett problem för informationssäkerhetsspecialisterna om den beskrivningen av oklarheten i vad kunskapsområdet egentligen består i godtas. Är det en organisatorisk eller teknisk kompetens som utgör kärnan för att bara ta en av de många frågor som kan ställas.

Krav på teoretisk och praktisk kunskap som säkerställs genom etablerad procedur

För att få tillhöra en profession måste det definieras vilken teoretisk och praktisk kunskap man måste besitta. Det måste också finnas en procedur som är erkänd även av utomstående som garanterar att de som utger sig för att tillhöra professionen verkligen kan antas inneha den rätta kompetensen. Det räcker alltså inte med att man själv kallar sig ”informationssäkerhetsexpert” eller att man har lösliga grupperingar av typen communities. En ganska självklar del i detta är en formaliserad utbildning vilket idag saknas inom informationssäkerhetsområdet. De utbildningar som erbjuds på högskolenivå (vilket vi väl får anta är rimligt att kräva) har ett mycket spretigt innehåll från ”Internationella aktörer och regelverk” till ”It-forensik” för att bara ta ett par exempel från högskolekurser som beskriver sig som utbildning i informationssäkerhet.

Andra utbildningar går in på ren it-säkerhet eller på praktiska metoder men kunskapsområdets otydlighet avspeglar sig i utbildningsutbudet. Om vi tittar på innehållet i olika populära certifieringar blir bilden än mer otydlig, i en CISSP-certifiering uppges bland annat telekommunikation och mjukvaruutveckling ingå.
Kravet på formaliserad utbildning blir därmed i dag svårt att uppfylla liksom två andra vanliga krav på en profession: inträdeskrav och avgränsning av de som inte hör dit. För att sammanfatta så kan vem som helst oavsett utbildning, erfarenhet eller personlig lämplighet utge sig för att vara informationssäkerhetsspecialist utan att någon kan hävda motsatsen.

Normer och kultur

En profession definieras inte bara av kunskap utan också av de specifika normer och den kultur som dess medlemmar ansluter sig till. Exempel på detta är, förutom läkaretiken, de normer som upprätthålls av advokatsamfundet. Det innebär också en kollegial kontroll över de attribut som yrkestitel som följer med professionen. Detta förutsätter i sin tur någon form av kollegial organisation som kan utöva kontroll och utveckla en yrkesmässig kultur och etik.

Informationssäkerhetens professionalisering – hur ska vi gå vidare?

Idag saknas flertalet av de förutsättningar som krävs för en professionalisering inom informationssäkerhetsområdet. Behovet är av en sådan är dock stort och om man ska dra slutsatser av andra yrkesgruppers historia måste frågan drivas av de yrkesverksamma själva. En svårighet är att det inte finns fackföreningar eller starka intresseföreningar inom området som skulle kunna inleda en sådan process. Ett första steg är att börja diskutera framtiden på ett öppet sätt och försöka hitta vägar framåt. Är lämpligt med ett brett anslag där hela den spännvidd som nu ryms under beteckningen informationssäkerhet men med en specialisering på samma sätt som läkarkåren? Eller bör vi resonera oss fram till en tydligare avgränsning mot it-säkerhet och cybersäkerhet?  Frågorna är många men än saknas forat att diskutera dem i.

Varför funkar det inte? Del 4

Kunskap och informationssäkerhet

Som redan framgått är det svårt att ens ge en enhetlig och allmänt accepterad definition av begreppet informationssäkerhet. Att då kunna beskriva kunskapsområdet informationssäkerhet blir därför av naturliga skäl minst lika svårt.  Ändå menar jag att den enda verkliga legitimitet som informationssäkerhetsområdet kan uppnå måste gå genom att kunna motivera synsätt, metoder och investeringar med ett kunskapsunderlag. Kunskapsunderlaget måste därför vara av en sådan karaktär att det kan accepteras av de aktörer som vi vill ska anamma synsätten, använda metoderna och göra investeringarna. Om vi inte kan argumentera utifrån en rationell position återstår att försöka övertyga med känslor eller utifrån särintressen alternativt mycket smalt perspektiv som att exempelvis isolera en risk och se den som helt dominerande.

Min uppfattning är att vi idag är ganska långt ifrån att ha ett gemensamt kunskapsunderlag. Kvaliteten på kunskapsunderlaget kan också ifrågasättas av flera skäl, bland annat inte oväsentliga delar har sitt ursprung i rapporter från bolag som säljer säkerhetsprodukter. Ett kanske ännu större problem är att det saknas arenor för kunskapsutveckling utanför akademin där en professionell diskussion kan föras. Istället skulle jag vilja hävda att området präglas av ett anti-intellektuellt förhållningssätt som leder till en stagnation också när det gäller att ta fram praktiskt fungerande lösningar för att förbättra säkerheten.

Episteme, Fronesis, Techne

Utan att gå tvärdjupt är en rimlig utgångspunkt för ett kunskapsområde att det har olika lager av kunskapsnivåer inklusive en teoretisk grund. För att ett auktoritativt stöd i detta men också skapa en ganska enkel pedagogik tar jag hjälp av Aristoteles som delade upp kunskapen i fem former av vilka jag endast kommer att diskutera tre:

episteme (vetenskaplig kunskap, påståendekunskap, veta att)

techne (praktisk-produktiv kunskap, färdighetskunskap, veta hur),

fronesis (praktisk klokhet, det goda omdömet, veta när)

För den som vill veta mer om detta på ett enkelt sätt rekommenderar jag denna text.

Min känsla har länge varit att det som uppfattas som kunskap inom informationssäkerhetsområdet går att hänföra till techne med betoning på enkla tumregler och tekniska lösningar. Många duktiga informationssäkerhetsmänniskor har haft rejäla mått av fronesis så att de kunnat tillämpa den fyrkantiga techne-kunskapen på ett bra sätt i sina organisationer. Däremot så uppfattar jag att episteme, den vetenskapliga kunskapen med krav på generaliserbarhet och mätbarhet, i hög grad saknas inom informationssäkerhetens kärnområde. Vad jag då avser är att exempelvis en övergripande teoribildning på det som är vanlig inom samhällsvetenskapliga områden inte riktigt går identifiera i många av de vetenskapliga texter som publiceras om informationssäkerhet. Det har också ofta slagit mig att jag sällan sett att etablerade uppfattningar och metoder prövas på ett vetenskapligt sätt. För att snabbtesta mina egna fördomar har gjorde jag en sökning i svenska databaser på aktuell forskning om informationssäkerhet och fick fram några hundra publikationer som jag granskade snabbt och översiktligt utan anspråk på någon som helst vetenskaplighet. Den som själv gå igenom samma material kan följa den här länken och den här.

I beskrivningarna har jag försökt utläsa om det finns en teoretisk utgångspunkt som på försöker beskriva ett ontologiskt perspektiv om hur informationshantering och informationssäkerhet samverkar och vad informationssäkerhet är. Jag har också försökt läsa ut huruvida författarna verkligen ifrågasatt de etablerade synsätten och metoderna samt prövat dess effektivitet och relevans på ett ”objektivt” sätt. Slutligen har jag tittat på inom vilken disciplin texten är skriven och om den förefaller vara övervägande organisatorisk eller tekniskt orienterad.

Intryck

Efter denna snabba och djupt orättvisa genomgång tycker jag mig ändå se vissa tendenser.

Oklarheten i begreppet informationssäkerhet som jag tidigare skrivit om gestaltas också i de vetenskapliga texterna och leder till en spretighet. Begreppet tycks kunna stå för renodlat tekniska lösningar (som jag kanske hellre skulle kalla it-säkerhet) som organisatoriska. I de fall där jag läst sammanfattningarna är denna begreppsförvirring och ontologiska brist inte något som författarna tycks uppfatta som ett problem. Inte heller verkar ontologin i grundbegreppen konfidentialitet, riktighet, tillgänglighet, spårbarhet alternativt CIA-begreppen utgjort en frågeställning i området.

Flertalet texter är skrivna av forskare med teknisk eller systemvetenskaplig bakgrund. Detta leder till två helt olika problem. Det första är att fokus ofta kommer att ligga på tekniska lösningar istället för organisatorisk styrning trots att man säger sig skriva om informationssäkerhet. Det andra är att det är forskare med teknisk eller systemvetenskaplig bakgrund som skriver om organisatoriska frågor vilket ligger utanför deras egentliga kompetensområde, något som kan leda till att de inte helt har de redskap som krävs för en organisatoriskt inriktad forskning. Sammantaget leder det till att den organisatoriska styrningen bli styvmoderligt behandlad.

Ett genomgående drag är att etablerade synsätt och metoder förefaller förutsättas vara fungerande och effektiva. Detta gäller i hög grad de mer organisatoriskt inriktade texterna som kan handla om mätning, compliance och säkerhetskultur för att ta några exempel. Detta gäller även då man exempelvis tittar på mognadsmodeller där mognaden kan ses som en slags compliance till etablerade synsätt och metoder.

Förutom compliance är fenomenologi i en relativt vanlig form av studie. Det kan handla om hur medarbetare, patienter eller någon annan grupp uppfattar säkerhetsåtgärder eller -behov. Inte heller här tycks metoder egentligen ifrågasättas utan snarare är det uppfattningarna om dem som kan behöva ändras.

Trots inriktningen mot compliance är det få texter som undersöker värdet av de åtgärder som compliance-kravet gäller. Att vara compliant till kravet att ha bland annat en incidenthantering följs inte av en undersökning av effektiviteten i olika metoder för incidenthantering för att ta ett hypotetiskt exempel. Att studera metoder och delta i metodutveckling förekommer dock inom rent tekniska frågeställningar.

Och vad blir konsekvensen?

Forskning är naturligtvis inte den enda källan till kunskap men det finns frågeställningar inom informationssäkerhetsområdet där jag uppfattar att en vetenskaplig metod är lämplig för att skapa nödvändig kunskap. Det gäller både en slags grundforskning på ontologisk nivå och för insatser för att på ett vetenskapligt sätt skapa en evidensbaserad kunskap kring effektiviteten i olika, framförallt organisatoriska, metoder. Denna typ av frågeställningar kan svårligen hanteras av enskilda informationssäkerhetsansvariga eller av enskilda organisationer.

Informationssäkerhetsområdet har stort fokus på techne vilket sannolikt leder till ineffektiva och bakåtblickande metoder. Det är svårt att föreställa sig samma lösliga relation till evidens inom andra områden som trafiksäkerhet eller medicin trots att dessa områden måste sägas ha likartade tekniska eller hantverksmässiga bakgrund som informationssäkerhet.

Min tes är ju informationssäkerheten inte tycks hålla måttet och följaktligen anser jag kan det finnas anledning att även inom detta område inta den förkättrade normkritiska positionen och ifrågasätta även de mest etablerade sanningarna. Att forskningen går från att anti-intellektuellt handla om ett slags hantverk till att ge frågorna den analytiska och intellektuellt utmanande behandling som de i sanning kräver. Att gå från ett förhållningssätt som är konserverande till att bli ett explorativt som ligger i linje med den snabba organisatoriska och tekniska utveckling som sker.  För detta krävs kreativa och odogmatiska forskare som banar väg, skapar ny kunskap och ger oss andra underlag för en förbättrad praktik.

För att ta emot den mer utmanande kunskapsproduktion som skulle bli resultatet krävs en profession som har samma förhållningssätt inom techne och fronesis samt plattformar att mötas på. Som jag skrev inledningsvis är en av de stora bristerna att den typen av plattformar saknas idag och att ingen nationell aktör känner sig manad att ta på sig ett sådant ansvar. I nästa inlägg ska jag skriva om professionen – kanske finns det i en stärkt professionalisering en möjlighet till ett mer professionellt kunskapsbygge?

Hunnen så långt i mitt funderande får jag tips om en artikel som visserligen är från 2008 men som bekräftar att några av de intryck jag beskrivit är problem kända sedan tidigare som exempelvis bristen på empiri och, som i citatet nedan, på teoribildning:

As can be seen, the use of theories in ISsec research is not equally common as it is in IS research. In total only 18.51% of the ISsec articles cited one or more theories. Hence, over 1000 ISsec articles contained no theory whatsoever. As noted, of the 18.51% ISsec papers, nearly 80% cited ‘mathematical’ theory, which leads to the position where the other 37 theories accounted for only 48 ISsec papers. Indeed, thirty of the theories identified were only cited once in the ISsec literature. This indicates that while in ISsec research theories may be cited, intellectual development fails to occur as other researchers do not adopt and explore such theories. Hence these figures generally indicate that IS security research is chronically underdeveloped in terms of theory. This is worrying as with science in general (Laudan, 1984), the use of proper theories are seen as a fundamental element of IS research (Walls et. al., 1992). To summarize, while theories are highly valued in IS, they are not necessary to publish in information security forums.

Det tycks alltså finnas fler som funderar över från vilken kunskapsgrund vi egentligen utgår.

Varför funkar det inte? Del 3

I mitt förra inlägg hävdade jag att det är svårt att säga vad informationssäkerhet egentligen är. En fråga som nära ansluter till detta är vad målet för arbetet med informationssäkerhet är. Jag uppfattar den frågan som central att analysera både för informationssäkerhet som kunskapsområde och för den enskilda organisationen som inleder eller redan har ett fortlöpande arbete för att hantera den egna informationen på ett säkrare sätt. Om målet inte är klarlagt är risken överhängande att informationssäkerhet blir ett självändamål. Detta skulle strida mot en av mina mest grundläggande övertygelser; att informationssäkerhet aldrig kan ha ett existensberättigande i sig själv utan måste se som en stödfunktion. Då måste man dock veta vad det är som ska stödjas.

Informationssäkerheten så som vi känner den idag (om vi nu gör det) har en kort historia. Med det menar jag inte bara begreppet informationssäkerhet vars tidigaste belägg tror jag finns på 1970-talet. Däremot har vissa synsätt och metoder en betydligt längre historia. Att skydda information mot obehörig åtkomst är något som skett med olika metoder är i princip lika gammalt som skrivkonsten i olika former. Även metoder för spårbarhet som signering och för riktighet som vidimering blivit alltmer standardiserade i Europa sedan medeltiden och framåt, och då kanske främst som stöd i det alltmer intensiva ekonomiska livet. Detta finns ganska väl beskrivet på annat håll men inom informationssäkerhetsområdet har traditionen ofta snarare hämtats från militär och polisiär verksamhet. Målet för aktiviteterna har som en följd av detta formulerats utifrån militär/polisiära behov snarare än det från det civila samhällets behov av säkra ekonomiska transaktioner, rättssäkerhet för den enskilde och det enskilda företagets möjlighet att ha stöd för sina affärer. I detta perspektiv är syftet med informationssäkerheten att framför allt skydda staten i någon mening, inte den enskilda verksamheten och allra minst den enskilda individen.

Den militär-polisiära bakgrunden påverkar fortfarande området starkt vilket gör målet för arbetet otydligt – är det nationens intresse som står i förgrunden eller är det vardagliga arbetet i en organisation som på bästa sätt försöker upprätthålla sin egen verksamhet med tillräcklig effektivitet och kvalitet?  Är det de externa kraven för att skydda statens intressen som ska vara det som ska lyftas fram som den främsta målbilden eller är det de interna behoven? Innan någon börjar rasa ska jag vara tydlig: självklart menar jag inte att det går att enbart tillgodose externa krav eller enbart tillfredsställa interna behov – alla organisationer måste göra båda delar. Vad jag menar är att det inte längre kan vara tillräckligt att se till externa krav i form av säkerhetsskyddslagen. Inte heller går det enligt min erfarenhet att med någon större framgång att använda merparten av de informationssäkerhetsmetoder framtagna för militära eller polisiära syften i en tidspressad civil informationshantering.

Min slutsats är därmed att målet för informationssäkerhetsarbetet måste vara att stödja den enskilda organisationen, eller idag snarare informationssamverkande organisationer, att klarlägga sitt eget behov av informationssäkerhet inklusive olika typer av externa krav som riktas mot organisationen/organisationerna. Föga revolutionerande slutsats kan tyckas, särskilt som den är i stark harmoni med ISO 27000 förutom i avseendet att standarden är helt inriktad på en autonom organisation och inte på e-samhällets allt tätare integration av informationshanteringen.

Om målet accepteras är dock konsekvenserna att ta på allvar. Den viktigaste konsekvensen är informationssäkerhet som kunskapsområde måste kunna erbjuda effektiva sätt att avgöra vad som organisationens/organisationernas faktiska behov. Det innebär också möjligheten att det måste finnas en öppenhet för att ledningen inte önskar särskilt mycket säkerhet utan är beredd att ta risken eftersom målet inte är så mycket säkerhet som möjligt. När ledningen gör bedömningen kommer den att ta hänsyn till ett antal faktorer som den formulerar som verksamhetens behov inklusive att följa relevant lagstiftning. Relevant lagstiftning är för de flesta civila organisationer i mindre grad säkerhetsskyddslagen medan alla organisationer som hanterar personuppgifter måste leva efter dataskyddsförordningen. Myndigheter ska dessutom hantera sin information enligt offentlighetslagstiftningen vilket förutsätter god ordning på riktighet och spårbarhet. Informationssäkerhet är alltså i sig inte ett mål utan ett medel som kan tjäna olika mål som exempelvis god integritet och god offentlighetsstruktur – vilket kan leda till intressanta intressekonflikter. Detta ligger ganska långt ifrån det traditionella militära perspektivet att vissa handlingar som innehåller specifik information ska stämplas med sekretessmarkering och sedan hanteras enligt väl reglerade metoder.

Att kunna beskriva informationssäkerheten som ett medel är därför ett mål i sig. Ett mål som ställer krav på kommunikation mellan den informationssäkerhetsansvarige och verksamheten. När verksamheten frågar ”vad ska informationssäkerheten egentligen vara bra för?” är detta en rimlig utgångspunkt och en bra prövosten för den informationssäkerhetsansvarige för att kunna motivera sitt arbete.

Jag tror vi idag är ganska långt ifrån denna typ av målformulering för vårt arbete. Alltför ofta motiveras säkerhetsarbetet utifrån ett ganska alarmistiskt agiterande utifrån generella hot. Verksamhetsanknytning i form av bedömning av de egna riskerna eller genom informationsklassning har ju i de genomförda undersökningarna inte visat sig förekomma i närheten av det som föreskrifter och annat stipulerar. Den otydliga målbilden kan också göra det svårt att hitta en fungerande yrkesroll som ju snarast bör vara en konsultativ och stödjande funktion än en som söker sin legitimitet främst i externa krav som lagstiftning. När omvärlden präglas inte bara av en stark teknikutveckling utan även en snabb organisatorisk förändring där offentliga och privata verksamheter delar informationshantering kan inte målet vara enbart att skydda statens intresse. Istället måste målbilden vara tydlig men dynamisk och anpassad till den verksamhet som ska skyddas med hjälp av informationssäkerheten. Först då kommer en verklig drivkraft att förbättra informationssäkerheten att komma inifrån verksamheterna själva.

Mitt eget utopiska mål är den osynliga informationssäkerheten, när den är så inarbetad i verksamhetens rutiner att ingen tänker på att den finns och risker ur säkerhetssynpunkt bedöms på samma sätt som andra risker utifrån hur de påverkar verksamhetens resultat.