Vad kan vi lära av den falska officeren?

Jag har grubblat en hel del över den falske officeren som i hägn av den svenska försvarsmakten lyckades ta sig ända in i Natos högkvarter.  Som en bakgrund kan sägas att jag aldrig arbetat inom Försvarsmakten men varit i nära kontakt med representanter för myndigheten i olika sammanhang, inte minst då jag arbetade på MSB. Dessutom gav utbildningen till signalskyddschef som jag genomgick för många år sedan en inblick i Försvarsmaktens syn på säkerhet.

Tillåt mig att framföra några obekväma iakttagelser som helt baserar sig på uppgifter i media. Min egen upplevelse har varit att representanter från Försvarsmakten har självbilden att säkerheten i denna verksamhet är mycket bättre både vad gäller omfattning och kvalitet än den som den civila världen lyckas leverera. Denna bild förefaller som så självklar att den aldrig ens diskuteras och påverkar även verksamheter utanför Försvarsmakten. Det går ofta så långt att man vill exportera de säkerhetslösningar som tillämpas inom försvaret till andra delar av samhället. Själv har jag ofta reflekterat över huruvida Försvarsmaktens (och säkerhetsskyddets) lösningar verkligen är ”bättre” än civila respektive kommersiella dito samt om de över huvud taget är möjliga att implementera i en mindre styrd miljö än Försvarsmaktens. Skillnaderna mellan mål, organisation, kultur och teknik är så i grunden olika varandra att jag betvivlar att en rak export från Försvarsmakten är vare sig möjlig eller önskvärd. Tvivlet har förstärkts av den attityd som kan finnas hos de som kommer från det gröna hållet, en viss överlägsenhet och ovilja att ta till sig att andra mål och medel är centrala i det civila livet. Vid ett antal anställningsprocesser har jag också varit med om att militärer ansett sig lämpade som informationssäkerhetsspecialister i det civila trots att de saknat erfarenhet både från den rekryterande verksamhetens bransch och av informationssäkerheten. Att ha jobbat i Försvarsmakten har varit en tillräcklig merit för dessa sökande. Eftersom min grundprincip för säkerhetsarbete är att säkerheten måste anpassas till de unika förutsättningar som råder i varje organisation har denna inställning förefallit missriktad för den som vill förbättra säkerheten. Det behöver kanske inte tilläggas att representanter för den hållningen inte skapar förutsättningar för en givande diskussion med respekt från båda håll.

Vart vill jag då komma med dessa anekdotiska grundade beskyllningar sammanförda med skandalincidenten den falska officeren? En del är min egen förundran över att en verksamhet med ovanstående rykte och självbild som ”säkerhetsexperter” hamnat i en säkerhetsskandal som enligt min mening faktiskt slår den i Transportstyrelsen. Här har man gett en uppenbart opålitlig person fått en säkerhetsklassad tjänst på Must, fått samordna signalskyddstjänsten och haft tillgång till kryptonycklar! Därefter har utlandstjänster med mera följt, också dessa tjänster med reella möjligheter att åstadkomma stor skada. Slutligen blev han även en av Kustbevakningens kontaktpersoner för den ryska säkerhetstjänsten FSB. Sammantaget en karriär med potentiell tillgång till mycket känslig information under ett par decennier.

Lustigt nog förekommer samma kommentarer från Försvarsmakten och Must som från Transportstyrelsen där man vill reducera allvaret i händelsen genom att hävda att inget tyder på att någon skada är skedd. Dessutom sägs att rutinerna för säkerhetskontroller skärpts de senaste tio åren. Båda dessa defensiva kommentarer är problematiska menar jag. Det förefaller svårt att på någon månad  grundligt reda ut eventuella skadeverkningar av ett bedrägeri som vad jag förstår av media pågått i ett par decennier och dessutom i mycket känslig verksamhet. Sakförhållanden borde föranleda en mycket  större utredning med tanke på hur länge han varit där och hur kort tid som Försvarsmakten känt till förhållandena. För mig som okunnig utomstående borde bara vetskapen om de insiderjobb Wennerström och Bergling genomförde framkalla frossa och en oerhörd iver att verkligen ta reda på vad som hänt. Kanske sker också detta i det tysta men den till synes obekymrade hållningen i media inger inte förtroende. Argumentet att säkerhetskontrollerna blivit så mycket bättre på senare år motsägs av att bedragaren under just de senaste åren manövrerat sig mellan olika känsliga positioner ända fram till Nato. Det tyder inte på att noggranna kontroller gjorts.

Att verifiera de uppgifter en sökande lämnar vid ansökningsförfarandet uppfattar jag ändå som en slags basnivå. I min okunnighet förfaller det som en relativt enkel uppgift när det gäller officerstjänster. Den aktuella bedragaren hade ljugit om akademiska studier vilket är en sak. En annan att han uppgivit att han genomfört officersutbildning vilket är en lögn som är mycket svårare att förstå att han lyckades slå i sina arbetsgivare. När ett företag eller myndigheter ska anställa finns det ofta bokstavligen hundratals möjliga studiemeriter med utländska universitet inräknade. Försvarsmakten har däremot en potentiell totalkoll på inflödet till officerstjänster, de kontrollerar ju den enda möjliga meriten. Det finns mig veterligen inga alternativa eller privata officersutbildningar. Att då någon ändå slipper igenom är högst förvånande. När falska läkare avslöjas går det snabbt att kontrollera mot Socialstyrelsens förteckning över vilka som är legitimerade. Då finns det ändå c.a. 42 000 läkare jämfört med c.a. 9000 yrkesofficerare vilket borde vara litet enklare att hålla reda på.

På sociala medier har jag fått upplysningen av mer insatta i branschen att det här sannolikt är ett fall av vad som kallas ”bäste bror”. Jag tolkar det som en kåranda där man av rädsla att uppfattas som ifrågasättande av en officerskollegas kompetens eller heder underlåter att genomföra de rutinkontroller som beslutats. Kanske känns det pinsamt att fråga någon som man borde känna utan och innan vad de egentligen har för formella meriter. I en så liten yrkesgrupp som 9000 officerare kan naturligtvis en sådan tendens förstärkas.

Det känns inte som detta är förklaringen till varför Försvarsmakten inte reagerade när det fick uppgifterna från Kustbevakningen om de fynd myndigheten gjort angående ”officerens” meriter. Det är bara obegripligt för en utomstående att den informationen inte ledde till omedelbara åtgärder. Faktiskt känns det som det hela kunna fortgå än om inte Dagens Nyheter uppmärksammat det hela och ställt de frågor som fortfarande i stort är obesvarade.

Vad kan vi lära av detta när det gäller säkerhet i allmänhet, förutom att pressen gör ett viktigt renhållningsarbete när myndigheterna själva inte klarar av det? Min första tanke är hur svårt det är att få till en fungerande säkerhet. Även om säkerhetsarbete alltför ofta framställs som enkelt att genomföra bara man följer de rätta ”mallarna” känner jag och troligen många andra som arbetat i praktiken en stor ödmjukhet inför uppgiften. Det är så mycket som inte står i manualerna, det är så många procedurer som ska fungera, det är så många människor som ska tänka, känna och göra rätt. Och det räcker inte att det fungerar en gång, det ska fungera åt efter år. I det aktuella fallet är det ju de i allmänhet så hånade ”medarbetarna” som slarvat utan de som gjort säkerhetskontrollerna (eller borde ha gjort) måste ju vara människor med utpekat säkerhetsansvar. Även detta kan jag på någon nivå förstå, att det känns fånigt och pinsamt att be någon man kanske jobbat ihop med länge presentera formella meriter och sedan dessutom kontrollera dessa merithandlingar som är utfärdade av i princip den egna arbetsgivaren. En hel del säkerhetsarbete är ”going through the motions”, att man utan större engagemang utför repetitiva kontroller och hur frestande är det då inte att gena litet grann. Den uthållighet som krävs här underskattas ofta.

Det är (relativt) lätt att besluta som säkerhetsregler men det blir en stor säkerhetsrisk om de regler som beslutats av olika anledningar inte tillämpas. Orsakerna till att reglerna inte efterlevs är många, vi behöver inte gå in på dem alla, här vill jag bara peka på den situation som kan uppstå när alla låtsas som att reglerna fungerar fast alla egentligen vet att det fuskas. En sådan säkerhetsmässig potemkinkuliss är en större risk anser jag än en beslutad lägre säkerhetsnivå som faktiskt  fungerar. Nu menar jag inte att det i det aktuella fallet fanns ett alternativ utan detta är mer en reflektion efter de senaste årens säkerhetshausse där många organisationer har beslut och styrande dokument som anvisar säkerhetsåtgärder som det i realiteten finns ambition att införa. Kort sagt: verklig säkerhet trumfar fantasier! För mig som arbetar med säkerhet är det en viktig uppgift att i dialog med ledningen för den aktuella organisationen bedöma vilken säkerhet som går att införa och vilka risker som olika alternativ innebär.

Det sämsta alternativet är när ledningen har uppfattningen att allt är hunky dory och att organisationen har en väl fungerande säkerhet medan verkligheten är en helt annan. En sådan ledning kan ha mycket svårt att hantera situationer där stora brister uppdagas eftersom det strider helt mot deras verklighetsuppfattning. Hypotetiskt skulle man kunna tänka sig hur svårt det var för Försvarsmaktens ledning att ta in att man huserat en bedragare i det allra känsligaste i ett par decennium utan att detta upptäckts. Lika hypotetiskt kan man då förstå att detta kan leda till beslutsångest och oförmåga att agera trots att korten ligger på borden, som när Försvarsmakten fick information av Kustbevakningen och inte tycktes kunna hantera den. Jag tror helt enkelt att det är farligt att vara alltför övertygad om att man per definition är bra på säkerhet. Att vara bra på säkerhet är att ständigt ompröva och vara medveten om alla brister som hela tiden finns oavsett vilka insatser som görs.

Ytterligare en tankeställare ligger i att skandalen inte skulle ha upptäckts om inte DN lagt ner omfattande insatser på att gräva och gräva. Att seriösa media är en förutsättning för icke-korrupta myndigheter är en slutsats man kan dra, en annan att det saknas interna funktioner som säkerställer compliance på ett effektivt sätt. Det är inte så att jag vill måla f-n på väggen men jag tror att rätt många nu grubblar hur många andra som kunnat slinka in i systemet om kontrollerna är så obefintliga.

Nu har vi ett exempel på hur illa det kan gå. Det bästa vi kan göra med det exemplet att återkommande hålla upp det framför oss och ställa frågan: kan det hända även här? Och sedan försöka svara ärligt på det.

 

Tillägg 2020-02-05: Nu visar det sig att anställda själva kunnat lägga in sin meriter hos Försvarsmakten utan att kontroll skett hos arbetsgivaren. Ganska häpnadsväckande.

 

No probs sa utredaren

Den svenska förvaltningen bygger sedan gammalt på ett väloljat utredningsmaskineri som jag är djupt positiv till men som jag känner en stigande oro för. Med min bakgrund inom historieområdet har jag kunnat följa uppgången av synsättet att offentliga beslut ska vila på rationell grund och att denna grund bäst skapas genom genomlysande utredningar genomförda av högt kvalificerade företrädare för akademi och förvaltning. Hur hånade utredningarna än varit i debatten som politiska undermanövrar så har de möjliggjort insyn och ett demokratiskt samtal om de viktiga vägvalen i samhället.

Utan att gripas av allt för djup förvaltningsnostalgi försöker jag läsa och värdera de utredningar som kommer i för mig relevanta områden. Värderingen underlättas eller påverkas i alla fall av att jag själv varit expert eller på annat sätt deltagit i ett antal utredningar, bland annat som ”spökskrivare” av text som sedan hamnat i den slutgiltiga utredningen. Min slutsats av dessa erfarenheter är att de utredningar som genomförs ofta lider av brister både i utredningsarbetet, i mottagandet hos remissinstanser och i genomförandet.

I denna korta text kommer jag med nödvändighet att bli orimligt svepande och kategorisk men har ändå gjort bedömningen att det finns ett intresse i att lyfta fram vissa systemfel som jag tyckt mig se genom åren. De som har andra erfarenheter och uppfattningar uppmanar jag med emfas att delge dessa – utredningsväsendet förtjänar verkligen att diskuteras, förtjänar i positiv bemärkelse eftersom det är en så bärande institution i den svenska demokratin. Det finns ju även olika typer av utredningar men här tänker jag främst på de utredningar som tillkommer genom att regeringen tillkallar en kommitté eller en särskild utredare för att skaffa underlag för ett politiskt ställningstagande. Kommitténs uppgift är att ta fram fakta, göra analyser av dessa fakta och därefter presentera förslag på åtgärder. När uppdraget är slutfört avrapporteras resultatet oftast i form av ett betänkande, en SOU (Statens offentliga utredningar). En utredning av denna typ bör på ett rättvisande sätt inte bara beskriva förslagen utan även alternativen till dessa förslag samt vilka positiva och negativa konsekvenser som förslagen förväntas få. Efter att betänkandet är presenterat sker remissomgången där olika parter kan redovisa sina synpunkter och argumentera för eller emot betänkandet. Många utredningar stannar här, d.v.s. hamnar i en djup malpåse och blir bortglömda medan några lyckligt utvalda går vidare i beslutsprocessen. Syftet med processen är det bästa, att få rationell grund för besluten i ett öppet förfarande och dessutom en god möjlighet att revidera hur förslagen genomförts, men det är just detta gör en dyster när processen inte hanteras på ett tillräckligt bra sätt.

Förutom det generella gnället är en återkommande kritik att utredningarnas uppdrag ofta är att bekräfta en redan befintlig politisk inriktning snarare än att på ett öppet sätt undersöka en frågeställning. Annorlunda formulerat; redan problemformuleringen snöper utredningens möjlighet att nå fram till de objektivt sett mest relevanta förslagen. Naturligtvis kan inte utredningarna jämställas med akademiska undersökningar, de sker på ett politiskt uppdrag, men med tanke på att de ofta fortskrider under flera år kan en snäv och tidsbunden partipolitisk utgångspunkt snabbt göra hela utredningen daterad och oanvändbar. Denna typ av kortsiktig problemformulering leder i sin tur till två andra fatala systemfel. För det första gör det att utredningar tenderar att bli alltför operativa, det vill säga svara på en nästintill dagsaktuell fråga vilket i sin tur leder till att utredningarna blir som stuprör utan gemensam överbyggnad. Då hjälper inte det mycket tröttande tricket att låta utredningen till tre fjärdedelar bestå av kompilat från tidigare utredningar. Om inte redovisningen av redan gjorda utredningar åtföljs av en analys av hur de påverkar den aktuella utredningen undanröjer det inte på något sätt stuprörstänkandet. För det andra leder det ofta till en ytlighet i begrepp och förutsättningar. Som ett exempel på detta kan vi ta ”digitalisering” en företeelse som utretts på längden och tvären men där själva fenomenet och dess förutsättningar mycket sällan analyserats. Istället ses digitalisering som en fastställd entitet som bara kan utvecklas i en given riktning och med i princip goda konsekvenser. Denna egendomligt deterministiska syn på teknik och samhälle anammas även när Riksrevisionen granskar digitaliseringen. Då granskas inte huruvida regeringens målbild att Sverige ska vara bäst i världen på digitalisering, vilket skulle vara mycket rimligt att ifrågasätta i förhållande till samhällsnyttan, utan enbart hur långt myndigheter och regering tagit sig i den riktningen.

Om vi därefter tittar litet på utredarna och deras medhjälpare finns den vanlige utredaren som får stöd av experter av olika slag men också kommittéer. I det första fallet kan jag se två påtagliga sårbarheter. Den ena är utredaren själv som allt oftare tycks vara en jurist vilket skulle kunna tyckas rimligt med tanke på att utredningen förhoppningsvis ska leda fram till lagförslag men det kan också ses som ett exempel på den tilltagande juridifieringen efter Sveriges EU-inträde. Det är inte säkert att alla problem gynnas av att främst formuleras i juridiska termer utan att det ibland vore bättre med en utredningsprocess som inleds av de som är ämneskunniga för att först därefter bearbetas som en juridisk frågeställning.

Sedan är det experterna där det ofta synes vara en hårfin skillnad mellan expert och särintresse. Det gäller de tjänstemän som ska bevaka den egna myndighetens intresse men jag måste medge att jag grubblat över det rimliga i att tillsätta  en representant för den största leverantören som expert i en utredning om digitaliseringsrätt . Säkert mycket kunnig men kanske då lämpligare att skapa en fokusgrupp för olika leverantörer för att undvika frågan om jäv?

Lika ofta är dock avsaknaden av nödvändiga perspektiv i expertgruppen slående. Om vi till exempel tar NISU (SOU 2015:23) och utredningen om nu säkerhetsskyddslag (SOU 2015:25) samt dess efterföljare med kompletteringar (SOU 2018:82) så har dessa tre utredningar gemensamt att de helt saknar representation från kommuner och regioner. Detta trots att utredningarna måste utgå från att deras förslag till stor del ska omsättas just av kommuner och regioner. Bristen påpekades från några remissinstanser men jag tror att risken är stor att man även fortsättningsvis kommer att se utredningar med ett i huvudsak inifrån och ut-perspektiv.

Att särintressena får så stort utrymme har nackdelen att det också skapas stuprörsformation inom utredningarna. I NISU t.ex. finns ett antal förslag som uppenbart skrivits fram av de olika myndigheter som är närmast berörda. Tyvärr är inte förslagen integrerade sinsemellan, beroendeförhållande mellan förslagen är inte beskrivna, inte heller finns en prioritering gjord. Den här typen av hopplockade åtgärder måste vara mycket svåra att använda som beslutsunderlag utan vidare bearbetning.

De utredningar som bedrivs som kommittéer (exempelvis E-delegationen och Digitaliseringskommissionen) löper å andra sidan risken att utvecklas till egna särintressen och bli mer som en form av myndigheter utan ansvar.

Själv läser jag alltid utredningarnas konsekvensbeskrivningar med största intresse eftersom det är där som man enligt min mening bäst kan bedöma utredningens kvalitet. Om utredaren verkligen försökt, utan hänsyn till sina egna darlings, beskriva även de negativa konsekvenser som kan uppstå om utredningens förslag förverkligas är det en bra utredning där beslutsfattarna får stöd att fatta rätt beslut. Då ges även en möjlighet att i tid börja arbeta med att reducera eventuella risker och negativa konsekvenser. Tyvärr blir jag sällan glad när jag läser konsekvensbeskrivningar eftersom de ofta förefaller verklighetsfrämmande och främst bestående av glädjekalkyler som för att visa det geniala i utredningens förslag. Avsaknaden av relation med de som har kännedom om verkligheten är sannolikt den bakomliggande orsaken till de sangviniska konsekvensanalyser som avslutar utredarens möda. Jag har nu under ett par år funderat över hur säkerhetsskyddslagens utredare kunde komma fram till denna sammanfattning av konsekvenserna av sitt förslag:

Bedömning: Förslagen medför inte annat än marginella kostnadsökningar för vissa myndigheter som får delvis utökade upp-gifter enligt våra förslag. Dessa kostnadsökningar bedöms kunna hanteras inom nuvarande budgetramar. Förslagen bedöms inte medföra några kostnadsökningar för företag utom i de fall dessa på eget initiativ och för egen nytta begär s.k. säkerhetsintyg för leverantör, då kostnader kan upp-komma för vissa säkerhetsskyddsåtgärder. Förslagen kan medföra att något fler personer säkerhetsprövas.

Få torde idag hålla med om den bedömningen vilket bland annat framgår av remissvaren på den kompletterande utredningen då det börjat gå upp för allt fler vad den nya lagen faktiskt kommer att innebära. Vad som förbryllar mig är att alla de ökade kostnader och andra negativa konsekvenser som idag är uppenbara för de flesta inta kan ha varit särskilt svårt att förutse. Detta är inte unikt för just den här utredningen utan är, menar jag, mer att se som ett systemfel där utredare systematiskt tonar ner de negativa konsekvenserna. Möjligen beror detta på att de är rädda för att deras förslag ska ses som ”dåliga” eftersom det innebär vissa negativa effekter men det är ju en attityd som knappast gagnar utredarens uppdragsgivare.

En sista svag punkt i utredningsmaskineriet är att remissinstanserna ägnar ett så till synes svagt intresse för att läsa hela utredningen. Istället kommenterar man möjligen de delar som berör den egna verksamheten. Jag har förståelse för att många myndigheter och andra blir överösta med remisser och har svårt få tiden att räcka till för att ge kvalitativa svar på alla. Samtidigt så är remissvaren inte bara ett sätt att värja den egna verksamheten från dumma förslag. Det är också en möjlighet att bidra med juridiska och andra bedömningar för att förbättra helheten.

Nu ska jag göra ett djärvt grepp och citera Sun Tzu (tror jag) direkt ur mina djupaste hjärnvindlingar utan att kolla upp det. Han sa ungefär så här: om jag får tio dagar på mig att fälla skogens största träd ägnar jag åtta dagar åt att slipa min yxa. Ni får nu möjligheten att komma med en massa bra rättelser men vad jag vill säga är att detta skulle kunna vara ett citat som både uppdragsgivare och utredare skulle kunna tatuera in som gadd. De stora utmaningar vi står inför inom digitalisering, informationshantering, arkiv och säkerhet förtjänar de bästa utredningar som tar minst åtta dagar av de tio.

PS! Jag måste genast rätta mig själv innan någon annan hinner göra det! En mig närstående har grävt fram att det nog inte var Sun Tzu och inte ens Lincoln som myntat uttrycket men det blir en snygg tatuering om det är kinesiska tecken…

Om jag fick ställa några frågor

Den minnesgode kommer ihåg att jag tyckte det saknades några frågor vid den öppna utfrågningen i riksdagens försvarsutskott om cybersäkerhet för ett par veckor sedan. För att inte bara planlöst gnälla ska jag formulera några av de frågor jag själv skulle ställt i rollen som en hyfsat insatt folkvald ledamot i försvarsutskottet. Rollen kräver ju en något mer nobel approach än den som småaktig bloggare. Jag kommer därför naturligtvis inte att ställa tråkiga frågor som vad cybersäkerhet betyder eller vad det är för värden på axlarna på MSB:s bild över utvecklingen av digitalisering respektive cybersäkerhet även om jag grubblat över detta sedan jag såg den. Jag ska heller inte göra banala zingers av typen ”här ser vi hur man försöker lösa morgondagens frågor med gårdagens lösningar.”.

Istället kommer jag att försöka ställa fem övergripande frågor som jag menar är av betydelse för samhället och inte bara för samhällets säkerhet.

– Herr ordförande, vi har nu fått en genomgång av ett statsråd och fyra myndighetsföreträdare. Tyvärr kan inte genomgången ha lett till en bra helhetsbild av frågan. Varje myndighetsrepresentant har presenterat sin myndighets perspektiv på ett sätt som får åhöraren att känna sig som på toppen av ett utsiktstorn där det bara är möjligt att beskåda utsikten genom fyra fastlåsta och begränsade kikare. Själva vyn är osynlig genom dessa tunnlade perspektiv. När vi som folkvalda får en presentation där cyberförsvar, säkerhetsskydd, samhällsviktig verksamhet, och den vardagliga informationssäkerheten presenterade som helt separerade spår är det lätt att förstå den vanmakt som många aktörer som förväntas göra något i praktiken känner.

I NISU-utredningen 2015 var det första åtgärdsförslaget för att förbättra informationssäkerheten att utveckla en nationell styrmodell för informationssäkerhet:

En nationell styrmodell för informationssäkerhet består av ett antal komponenter som måste utvecklas och förvaltas över tid. En del är ett sammanhållande regelverk som innehåller olika nivåer av reglering under föreskriftsnivån, det vill säga en regelhierarki som motsvarar ett ledningssystem inom en organisation. Förutom de resurser som krävs för att utveckla och förvalta styrmodellen krävs en lösning för anslutning och efterlevnadskontroll som löpande samordnas med andra intressenter. I detta ligger också omfattande utbildningsinsatser. I styrmodellen är informationsklassning den mest omfattande aktiviteten som går från processorienterad informationskartläggning via själva klassningsmomentet till utvecklade gemensamma skyddsnivåer. För att skyddsnivåerna ska kunna fylla sin funktion krävs omfattande insatser av både egen och extern kompetens inom områdena administrativ, fysisk och it-inriktad säkerhet. Slutligen förutsätter en nationell styrmodell en väl utvecklad kunskapsstyrning. Kunskap kan i detta sammanhang röra sig om kunskap om metoder men i ännu högre grad om att kunna ge ett vederhäftigt underlag för en styrning utifrån risk. Det innebär att kunna förmedla en uppdaterad riskbild och att samtidigt kunna förmedla stöd för riskreducerande åtgärder.

Behovet av en nationell styrmodell förefaller större än någonsin, inte minst sett i perspektivet av att försöka samordna digitalisering och säkerhet. Min fråga till statsrådet är därför var detta förslag hamnat. En följdfråga till myndighetsföreträdarna är om det är omöjligt att utan ett formellt uppdrag från regeringen börja samarbeta på ett sätt som leder till konkreta samordnade stöd för offentliga och privata organisationer.

– Herr ordförande, två konkreta frågor angående molntjänster. I efterdyningarna av skandalen vid Transportstyrelsen har molntjänster blivit en huvudfråga för regeringen när det gäller säkerhet. Samtidigt vet vi att molntjänster redan används i stor omfattning av svenska myndigheter, kommuner och regioner/landsting, att de ger effektiva lösningar och i många fall bättre säkerhet än om verksamheterna själva skulle drifta och förvalta i egen miljö. Många av de tjänster som idag finns även som applikationer för egen förvaltning kommer snart enbart att finnas som molntjänster. Samtidigt är det svårt för Söpple kommun att ställa krav på Microsoft och Google angående säkerhet och integritetsskydd. En lösning som skulle kunna ge både bättre säkerhet och nödvändig effektivitet var om svenska staten på samma sätt som den tyska sluter ett gemensamt avtal med några av de stora jättarna. Jag förstår problematiken när det gäller konkurrensfrågor m.m. men vill ändå ställa frågan om detta är något regeringen överväger eller om varje kommun och myndighet även fortsättningsvis ska försöka lista ut om det är juridiskt korrekt att använda Office 365 samt ta fram sina egna avtal.
Jag skulle också vilja fråga om den ändring som redan skett, nämligen att SÄPO och Försvarsmakten tilldelats en vetorätt när det gäller utkontraktering av information från säkerhetskänslig verksamhet. Detta ställer ju  ansvarsprincipen på ända och jag funderar i detta sammanhang om regeringen ser framför sig även andra förändringar i denna grundpelare i svensk förvaltning. Vem tar ansvar för verksamheten i det här fallet – SÄPO eller verksamhetsledningen?

-Herr ordförande, under dagens presentationer är det lätt att få föreställningen att säkerhet är ett enkelt och entydigt begrepp samt att säkerhetsåtgärder alltid är obestridligt ”goda”. Den som ägnat minsta tanke åt detta och kanske dessutom kanske ändå studerat lite samhällsvetenskap, historia eller filosofi vet naturligtvis att så inte är fallet. Säkerhet existerat alltid i en relation till andra värden. En supersäker lösning som skulle förhindra alla brott vore att låsa in alla medborgare och slänga bort nyckeln för att dra frågan över det löjligas gräns. Samtidigt måste jag som folkvald naturligtvis beakta de olika intressen som finns i samhället och som delvis står i konflikt med ”säkerhet”. För mig framstår det som det finns tre värden som ständigt kommer i konflikt med den renodlade säkerheten; effektivitet, demokrati och individens integritet. I digitaliseringssträvandena ligger önskan om effektivitet. Demokrati i den form vi känner den är ett centralt element insyn och delaktighet. Övervakning är per se en inskränkning i integritet.
Jag hörde ingen av talarna ta upp dessa konflikter och ställer därför frågan om myndighetsföreträdarna ser det som liggande utanför sitt uppdrag att även ta hänsyn till denna typ av aspekter. Det är i så fall viktigt att veta eftersom utgångspunkten då måste vara att myndigheterna agerar som ”säkerhetsnördar” och de övriga perspektiven måste tillföras från annat håll innan beslut tas i viktiga frågor.

– Herr ordförande, jag tror vi alla är överens om att det finns ett stort behov av att utveckla informationssäkerheten i Sverige. En absolut vital förutsättning för att kunna göra det är att det finns tillgänglig kunskap och kompetens på olika nivåer. Min bedömning är att detta behov är skriande idag alltifrån den vetenskapliga nivån till att det saknas tusentals informationssäkerhetsansvariga företag, kommuner, landsting och myndigheter. Detta leder till att vi inte vet vad vi ska göra för att faktiskt vara effektiva och att det saknas operativ förmåga att bedriva det säkerhetsarbete som åläggs olika aktörer. Situationen kommer knappast att förbättras av sig själv eftersom det idag endast finns en handfull utbildningsplatser per år för att utbilda kompetenta informationssäkerhetsansvariga. Många av de som idag är informationssäkerhetsansvariga (eller kallar sig certifierade och informationssäkerhetsexperter) saknar helt utbildning inom området. Fortbildningsbehovet är därför oerhört stort.
Ytterligare en aspekt är att kunskapsuppbyggnad bygger på ett kritiskt tänkande och en öppen dialog. Ett intryck från säkerhetsområdet är att det ofta präglas av en tystnadskultur och en anti-intellektualism. Detta bygger, tror jag, på tradition, på att det saknas arenor för ett intellektuellt utbyte i säkerhetsfrågor och på att en osäker profession sluter sig inom sig själv i kotterier. För att komma vidare och hitta den goda säkerhetskulturen som skapar kunskap och insikt även på den nationella nivån krävs insatser även från myndigheterna.
Min fråga är hur det stora kunskaps- och kompetensbehovet ska tillgodoses och hur myndigheterna kan verka för en god säkerhetskultur med kritiskt tänkande även i de nationella sammanhangen.

– Herr ordförande, en sista fråga. I de presentationer vi tagit del av lyfts diverse försumligheter och bristande medvetande hos samhällets aktörer fram. Däremot sägs mycket litet om och i så fall hur myndigheterna med särskilt ansvar för säkerhet bedriver en systematisk utvärdering av sina egna insatser. Utvärdering är ju en grundläggande aktivitet i ett systematiskt arbetssätt och det finns därför anledning att anta att denna kvalitetshöjande mekanism måste vara inbyggd i myndigheternas verksamhet. Detta framgår dock inte i de årsredovisningar jag tagit del av och inte heller i dagens presentationer. Därför skulle jag vilja ställa frågan om den bristande säkerheten alltid är någon annans fel eller om det är möjligt att myndigheterna sett anledning att även förbättra sina egna insatser?

Öppna frågor om cybersäkerhet

Det är klart man bänkar sig framför tv:n (i ärlighetens namn bakom en datorskärm) när riksdagen har en öppen utfrågning om cybersäkerhet vilket skedde förra veckan.  Sändningen börjar med en lång och mycket grynig mingelupptagning när alla deltagare och åhörare ska leta upp sina platser. Trots mitt seriösa intresse för frågan uppstår nästan omedelbart samma problem som under de senaste veckornas rapportering från Svenska akademien; gränsen mellan fiktivt och faktiskt berättande glider ihop. Jag och mitt sällskap följer de stela tjänstemannakramarna, den tidigare statliga chefen som nu blivit lobbyist som ivrigt söker sällskapet hos sina tidigare kollegor, den aningen nervöse talskrivaren som flackar med blicken och hoppas på att chefen ska hålla sig till manus och inte sväva ut i egna funderingar, den tidigare myndighetschefen som överraskande dyker upp. Soundtracket till House of cards tonar upp i medvetandet och det är med stigande intresse man följer scenen. Enda missen sett ur ett underhållningsperspektiv är den tekniska kvaliteten och att personaget inte introduceras.

Den nerv som fanns i minglet dör tråkigt nog ut i samma ögonblick som redovisningarna av vad som sker på cybersäkerhetsområdet börjar. Först ministern, sedan myndighetscheferna i tur och ordning. Det mest förvånande är att absolut inget förvånande sägs. Det är exakt samma saker som sägs som har upprepats i 15-20 år. Inga nya lösningar, inga nya självinsikter och inga reflektioner av vad som skulle kunna ändras hos myndigheterna själva. Naturligtvis förekommer ordet ”cyber” mer ymnigt än någonsin och aktuella catch phrases som ”det förändrade omvärldsläget”. Nya aningen dunkla fenomen som ”civila cyberförsvaret” förs in utan att det klargörs vad exakt detta skulle vara. Axiom som att brister upptäcks när incidenter rapporteras ventileras.

Det mest genomgående temat är att de utfrågade myndigheterna säger sig behöva ännu mer resurser. Alltså i sak intet nytt. Däremot saknar i alla fall jag ett analytiskt förhållningssätt där man faktiskt kommer in på frågan hur intresseavvägningen mellan den effektivitet som digitaliseringen står för och en bättre säkerhet ska göras på samhällsnivå. Eller hur det demokratiska samhället ska leva ihop med den ständigt ökade övervakningen från både företag och staten. Sammantaget blir utfrågningen en god illustration över varför nuläget är som det är: säkerhetslägret och digitaliseringslägret är som två cykloper som möts och aldrig skapas ett stereoseende.

Inte heller då riksdagsledamöterna släpps in för att ställa frågor efter statsrådets och myndighetschefernas redovisningar tillkommer något nytt perspektiv. De folkvalda håller sig hovsamt inom den uppdragna ramen och ställer välvilliga frågor som möts av föga förvånande svar. Enda gången där det hettar till är när det bekymmersamma läget i kommunerna återkommande lyfts fram och en representant från SKL i lätt agiterad ton hävdar att tillståndet minsann är bättre än så eftersom så många kommuner börjat använda KLASSA (!).

För att övertyga den som inte tror mig har jag sammanställt ett litet quiz där den som vill får gissa om citaten kommer från den öppna utfrågningen förra veckan eller från SOU 2005:42 Säker information. Förslag till informationssäkerhetspolitik. För att göra det litet svårare har jag bytt ut ”informationssäkerhet” i texten från 2005 mot ”cybersäkerhet”. Innebörden i begreppsanvändningen är mycket likartad i detta sammanhang och samtliga talare förra veckan. Den som först sänder in ett rätt svar bjuder jag på lunch eller ett glas efter jobbet. Skicka in en tipsrad med A för SOU 2005:42, B för citat från utfrågningen.

  1. Alla våra moderna samhällsbärande system bärs upp av den nya informationsteknologin.
  2. Det går inte att organisera fram cybersäkerhet utan det krävs resursförstärkningar.
  3. Enligt x mening är det av strategisk betydelse att kunna säkerställa kompetensförsörjningen inom informationssäkerhetsområdet. X konstaterar också att staten behöver egen och unik kompetens. Staten har också det yttersta ansvaret för den nationella säkerheten, vilket ställer särskilda krav.
  4. Staten förfogar över en rad administrativa, ekonomiska och informativa styrmedel. I praktiken är dessa relativt svagt utvecklade på informationssäkerhetsområdet.
  5. Vår sårbarhet ökar och vi har stora brister trots att stora åtgärder vidtagits.

 

 

Vad betyder egentligen cybersäkerhet?

En rimlig ståndpunkt är att tydliga begrepp i de flesta fall är en förutsättning för en fungerande kommunikation. Personligen ser jag kommunikation som det viktigaste redskapet för att få till en fungerande informationssäkerhet både i den egna organisationen och nationellt. Därför är begrepp inom informationssäkerhet en avgörande faktor för att lyckas.

Ett begrepp som gjort en raketkarriär är cyber. Det är inte bara en allmän känsla utan stöds också av en sökning i Retriever, se graf:

I många sammanhang, även från regeringen, lyfts betydelsen av s.k. cybersäkerhet fram som en central fråga för det svenska samhället. Jag uppfattar försvarsminister Peter Hultqvist som en informell rekordhållare då han lyckades säga ”cyber” inte mindre än 36 gånger i ett anförande men då krävdes det också stycken som det här för att lyckas:

Cyberdomänen, eller cyberrymden, vad vi än väljer att kalla den, har kommit att bli en ytterligare arena för militär och annan verksamhet. Den trenden har varit tydlig under en tid. Tidigare rapporter från Försvarsberedningen har lyft fram de problem och risker som präglar cyberdomänen. Den tilltagande antagonistiska dimensionen i cyberrymden gör det nödvändigt att utveckla och stärka cyberförsvarsresurser. Vi kan se att ett flertal länder i världen har gjort just det. Det försvarspolitiska inriktningsbeslutet från 2015 innehöll ett tydligt och nytt steg i arbetet med svenskt cyberförsvar.

Här förekommer även sammansättningar som cyberdomänen respektive cyberrymden som antingen är samma sak eller möjligen inte eftersom begreppen används varannan gång t.o.m. det korta citatet ovan. Detta är kanske bara ett uttryck för språkglädje där man vill variera uttrycken. Hur som helst har begreppet ”cyber” här någon slags rumslig dimension.

I den nationella strategi för samhällets informations- och cybersäkerhet som regeringen presenterade 2017 och som statsrådet hänvisar till i sitt anförande saknas dock denna rumsliga dimension då begreppen som utgör strategins ämne definieras:

Med informations- och cybersäkerhet avses i denna skrivelse en uppsättning säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information. Med konfidentialitet avses att obehöriga inte ska kunna ta del av informationen. Med riktighet menas att informationen inte förändras, manipuleras eller förstörs på ett obehörigt sätt. Med tillgänglighet menas att behöriga ska kunna ha tillgång till informationen på det sätt och vid den tidpunkt som tjänsterna erbjuder. För informationssäkerhet som avser digital information används i denna skrivelse även begreppet cybersäkerhet. I denna skrivelse används begreppen beroende av sitt sammanhang, där exempelvis cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext.

Det är litet svårt att se skillnaden mellan informations- respektive cybersäkerhet men jag tolkar det som att man ser cybersäkerhet som en delmängd av informationssäkerhet där cybersäkerhet bara handlar om ”digital information”. Cybersäkerhet anses också mer ”internationellt”.
För mig är blir det aningen besynnerligt att tala om digital information eftersom det blir en mix av information och bärare– när man exempelvis klassar information är det ju inte mediet som klassas utan informationsinnehållet.

För att få bättre bild av hur begreppet används av de myndigheter som har särskilda ansvar inom området och därmed ofta kommunicerar med begreppet i fokus skrev jag en enkel fråga till tre av dessa myndigheter; Försvarsmakten, SÄPO och MSB.

Hej!

Begreppet ”cyber” används flitigt för tillfället. Jag skulle behöva ha x:s definition av begreppet eftersom det används på olika sätt i olika sammanhang.

Samma dag fick jag svar från Försvarsmakten med en hel ordlista (Begrepp med definitioner för cyber) med sammansättningar med ”cyber”, däribland cybersäkerhet:

Cybersäkerhet är den samling av säkerhetsåtgärder, riskhanteringsmetoder och tekniker som kan användas i syfte att bevara konfidentialitet, riktighet, spårbarhet och tillgänglighet i cyberrymden.

En stor eloge till FM för denna goda service! Definitionen pekar mindre på styrning på organisatorisk men desto mer på konkreta säkerhetsåtgärder, alltså ganska långt från ledningssystem. Åtgärderna ska vidtas i cyberrymden (med synonymer som cyberspace, cybermiljön, cyberarenan, cyberdomänen) som enligt begreppslistan är:

Cyberrymden är den del av informationsmiljön som består av de sammanlänkade och av varandra beroende it-infrastrukturer, som möjliggör kommunikation, med tillhörande data och information. Den inkluderar internet, intranät, telekommunikationssystem, it-system samt inbyggda processorer och styrenheter.

Jag uppfattar det som cyberrymden är den gemensamma tekniska infrastrukturen men inte informationen i sig.

Från SÄPO kom efter en knapp vecka det något förvånande svaret:

Hej,

Säkerhetspolisen har ingen egen definition av begreppet cyber. Det är inte ett begrepp som används primärt i vår verksamhet.

 

Förvånande eftersom ”cyber” förekommer flitigt på SÄPO:s webbplats,  i olika rapporter  och utåtriktad verksamhet som här och här för  att bara ta ett par exempel.

Slutligen då MSB där svaret satt hårdare inne och inte kom förrän efter en dryg månad:

Hej!

Ordet ”cyber ”kan inte anses stå för sig själv, utan används av MSB i sammansättning med andra ord, främst ”cybersäkerhet”. Beroende på sammanhanget använder MSB ordet ”cybersäkerhet” med något olika betydelse:

  1. Såsom beskrivet i skrivelsen Nationell strategi för samhällets informations- och cybersäkerhet (Skr. 2016/17:213, Justitiedepartementet) där definitionen är ”informationssäkerhet som avser digital information”. För att inte riskera en snäv tolkning som att det enbart omfattar it- och nätverkssäkerhet anser MSB att cybersäkerhet i detta sammanhang avser säkerhetsåtgärder på samhällelig strategisk nivå, främst reglerande och samordnade åtgärder, som behövs så att samhällets aktörer kan bedriva informationssäkerhetsarbete på organisatorisk nivå, främst för information som hanteras digitalt.
  2. Såsom beskrivet i Sveriges inlaga till FN:s generalförsamling att cybersäkerhet tydligare beskriver de skyddsåtgärder som innefattar konfidentialitet, tillgänglighet och riktighet för att inte blandas samman med den betydelse av informationssäkerhet som används av vissa länder eller organisationer som en del av en doktrin där synen att informationsinnehållet som sådant är ett hot.
  3. I de fall MSB har samverkan med andra organisationer (såsom EU, NATO och FN) kan viss annan betydelse av cybersäkerhet förekomma, utefter de samverkande organisationernas definition av begreppet.

MSB har under flera år engagerat sig i terminologifrågor och stöttar bl.a. SIS i arbetet med terminologi på informations- och cybersäkerhetsområdet. MSB planerar inte att ta fram en egen definition av begreppet cyber, eller cybersäkerhet. De definitioner/beskrivningar som myndigheten behöver kunna använda är, enligt ovan, bl.a. från regeringens strategier, standardiseringsorgan (ex SIS), FN, EU samt Nato. Cyber/cybersäkerhet förekommer i dag i förslag till reglering från EU (den s.k. cybersäkerhetsakten, COM(2017) 477 final).

Myndigheten har därmed tre olika definitioner för olika sammanhang och har dessutom gjort en egen utveckling av den definition som fanns med i 2017 år nationella strategi. Detta blir aningen motsägelsefullt när man samtidigt säger sig använda befintliga definitioner/beskrivningar och inte utveckla egna. Formuleringen om SIS undviker elegant att MSB faktiskt inte använder den definition av cybersäkerhet (”cyber” i sig själv ingår inte) som finns terminologin SIS-TR 50:2015 (tyvärr är jag inte länka till terminologin eftersom den inte är fritt tillgänglig):

bevarande av konfidentialitet, riktighet och tillgänglighet hos information i cyberrymden

Cyberrymden;telerymden har i sin tur definitionen:

abstrakt rymd som utgörs av digital kommunikation mellan datornätverk och där all digital information befinner sig

Med den förtydligande kommentaren:

Cyberrymden innefattar all kommunikation via internet samt telekommunikation. Cyberattacker sker per definition via cyberrymden. En cyberrymd möjliggörs av den hårdvara och de system som ingår i en infrastruktur.

Jag är inte alldeles säker på att jag förstår vad detta exakt betyder. Terminologin verkar dock ha den implicita uppfattningen att ”cyber” har med internationella konflikter och antagonism att göra vilket markeras redan i det inledande stycket till kapitlet om Samhällets informations- och cybersäkerhet:

Varje dag utsätts svenska myndigheter och företag för cyberattacker. Detta har bidragit till att bl.a. frågor om cybersäkerhet och cyberresiliens har blivit mer aktuella inom olika branscher. Sverige, liksom många andra europeiska länder, har på senare år börjat uppmärksamma risken för cyberattacker som en global och militär hotbild. Det är därför viktigt att introducera cybersäkerhet inom olika branscher för att öka förståelsen och kompetensen för hur man kan skydda information från dessa hot.

Cybersäkerheten har medfört nya termer, men eftersom området fortfarande är nytt kan dessa termer komma att ändras och det kommer att krävas fortsatt terminologiutredning inom detta område.

Det verkar inte råda någon konsensus om skillnaden mellan informations- och cybersäkerhet, utan de två termerna används ibland omväxlande. Ibland används termen informationssäkerhet när inriktningen ligger på informationen och termen cybersäkerhet när det handlar om den digitala domänen; ibland ses cybersäkerhet som informationssäkerhet på en global nivå .

Samtliga sammansatta ord med förleden cyber som presenteras i terminologin är företeelser som skulle kunna ingå i en krigföring eller terrorism på hög nivå (cyberattack, cyberavskräckande, cyberförsvar, cyberkrigföring, cyberoperation osv.). I en lustig cirkelrörelse hänvisar man i  en fotnot till  SOU 2015:23 (NISU) och den begreppsdiskussion som förs där på sidan 40:

En grundläggande definitionsfråga för hela den svenska informationssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”. På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-standarden, dels i ”Information Assurance” som utgår från ett nationellt säkerhetsperspektiv och där även organisation och policy ingår. I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen ”informationssäkring”, vilket också infördes i SIS-nomenklatur. Begreppet – liksom den förenklade varianten ”övergripande informationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva. Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang. Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk. Därmed har cybersäkerhet en större internationell räckvidd med t.ex. folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet. Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering. Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då frågeställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella organ.

Detta är ju ett  märkligt stycke där den uttalat organisatoriskt inriktade ISO 27001 framställs som fokuserade på tekniska åtgärder (!). Cybersäkerhet sägs vara mer ”strategiskt” och verkande på nationell nivå.

Till att detta kommer alla företag som använder ”cyber” i olika konstellationer för sin produkter och tjänster som knappast är på nationell nivå.

Sammantaget är användningen av begreppet ”cyber” högst inkonsistent och rör sig i en skala från å ena sidan normal it-säkerhet med vissa tillägg av informationssäkerhet till en del av det nationella försvaret. Vissa gemensamma drag tycks finnas som att det gäller digital infrastruktur i någon bemärkelse samt den renodlade inriktningen mot antagonistiska hot. I övrigt är det ganska fritt valt vilken betydelse man vill ge ordet.

Är denna otydlighet då egentligen ett problem? Det kanske behövs ett sådant här amorft begrepp som beskriver en amorf verklighet och inte enbart för sexa till vilken konferensrubrik eller vilket tjänsteutbud i it-sektorn som helst? Kanske inte men jag måste ändå resa invändningen att om att vårt, enligt många, största hot förtjänar en något mer entydig beskrivning. Att måla upp ett förödande hot mot nationen och mot enskilda men göra det i så oklara termer är inte bra för samhällsklimatet i en demokrati (vilket jag skrivit om tidigare). Inte heller är det en fördel för kunder att erbjuda tjänster där det inte närmare går att avgöra vad tjänsten egentligen består i. Jag tycker därför att det är en rimlig önskan att åtminstone centrala myndigheter sätter sig ner för att begreppsmodellera vad ”cyber” är och vilken relation cybersäkerhet har till informationssäkerhet. Betänk språklagens krav på myndigheterna:

Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.

Den viktigaste förebyggande åtgärden saknas

Ingen kan idag förneka vikten av att förbättra informationssäkerheten i de samhällsviktiga verksamheterna. Ett antal utredningar har under de senaste tre åren utmynnat i olika förslag på hur detta ska ske. Tyvärr har fokus legat allt för mycket på reaktiva åtgärder som incidentrapportering och allt för litet på det förebyggande arbetet, detta trots att det ofta påpekats att de stora säkerhetsvinsterna kan göras genom olika typer av incidenter och säkerhetsproblem motverkas innan de uppstår.

För mig framstår den i särklass viktigaste förebyggande åtgärden att tillräcklig kompetens finns för att hantera informationssäkerhetsrelaterade frågor på olika nivåer. För att uppnå detta krävs både episteme, fronesis och techne. Det vill säga det måste finnas en vetenskaplig grund för att de åtgärder som vidtas är effektiva i förhållande till de problem de avses att lösa, att det måste finnas en praktisk kunskap hur fungerande informationssäkerhetsarbete ska bedrivas och det måste finnas en djupare förståelse att nya situationer kan hanteras. Jag skulle vilja hävda att detta idag i allt för hög grad saknas.

Konkret kommer ett stort antal organisationers ledningar behöver ett kompetent stöd för att styra sitt informationssäkerhetsarbete så att det motsvarar de risker som verksamheten är utsatt för och för att kunna tillvarata alla nya möjligheter som den pågående digitaliseringen innebär. Jag pratar alltså inte om it-säkerhet som är inriktad på tekniska åtgärder utan informationssäkerhet som handlar om verksamhetsstyrning och information.  Utöver befintliga krav kommer även nya från bland annat dataskyddsförordningen, NIS, civilt försvar och en ny säkerhetsskyddslag. Det gäller c.a. 350 myndigheter, 290 kommuner, ett tjugotal landsting/regioner och ett okänt antal privata aktörer som medverkar till att upprätthålla samhällsviktiga verksamhet. En av de vanligaste frågorna jag får när jag besöker kommuner, regioner och myndigheter är vilka utbildningsmöjligheter som finns. Hos de som får allt tyngre ansvar för det faktiska informationssäkerhetsarbetet finns såvitt jag kan bedöma en allt större medvetenhet om kompetensbehovet. Till viss del fanns denna insikt även i  den strategi för samhällets informationssäkerhet som MSB tog fram tillsammans med andra myndigheter. Tyvärr har inte insikten utmynnat i några konkreta satsningar för att stödja utvecklandet av professionsinriktade utbildningar.

Även om behovet av kompetens är känt anvisas få vägar för kompetensförsörjningen. Vare sig i den nationella säkerhetsstrategin eller i digitaliseringsstrategin, båda presenterade av regeringen 2017, nämns något om kompetensförsörjning inom informationssäkerhetsområdet.   Utredningar som SOU 2015:23 Informations- och cybersäkerhet i Sverige, SOU 2017:36 Informationssäkerhet för samhällsviktiga och digitala tjänster, SOU 2017:114 reboot – omstart för den digitala förvaltningen liksom lagrådsremissen om ny säkerhetsskyddslag är lika renons på förslag annat än de som gäller utpekade tillsynsmyndigheter. Den nationella strategin för informations- och cyberssäkerhet (Skr. 2016/17:213) skulle kunna inge ett visst hopp eftersom den faktiskt innehåller ett avsnitt som heter Öka kunskapen och främja kompetensutvecklingen. Hoppet om att finna ett mål att tillgodose behovet av professionell kompetens generellt avtar dock snabbt då det visar sig att det som avses är att informera organisationer om sårbarheter och behovet av säkerhetsåtgärder samt att höja den enskilda användarens kunskap.  Samtliga strategier och utredningar tycks dock förutsätta att den kompetens som behövs kommer att finnas utan vidare styrning.

Jag delar inte denna tilltro till den osynliga handen. Istället ser jag att vi står inför ett mycket stort och komplicerat kompetensförsörjningsbehov. Bara det ett nyrekryteringsbehov av något hundratal informationssäkerhetsspecialister årligen till kommuner och landsting/regioner som kanske har samhällets mest komplexa informationssäkerhetsbehov måste uppmärksammas. Många av oss som idag är verksamma inom informationssäkerhetsområdet saknar formell utbildning för våra jobb eftersom utbildningar helt enkelt inte funnits i någon högre grad (jag jämställer inte olika certifieringar med högskoleutbildning även om de säkert är bra på sitt sätt). Därav ett stort fortbildningsbehov. De kurser på högskolenivå som erbjuds idag via en sökning på antagning.se för hösten 2018 är antingen korta kurser eller har en renodlad teknisk inriktning. Undantagen är masterutbildningar i Örebro som har ett handfull platser samt i Luleå där ett organisatoriskt perspektiv tillförs en huvudsak it-inriktad utbildning. Detta räcker naturligtvis inte långt.

Mitt förslag är därför att en utredning tillsätts som tillåts koncentrera sig på hur behovet av kunskap och kompetens inom informationssäkerhetsområdet ska tillgodoses under de närmaste åren. Utgångspunkten är att staten måste ta ett betydligt större ansvar för kunskapsförsörjning på en vetenskaplig nivå och för att kunskapen omsätts till kompetenshöjande åtgärder för prioriterade målgrupper i samhället. Målen bör vara att det gemensamma utbildningsplaner för en treårig högskoleutbildning som informationssäkerhetsspecialist med inriktning på organisation och information, att det utbildas 50 informationssäkerhetsspecialister per år samt att varje kommun har tillgång till minimum en halvtids informationssäkerhetsspecialist. Inom detta fält kan även utbildningar av typen ”informationssäkerhetsspecialist kommunal verksamhet” och ”informationssäkerhetsspecialist hälso- och sjukvård” kunna finnas. Även fortbildningar för redan yrkesverksamma bör ingå i ett kunskapslyft för informationssäkerhetsområdet. Utan denna typ av insats har jag mycket svårt att se hur alla andra mål för att höja samhällets informationssäkerhet ska kunna realiseras.