Från BITS till utopi

Om jag ser tillbaka och försöker se var jag fått vägledning i min roll som informationssäkerhetsansvarig så är det första jag kommer att tänka på den Handbok i it-säkerhet i tre delar som Statskontoret gav ut 1997. Även om den angav att innehållet var it-säkerhet var det i realiteten informationssäkerhet den handlade om, det vill säga den organisatoriska styrningen med hjälp av ett antal aktiviteter. När jag tittar tillbaka i den är det inte så mycket som förändrats vilket väl får sägas vara en ganska dyster insikt. Trots att Statskontoret inte hade ett mer renodlat informationssäkerhetsuppdrag tog man även fram ett metodstöd och mallregelverk som skulle hjälpa myndigheter att införa ett ledningssystem för informationssäkerhet. Stödet kallades OffLIS och kom 2003 som en del i arbetet med ”24-timmarsmyndigheten”.

Krisberedskapsmyndigheten (KBM), inrättades efter vissa förvecklingar 2002 och var en av de myndigheter som 2009 slogs samman till dagens MSB. I KBM:s uppdrag fanns bland annat att ha det sammanhållande myndighetsansvaret för samhällets informationssäkerhet och att utforma en nationell handlingsplan för informationssäkerhet.  Som en del i detta uppdrag tog man fram metodstödet BITS (Basnivå för it-säkerhet) som var tänkt att fungera som en de facto-standard för offentlig sektor. BITS introducerades kraftfullt av KBM inte minst i kommunerna och bistod även med en slags konsultstöd samt olika typer av bidrag för att exempelvis höja den fysiska säkerheten och förbättra tillgången till reservkraft till kommunala datorhallar. OffLIS och BITS slogs ihop 2005 för att få en ökad enhetlighet.

Seklets första årtionde var rörligt när de gällde informationssäkerhet. Vid sidan om KBM:s uppdrag pågick informationssäkerhetsutredningen, Verva skrev föreskrifter om säkert informationsutbyte och Nämnden för elektronisk förvaltning tillsattes 2003 med uppgiften:

” att stödja utvecklingen av ett säkert effektivt elektroniskt informationsutbyte mellan myndigheter och mellan myndigheter och enskilda genom att beslut om vilka standarder för informationsutbyte myndigheter under regeringen skulle använda sig av”

vilket ju låter välbekant.

Trots att frestelsen är stark ska jag inte gå längre in detta just nu utan bara konstatera att BITS var synnerligen populärt inte minst hos kommuner och efterfrågades långt efter att MSB valt att avveckla stödet. Ett antal kommuner hänvisar fortfarande i sina styrande dokument till BITS (det är bara att googla och kolla). Vad var det då som gjorde BITS så populärt? En vanlig uppfattning bland de kommunala företrädare jag diskuterat frågan med var att BITS gav dem enkla handfasta regler och en tydlig lägstanivå att förhålla sig till. Utifrån de resurser som står till buds i en liten eller medelstor kommun har detta setts med viss tacksamhet, särskilt då stödet åtföljdes med ett visst konsultativt och ekonomiskt bistånd.

Själv har jag varit skeptisk. Ett skäl var att BITS var så inriktat på it-säkerhet (även om man vid revideringen 2006 gjorde en strukturell anpassning till ISO 27000). Ett annat att en tillämpning av BITS leder till en basnivå medan det verkliga behovet i en kommun (liksom i andra organisationer) är att kunna ha olika nivåer av skydd beroende på informationens och verksamhetens karaktär. Framförallt har jag tyckt att man riskerar att missa den unika organisationens behov. BITS övergavs också av KBM och sedermera MSB.

Idag är utgångspunkten för de stöd som tas fram att varje organisation ska starta från noll och ta fram sitt eget ledningssystem med alla delar. Den enskilda organisationen erbjuds det som kallas metodstöd eller delmängder som stöd för att klassa system. Bara i offentlig sektor innebär det att över 400 myndigheter, 290 kommuner och 21 regioner själva ska ta fram och förvalta sina respektive ledningssystem, sina metoder för risk-och kontinuitetshantering och sina skyddsnivåer. Detta är en enorm arbetsinsats som dessutom kräver att varje myndighets/kommuns/landstings ledningssystem måste översättas vid samarbeten. Till detta kommer alla andra nödvändiga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, införande av ledningssystem….

Objektivt sett kommer detta inte att vara möjligt att genomföra eftersom det inte finns tillgänglig kompetens i en omfattning som ens är i närheten av vad som skulle behövas. Min uppfattning är att en dellösning på den annars omöjliga ekvationen med starkt ökande krav på systematiskt informationssäkerhetsarbete i kombination med en mycket påtaglig brist på tillgänglig kompetens är en ökad standardisering.

Jag har därför börjat ompröva min tidigare inställning. Som en följd av detta tror jag det dags att ta fram en ny inriktning där en omvärdering göras av de tankar som låg bakom BITS och även OffLIS kan ingå som ett första steg. Då menar jag inte att en revision av BITS eller en återstart på OffLIS. Snarare att seriöst analysera vilka delar av ett systematiskt informationssäkerhetsarbete som kan standardiseras i olika typer av organisationer.

Ett nytt koncept borde istället vara inriktat på systematisk informationssäkerhet. Jag ska här bara skissa upp några punkter där en standardisering skulle kunna ske och ge mycket stora samordningsvinster. För enkelhetens skull så kan vi ta kommunerna som exempel. Det är också lämpligt eftersom kommunerna har mycket komplexa säkerhetsbehov som är mycket svåra att hantera för den enskilda kommunen, inte minst för de små och medelstora kommunerna.

De svenska kommunerna har tio obligatoriska uppgifter, det vill säga uppgifter som de enligt lag ska utföra oavsett kommunens storlek och resurser. Dessa uppgifter genomförs på olika sätt i olika kommuner och i olika organisatoriska konstruktioner. Men processens olika aktiviteter är i stort sett de samma i flera av dessa obligatoriska uppgifter. Att söka plats på förskolan eller att administrera den politiska beslutsapparaten innehåller samma moment och i stort samma information om än med olika benämningar. För att underlätta för kommunerna skulle följande kunna göras nationellt:

  • Ta fram en grundmodell för informationsklassning inklusive skyddsnivåer. Observera att skyddsnivåerna är den stora tunga uppgiften som kommer att kräva långsiktig förvaltning men som kan användas även andra organisationer t.ex. som stöd för att efterleva NIS-direktivet.
  • Ta fram en certifieringsinstitution där leverantörer kan certifiera sina tjänster och system på olika skyddsnivåer.
  • Ta fram ett antal standardprocesser utifrån de obligatoriska uppdragen
  • Identifiera informationen i dessa processer.
  • Ge stöd för att kartlägga vilka bärare som används för att hantera informationen. Observera att det inte enbart gäller system och tjänster utan även andra bärare.
  • Ge förslag på en standardklassning av informationsmängderna.
  • Med detta som utgångspunkt kan ut skyddsnivåerna plockas fram krav både på den egna verksamheten, egen it och på externa leverantörer av tjänster.

Naturligtvis bör det framgå att organisationen måste göra egna riskbedömningar och att det enbart är förslag. Ändå skulle detta vara en mycket värdefull hjälp för kommunerna som också skulle kunna tillämpa grundmodellen för informationsklassning med skyddsnivåer för den unika information som kan utöver de standardiserade förslagen.

Låter mycket att ta fram nationellt tänker ni kanske. Betänk då att alternativet är att ta fram detta i 290 kommuner, i många fall utan tillräcklig kompetens och resurser, och då få fram inkompatibla lösningar. Sannolikheten för att flertalet kommuner inte klarar uppgiften och istället får skämmas i rapporter från MSB och Riksrevisionen är inte direkt låg. Jag menar därför att det är en mycket rimlig investering att skapa nationella lösningar där det faktiskt går.

Hur dessa lösningar ska tas fram och vem som ska ansvara för utveckling och förvaltning tål att diskuteras. Kanske är en stiftelse där även privata aktörer skulle kunna ingå ett alternativ?

6 reaktioner på ”Från BITS till utopi

  1. Klokt klokt jag tror helt och fullt på upplägget. Vem som ska förvalta och ansvara för utveckling det behöver nog tas med i ”tänket” från första början. Att privata aktörer ska kunna ingå låter rätt och riktigt. Stiftelseformen är jag däremot lite fundersam på, den är ”insynskyddad” och lite tunggrodd.

  2. Kika på klassa som SKL tagit fram. Täcker en del som du skrivit om ovan. Men, alla myndigheter saknar detta… tror att all offentlig sektor samt annan samhällskritisk infrastruktur ska minst uppfylla en bassäkerhet samt att färdiga krav för andra nivåer samt färdiga kravlistor utifrån de olika lagrummen som ska uppfyllas.

    • Jag har redan skrivit ett blogginlägg om Klassa http://www.fiaewald.se/uncategorized/ar-klassa-ett-bra-verktyg/ där jag lyfter en hel del problem varav flertalet kvarstår efter den revision av verktyget som genomförts. Sammantaget ser jahg inte att Klassa löser de frågeställningar jag tar upp i det senaste blogginlägget – framförallt inte som kompensation för den kompetensbrist som finns. Eftresom flera tagit upp Klassa kommer jag at skriva ytterligare ett blogginlägg för att förtydliga varför verktyget inte är det svar jag söker.

  3. Håller med!
    De flesta kommuner har likartade problem – och borde kunna dra nytta av likartade lösningar.
    Samma situation gäller för övrigt också inom myndigheter och inom kritisk infrastruktur.

    Det saknas konkretisering och exemplifiering. Tillsynsmyndigheter har en målkonflikt mellan å ena sidan effektiv tillsyn och å andra sidan rådgivning. Genom att prioritera tillsynsuppdraget äventyras effektiviteten i skyddsåtgärderna.
    Det borde väl vara bättre att låta tio verksamheter dra nytta av goda råd – än att tillsynen effektiviseras på en som blir föremål för tillsyn?

    I den mån det finns råd är de antingen abstrakta eller på helikopternivå – eller i värsta fall både och.
    För den enskilda kommun eller verksamhet som skall uppfylla kravställningen blir hoppet från kravställning till faktisk implementation så långt att det hela ofta framstår som ogörligt.

    Frågan vi bör ställa oss är hur vi uppnår bäst verkan givet de förutsättningar vi har. En av förutsättningarna är underskott i tillgången på kompetens – då gäller det att se till få bäst möjlig utväxling på arbetsinsatserna.
    Förslaget att ta fram gemensamma lösningar är dessutom antagligen både billigare och med bättre effekt än alternativen.

    Stiftelse eller ej, men tanken att involvera både myndigheter och privata aktörer är intressant.

    • Precis så! Det ligger en stor utmaning i att lämna det abstrakta och komma med de konkreta lösningarna som går att tillämpa även i praktiken.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *