Spårbarhetens vara eller icke vara

Eftersom frågan om spårbarhetens vara eller icke vara som en självständig aspekt av informationssäkerhet är återkommande diskuterad ska jag här göra ett inlägg i frågan.

Bakgrunden är den så kallade CIA-triaden som kommer från engelskans Confidentiality, Integrity och Availability vilket ofta på svenska översatts till konfidentialitet, riktighet och tillgänglighet. Detta är kanske inte en optimal översättning vilket möjligen är en delorsak till de olika uppfattningar som finns om hur detta ska tolkas. Huvudorsaken skulle jag dock vilja hävda att det med förvånande kraft hävdas att det bara finns en möjlig beskrivning av vad arbetet med informationssäkerhet syftar till och att det fångas i den svenska definitionen. Vi (inte så få) som vill problematisera begreppen för att få dem mer anpassade till de behov vi uppfattar finns möts av tystnad.

För att ge så gott underlag som möjligt för en diskussion ska jag försöka vara tydlig och transparent som möjligt i min argumentation och hoppas att få svar i samma anda.

Utgångspunkten för mitt resonemang är ett statement som jag mer uppfattar som en dogm och som ofta formuleras som kofindentialitet, riktighet och tillgänglighet är den verkliga kärnaspekterna i informationssäkerheten och att spårbarhet är en osjälvständig stödfunktion till de övriga tre. Nyligen såg jag det formulerat som fast sats: konfidentialitet, riktighet och tillgänglighet är tillstånd, spårbarhet en förmåga. Vare sig tillstånd eller förmåga kan härledas ur ISO/IEC 27000:2018 (ordlistan för 27000-serien) som genomgående använder property som exempelvis:

integrity

property of accuracy and completeness

Property kan översättas som egenskap.

Inte heller i den terminologi som tagits fram av en arbetsgrupp i SIS: Teknisk Rapport SIS-TR 50:2015 (kan tyvärr inte länka eftersom den inte är fritt tillgänglig) återfinns tillstånd respektive förmåga i denna betydelse. I rapportens inledning står det:

Informationssäkerhet handlar därför om hur informationens konfidentialitet, riktighet och tillgänglighet ska bevaras så att organisationens krav kan uppfyllas. Dessa egenskaper kompletteras ibland även med en eller flera andra egenskaper, såsom spårbarhet, oavvislighet, ansvarighet, autenticitet och auktorisation.

Här definieras alltså konfidentialitet, riktighet och tillgänglighet som egenskaper men så även bland annat spårbarhet.

I övrigt förekommer begreppet tillstånd litet här och var men aldrig på det sätt som i satsen ovan. Närmast kommer man i beskrivningen av informationssäkerhetsmodell:

Enheterna i ett system indelas i logiska grupper av subjekt (användare och deras processer), objekt och resurser. Egenskaper hos ett önskvärt, ”säkert” tillstånd definieras och det visas att varje tillståndsövergång bevarar säkerheten vid övergång från ett till-stånd till ett annat. Ett säkert tillstånd kräver att samtliga tillåtna åtkomstfall överensstämmer med fastställda säkerhetsregler.

Jag tolkar denna beskrivning liksom de andra tillstånd som ändå förekommer i handboken (exempelvis av redundans, anonymitet m.m.) som en sammansatt helhet som resulterar från flera/många säkerhetsaktiviteter.

Riktighet definieras exempelvis som endast:

skydd mot oönskad förändring

vilket jag gissar ska läsas med en koppling bakåt till inledningen; att det är en egenskap eller möjligen en funktion.

Synsättet att det finns etablerade definitioner som ”tillstånd” respektive ”förmåga” verkar vara en uppfattning som får anses begränsat till vissa företrädare i Sverige som inte har stöd i den terminologi som tagits fram.

Detta synsätt verkar inte hämtat från något internationellt etablerat sammanhang vilket det räcker att göra en slö koll på Wikipedia för att upptäcka. I artikeln Informations security anges som key concepts  som första punkt CIA- triaden med följande beskrivning

The CIA triad of confidentiality, integrity, and availability is at the heart of information security.(The members of the classic InfoSec triad—confidentiality, integrity and availability—are interchangeably referred to in the literature as security attributes, properties, security goals, fundamental aspects, information criteria, critical information characteristics and basic building blocks.)

Inte heller i den svenska akademiska diskussionen förefaller det finnas konsensus eller ens en särskilt omfattande diskussion om CIA-begreppen.  Det gör att jag särskilt höjer på ett ögonbryn då akademiker på högre nivå utan närmare förklaring anammar satser som den ovan beskrivna utan förtydliganden. Jag är helt enig i att detta är ett key concept – då borde det förtjäna en behandling på akademisk nivå som motsvarar dess betydelse.

Fördelen med att det saknas etablerade och allmänt accepterade definitioner är att det skapar en frihet att undersöka vilket förhållningssätt som är mest ändamålsenligt och samtidigt logiskt konsistent åtminstone på en basal nivå. Personligen finner jag inte begreppen tillstånd respektive förmåga som särskilt tydliggörande men möjligen kan en begreppsmodellering där tankarna om detta redovisas på ett öppet sätt uppenbara en logik som jag missat.

Om vi ändå i detta sammanhang kan utgå från att det finns ett antal egenskaper som är centrala för att skapa god informationssäkerhet så är nästa fråga vilka dessa är. Inte heller här råder den fullständiga enighet om CIA-triaden vilket man ibland kan förledas att tro. Den s.k. Parkerian Hexad konstruerades redan 1998 av Donn B. Parker som adderade tre aspekter till den ursprungliga triaden: Authenticity, Availability och Utility. Även aktuella svenska exempel på kritisk diskussion om CIA triaden. Det av MSB finansierade forskningsprojektet SECURIT landade bland annat i antologin Informationssäkerhet och organisationskultur där ett bidrag (Vad är säker kultur av Björn Lundgren) starkt ifrågasätter CIA-triaden. Jag kanske inte är helt övertygad om den modell som forskaren anser borde ersätta CIA-triaden men i detta sammanhang är det ändå viktigt att poängtera att det är väl värt att diskutera frågan. ISO 27000 öppnar ju också upp för att triaden kan kompletteras med ytterligare egenskaper vilket också sker exempelvis i själva standarden i avsnittet om kryptering.

Noterbart är att ISO-standarderna inte har en konsistent hantering av begreppen sinsemellan trots att de riktar sig mot samma objekt (i detta fall informationshantering). I SS-ISO 30300 (hantering av verksamhetsinformation) anges målen vara

  • Tillförlitlighet
  • Äkthet
  • Integritet (oförändrad)
  • Användbarhet

vilket är snubblande nära ISO 27000 men med andra definitioner. I SS-ISO 15489 (Dokumenthantering) är ett tillkommande mål autenticitet. Här bör en begreppsmodellering göras, särskilt som SS-ISO 30300 börjat spridas främst genom SKL. Även här finns alltså ett behov av att göra sig redo för att öppna upp och diskutera om och hur centrala begrepp ska användas.

Själv menar jag att det finns skäl för att se närmare även på autenticitet men här ska jag koncentrera mig på spårbarhet.

Istället för att som nu negligera spårbarhetsbegreppet finns det anledning att lyfta upp det och se hur dess betydelse ökat under de senaste årtiondena och detta i flera dimensioner. För det första är det den mest självklara dimensionen att på ett säkert sätt kunna följa vad som hänt i informationshanteringen både som en följd av mänsklig aktivitet och som tekniska händelser. I det allt mer transaktionstäta informationsflödena där en mängd aktörer är detta en alltmer central funktion. Här gäller detta att även uppfatta egenskapen spårbarhet som en negation, det vill säga att undvika spårbarhet till exempel som skydd för den personliga integriteten.  För att bara räkna upp några krav som inte endast omfattar informationens konfidentialitet, riktighet eller tillgänglighet utan där det också ställer krav på en hög grad av spårbarhet:

  • avtalshantering
  • ansvarsutkrävande
  • interna kontrollsystem
  • upptäckt av avvikelser
  • teknisk övervakning
  • dataskydd
  • patientsäkerhet
  • medarbetares integritet
  • medarbetares rättssäkerhet
  • brottsutredning
  • forensik
  • fysiskt skydd

Kraven på spårbarhet har också en tydlig koppling till konkreta säkerhetsåtgärder där loggning är den främsta åtgärden för att skapa spårbarhet i it-tjänster. Loggning sker även i ett antal andra typer som i inpasseringskontrollssystem, telefoni, chatt och andra kommunikationslösningar. I den manuella informationshanteringen kan det behöva finnas rutinerna som bland annat kan omfatta signering, vidimering, kontrollerad versionshantering och kvittensförfarande. Observera också att om dessa åtgärder inte kan matchas mot ett definierat krav på spårbarhet kan det innebära stora merkostnader, inkräktande på den personliga integriteten och ytterst leda till lagöverträdelser om det inte går att motivera åtgärden.

För att illustrera behovet inom den samhällsviktiga verksamheten sjukvård finns det gott stöd att hämta i det paper som presenterades av Ella Kolkowska, Karin Hedström och Fredrik Karlsson vid Örebro University på en konferens redan 2009: Information Security Goals in a Swedish Hospital (tillgängligt via DIVA). Angående spårbarhet skriver man bland annat:

However ‘Traceability’ found in the hospital document has much broader meaning than accountability. ‘Traceability’ emphasizes the importance of tracing information, and not only trace the individuals that produce the information. This goal Page 16–9 contributes to business goals: ‘correct healthcare’ and ‘effective healthcare’ and in the end is related to organisations responsibilities to its stakeholders.

Spårbarheten är alltså direkt kopplad till målsättningen för kärnverksamheten och ytterst till patientsäkerheten. Att då som SKL ta bort spårbarheten ur sitt klassningsverktyg förefaller inte direkt som att anpassa säkerheten efter verksamhetens behov och inte heller att värna sina medlemmars intressen. Observera också att spårbarhet inte enbart handlar om att spåra användares aktiviteter utan själva informationen.

Här finns en naturlig övergång till de andra syften som spårbarheten kommer att behöva tjäna i allt högre grad. Den första är för att skapa autenticitet, en kvalitet som blir allt mer uppenbart nödvändig. Autenticitet inte detsamma som riktighet, inte heller oavvislighet täcks av riktighet. Spårbarhet är en tydlig faktor för att kunna skapa autenticitet och oavvislighet vilket är ett krav från arkivsidan. I den informationshantering som sker i offentlig sektor borde alltså rimligen spårbarhet upphöjas till triadnivå, särskilt sett till kravet på rättssäkerhet och att kunna tillhandahålla information för forskningsändamål.

Jag lämnar nu autenticiteten i förhoppningen att övertygelsen om betydelsen är väl känd. Istället ska jag skriva om något som tilltar ännu mer i betydelse, nämligen möjligheten att reproducera information. Idag sammanställs den information som visas på skärmen från ett växande antal källor, olika tjänster och applikationer. För att kunna reproducera information såsom den såg ut vid ett visst givet tillfälle kommer att krävas allt mer avancerade funktioner av spårbarhet. Den som har följt ett it-avbrott på närmare håll vet att den inte enbart leder till tillgänglighetsproblem utan även till en rad andra negativa konsekvenser. En sådan är att man ofta får versionsproblem där blir svårt att säkerställa vilken den senaste versionen av olika informationstyper var. När fel version av en delmängd körs kan det skapa mycket stora problem där hela tilltron till informationslösningen kan gå om intet. En fatal variant är när information förlorats utan att det går att spåra att den försvunnit.

För att sammanfatta: jag kan inte se att det finns något stöd för att begreppen tillstånd respektive förmåga är etablerade som beskrivning för olika aspekter av informationssäkerhet utan snarare att egenskap skulle vara det mest använda internationellt begreppet vilket också används i ISO 27000. Det görs heller ingen hierarkisk skillnad mellan egenskaper av den typ som framgår i uppdelningen tillstånd/förmåga. För att försöka vara vitsig är det svårt att spåra var uppfattningen om tillstånd/förmåga har uppstått och på vilka grunder. CIA-triadens uppräkning av egenskaper är återkommande diskuterad och kan kompletteras vid behov även enligt ISO 27000 med till exempel spårbarhet. I detta sammanhang vill jag understryka att en portalprincip i ISO 27000 är att informationssäkerheten ska anpassas till verksamhetens behov, det är alltså inte standarden i sig som skapar låsningar. Om en uppfattning är att standarden inte kan anpassas till verksamhetens/samhällets behov menar jag att det gör det omöjligt att använda standarden som stöd för nationell (eller lokal) styrning av informationssäkerhet. Det finns ju liksom inget egenintresse i att följa en standard.

Det skulle behövas en riktigt djupborrande analys på flera nivåer av hanteringen av aspekten spårbarhet i Sverige. Jag när fortfarande ett hopp om att de som ger uttryck för starka åsikter gällande spårbarhet kan ta sig tiden att utveckla hur de tänker och inte bara konstatera sin uppfattning. Detta är inte bara en teoretisk tankelek utan frånvaron av spårbarhet eller motsvarande som styrmedel för informationssäkerheten får mycket allvarliga konsekvenser för bland annat hälso- och sjukvård men även för förmågan att upprätthålla kontinuitet, för dataskydd och för det långsiktiga bevarandet.

Ett särskilt problem ligger i att det inte går att ta del av vare sig de resonemang som ligger bakom olika ställningstaganden eller själva standardtexterna eftersom de inte fritt tillgängliga trots att de utgör underlag t.o.m. för föreskrifter. Denna bristande offentlighetsstruktur har jag skrivit ett annat blogginlägg om här. 

Ett typiskt tecken för en dogm är att bevarandet av dogmen är viktigare än de negativa konsekvenser dess tillämpning får. Jämför exempelvis med katolska kyrkans dogm att preventivmedel inte är tillåtna.  Dogmen är orubbad trots de uppenbara negativa konsekvenser detta får i form av könssjukdomar och oönskade graviditeter vilket i sin tur leder till illegala aborter med oerhört lidande och död. I fallet med katolska kyrkan går det ändå att se vem som har ansvar för dogmerna med de dödliga konsekvenserna men vem tar ansvar för dogmer inom informationssäkerhetsområdet och de eventuella konkreta följder de kan få? Informationssäkerhet är inte en religion och vi har inget stöd av högra makter (tror jag). Därför när jag en from förhoppning att vi gemensamt ska försöka eliminera de drag av dogmatism som ändå florerar. För att hantera de enorma säkerhetsutmaningar vi står inför har vi inte råd att bygga säkerhetsåtgärder på resonemang som inte tål att prövas utan vi kommer istället att behöva pröva våra intellekt till det yttersta för att åter och åter hitta de bästa lösningarna. Och vi måste inse att detta inte är teoretiska övningar utan de val vi gör leder till goda eller mindre goda resultat i praktiken och där det ligger ett stort ansvar på oss som arbetar med informationssäkerhet. Slutligen kan jag inte undgå att tycka att myndigheter inom informationssäkerhetsområdet är de som tillsammans med akademin måste ta ett särskilt ansvar för bryta ner dogmer och bygga kunskap som samhället kan använda.

Nu ser jag fram emot en mängd kloka motargument!

4 reaktioner på ”Spårbarhetens vara eller icke vara

    • Älskar verkligen din energi och engagemnag i frågan (och att ha fått en egen hypotes :))! Jag har dock, som du säkert förstår, vissa invändningar mot din argumentation.
      Om vi först går till det du kallar ”Fia-hypotesen”: Informationssäkerhet kan inte i de flesta fall existera utan att spårbarhet inkluderas som centralt begrepp och likställs med konfidentialitet, riktighet och tillgänglighet så ska det inte tolkas som att det i varje situation och för varje informationsmängd är nödvändigt. Snarare ser jag de olika säkerhetsaspekterna (som jag ofta väljer att kalla dem) som en slags instrument där man vid varje informationsklassning får fram ett ackord. I vissa fall är konfidentialitet den centrala tonen understödd av de övriga, i andra fall tillgänglighet. Undantagsvis, som exempelvis i en hel del verksamheter inom sjukvården, har man mycket höga krav på samtliga fyra säkerhetsaspekter: informationen måste vara omedelbart tillgänglig för rätt personer men samtidigt skyddas från obehörig åtkomst, den måste vara korrekt för att inte felaktiga behandlingar ska ske och det måste gå att se varifrån uppgift kommer (exempel av vem och hur ett blodtryck tagits.)

      Jag tror du missförstår mig om du tolkar det som att jag menar att det finns situationer där spårbarhet är den enda viktiga säkerhetsaspekten. Istället menar jag att den är en av fyra aspekter som måste vägas in i varje bedömning av vilka säkerhetsåtgärder som är nödvändiga/lämpliga på samma sätt som övriga tre.
      Därför blir din tolkning av mina exempel inte riktigt som jag avsett när jag skrev dem. När det gäller avtal menar jag definitivt inte så här: Kan det finnas behov av att hantera avtal utan att samtidigt ha behov av övriga begrepp? som du skriver. Generellt kan det definitivt finnas ett starkt behov av konfidentialitet och riktighet, aningen mindre av tillgänglighet (en verksamhet kan i allmänhet klara sig någon vecka utan tillgång till avtalen) men utöver detta finns också ett krav på spårbarhet som att veta vem som slutit avtalet, om förändringar avsiktligt eller oavsiktligt skett o.s.v..
      I fråga om dataskydd, d.v.s. skyddet av personuppgifter, där det ställs krav bland annat på att kunna lämna ut utdrag av personuppgiftsbehandlingar och att vissa fall kunna radera/ändra personuppgifter. För att kunna uppfylla detta krävs spårbarhet. Det är också i detta sammanhang som jag menar att det finns ett behov av ”negativ” spårbarhet, d.v.s. anonymisering eller att man på annat sätt gör det omöjligt att spåra vilka som deltagit i en aktivitet till exempel.
      Detta påverkar inte behovet av att även kunna ha god konfidentialitet, riktighet och tillgänglighet (riktighet kan dessutom ses som ett krav i dataskyddsförordningen.
      Jag går inte här inte igenom mina övriga exempel där det finns samma behov av att använda samtliga fyra aspekter men där man definitivt riskerar säkerhetsproblem om inte spårbarhet vägs in.
      När det kommer till åtgärder så kan man säga att det är en många till många -relation mellan åtgärder och säkerhetsaspekter, d.v.s. att vissa säkerhetsåtgärder som behörighetshantering är en typ av åtgärd som kan ge bättre skydd avseende konfidentalitet, riktighet och spårbarhet. På samma sätt finns många olika åtgärder som kan förbättra konfidentialitetet eller tillgänglighet. Däremot svarar exempelvis loggning i princip helt mot spårbarhet vilket gör begreppet mycket användbart för att fastställa behovet (jag är rätt för praktiska lösningar).
      Därför underkänner jag ditt underkännande eftersom jag aldrig hävdat det som konstituerar säkeraspekternas betydelse är huruvida de kan utgöra den enda grunden för bedömningen av säkerhetsbehov.

      Detta gör att jag även reser tvivel mot ditt slutargument mot att spårbarhet ska ses på samma nivå är att du ser att det finns situationer där du bara har behov av spårbarhet. För övriga tre säkerhetsaspekter menar du däremot att detta kan förekomma. Detta är inte ett korrekt och rimligt kriterium anser jag. För egen del har jag aldrig sett situationer med behov av endast en säkerhetsaspekt och finner det även rätt svårt att föreställa mig en situation utan några krav på att informationen skulle vara tillgänglig exempelvis. Då skulle man ju lika gärna kunna kasta informationen direkt… Vi kan nog inte fastställa så grundläggande kriterier med anekdotisk bevisföring och dessutom ser jag inte riktigt logiken i det 😊.

  1. Angående spårbarhet som enda viktiga säkerhetsaspekten så var det mer min konstruktion i ett försök att utreda dess ”viktighet”. Och givetvis kommer de olika aspekterna vara mer eller mindre viktiga, men sällan helt bortkopplade. Jag menade bara att illustrera att ibland är någon aspekt så överväldigande att de andra lite faller bort i skuggan av det primära ”behovet”.

    Och mitt användande av dina exempel var bara ett snabbt sätt att se om det kanske kunde vara lämpliga kandidater för att visa att spårbarhet skulle kunna vara det enda nödvändiga. Ungefär med samma resonemang om att spårbarhet nästan alltid behöver beaktas skulle vi kunna säga samma sak för autentisering eller auktorisation, eller hur? Och eftersom du alltid kommer behöva beakta behoven av autentisering/auktorisation kanske vi även måste inkludera dessa som säkerhetsaspekter?

    Ahh, dataskydd som en fråga om skydd av personuppgifter genom dataskyddsförordningen, då är jag med. Jag tolkade dataskydd som det bredare skyddet av data, oaktat om de faller under dataskyddsförordningen eller inte.

    Det problem jag tycker vi öppnar upp för att beakta spårbarhet som så pass viktig och inkluderas i den heliga triaden är att vi då också bör göra diskussionen bredare och även exempelvis inkludera autentisering, auktorisation, oavvislighet, utilitet osv.

    Min största oro är att detta, som jag också skrev i inlägget, leder till en prioritering av semantik över praktik. Vi kanske borde gå helt ifrån begreppen konfidentialitet, riktighet och tillgänglighet. Istället börja prata om behovet av skydd som ett resultat av värdet på informationen/data/systemet/funktionen. Värdet skulle kunna vara någon slags beräkning av utiliteten eller hur vi nu väljer att göra det. Precis som ”höga” krav på konfidentialitet, eller ”mellan” krav på riktighet skulle vi istället kunna sammanföra dessa till ETT behov, ”höga” behov av skydd.

    Oavsett hur vi väljer att kategorisera och debattera skillnaderna mellan aspekt, åtgärd osv kvarstår det faktum att vi behöver analysera behoven för varje given mängd information, varje system, varje funktion eller vad som ni råkar vara analysobjektet. Vi får inga svar av att säga ”höga” krav på spårbarhet eller ”höga” krav av konfidentialitet. Går det att bestämma den exakta innebörden av ”höga” så pass generaliserat att vi kan tillämpa det på alla mängder information, data, system? Jag är tveksam.

    Men nu glider jag ifrån ämnet, ursäkta… 🙂

    Angående anekdotisk bevisföring… nej, det är kanske inte helt lämpligt. Däremot om vi kunde enas om vilka observationer som är lämpliga att använda som grund för att resonera om det generella kanske vi kunde förflytta från subjektiva och anekdotiska ”bevis” till en mer rigorös process. Hur som helst. Väl mött! 🙂

    • Nu håller jag nästan helt och hållet med dig! Min poäng var ju egentligen att lämna dogmerna därhän och försöka hitta det som ger de konkreta säkerhetsåtgärder som vi så väl behöver och där kan inte heller semantik få stå i vägen. Jag är helt öppen för att pröva autencitet, oavvislighet o.s.v. också – det som vi ser behövs bör också introduceras. Som jag ser det är vi helt fria att välja det som är funktionellt och att då hänga fast vid icke-funktionell metodik utan att kunna redovisa varför är ett klart riskbeteende i mina ögon. Tack för bra diskussion!

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *