Krönika av 
Fia Ewald

Myndigheter som DIGG måste sluta fega ur och ta sitt ansvar

Det nationella informationssäkerhetsarbetet kännetecknas alltför ofta av byråkratiska aktiviteter vars säkerhetshöjande effekt kan ifrågasättas och som är till föga hjälp för alla de kommuner, regioner och myndigheter som behöver stöd. 

Trots att det finns ett antal skolor i varenda kommun finns det inga gemensamma säkerhetsregler för hur skolplattformar ska utformas. 
Trots att det finns ett antal skolor i varenda kommun finns det inga gemensamma säkerhetsregler för hur skolplattformar ska utformas.  Foto: Janerik Henriksson/TT
Detta är en opinionsartikel som speglar skribentens åsikter.

Informationssäkerhet (numera ofta med den sexigare benämningen cybersäkerhet) finns på de flesta organisationers agendor i dag, inte minst på grund av alla krav som ställs på dem.

Säkerheten är ett samhällsintresse

Informationssäkerhetsarbetet måste bedrivas i tusentals kommuner, regioner, myndigheter och företag. Eftersom vi lever i en allt högre grad av sammanbunden informationsinfrastruktur måste informationssäkerheten utformas med likartade premisser. I annat fall kommer undermålig säkerhet i en organisation att skapa risker även hos andra och samtidigt underminera deras säkerhetsinvesteringar.

Under de senaste åren har huvudintresset i sann NPM-anda främst legat på att ställa krav på rapportering med luftigt syfte.

Den gemensamma säkerheten är ett samhällsintresse som dessutom starkt påverkar de enskilda organisationernas ekonomi. Informationssäkerhet är en omfattande uppgift som kräver resurser, resurser som ytterst behöver tas från kärnverksamheten. Ett tungt ansvar åvilar därför myndigheter med särskilt ansvar för informationssäkerhetsarbetet att ta fram stöd som effektivt hjälper samhällsaktörerna att vidta rätt säkerhetsåtgärder.

Byråkrati snarare än effekt

Tyvärr är det inte så det nationella informationssäkerhetsarbetet i dag är utformat. Istället kännetecknas det alltför ofta av byråkratiska aktiviteter vars säkerhetshöjande effekt kan ifrågasättas för att inte tala om svårigheten i att utvärdera dem. Området har blivit ett isolat som inte utsätts för en välbehövlig och kvalitetshöjande granskning.

Kanske är det också den ansvarsprincip som nu till slut hamnat under luppen som lett till att de stora samordningsvinster som finns inte utnyttjas.

Stort ansvar, inga resurser

Låt oss ta exemplet med kommunerna. De lider av den svåra kombinationen att dels ansvara för en stor del av samhällets verksamheter som är helt beroende av en säker informationshantering, dels ofta sakna resurser i form av pengar och nödvändig kompetens. Samtidigt finns den stora fördelen att samtliga 290 kommuner har samma uppdrag oavsett storlek. Möjligheten att ta reda på hur informationshanteringen ser ut i typfallen samt vilka säkerhetsåtgärder som alla har behov av är därför mycket goda.

Skulle man fråga kommunala företrädare, vilket jag gjort, vad de vill ha så är det återkommande svaret att de vill veta vad de ska göra på en konkret nivå och att de får fortlöpande uppdateringar så de vet att de är rätt ute. Tid och resurser saknas för pseudo-akademiska diskussioner.

Inga gemensamma krav för skolplattformar

Detta önskemål har inte hörsammats. Trots att det finns ett antal skolor i varenda kommun finns det inga gemensamma säkerhetsregler för hur skolplattformar ska utformas. Varje huvudman förväntas själv informationsklassa och ta fram sina egna säkerhetskrav.

Att resultatet av dessa övningar lämnar en hel del att önska är en smärtsam upplevelse i många kommuner men det kostar också stora pengar att genomföra informationsklassningar på exakt samma information på hundratals ställen.

Rapportering med luftigt syfte

Vad som erbjuds i form av stöd är alltså inte konkreta rekommendationer utan olika former av metoder som varje skolhuvudman anses ha kompetens att tillämpa på ett enhetligt sätt. Bekvämt för de centrala myndigheterna, javisst. De slipper dels ta fram och förvalta batterier av säkerhetsåtgärder, dels ta ansvar för den säkerhet som faktiskt praktiseras. Under de senaste åren har huvudintresset i sann NPM-anda främst legat på att ställa krav på rapportering med luftigt syfte. Tidskrävande men knappast särskilt säkerhetshöjande.

Fakta

Fia Ewald är informationssäkerhetsexpert, konsult, tidigare tidigare chef för MSB:s enhet för systematisk informationssäkerhet samt fristående gästkrönikör i Altinget.

Tidigare krönikor

- Röj bort grogrunden för korruption inom SKR

Limbo i molnet – nu behövs krisinsikt hos myndigheterna

 

Mönstret går igen även när det gäller de stora åtaganden inom digitalisering på nationell nivå som bland annat Myndigheten för digital förvaltning (DIGG) har. Det pekas ut att det behövs säkerhet och integritet, det jobbas på enskilda delar som säker kommunikation, men den enskilda myndighet som vill ha en inriktning för sitt säkerhetsarbete går lottlös från DIGG. Inte ens för de för samhället mest angelägna verksamheter som hälso- och sjukvård finns det tydliga gemensamma säkerhetsstrukturer.

Ansvariga myndigheter måste ta sitt ansvar

I ljuset av denna situation bör de myndigheter som har uppdrag, resurser och möjlighet att anskaffa spetskompetens sluta fega ur och i stället ta sitt ansvar. Sluta kräva ständiga inrapporteringar, dela ut flummiga verktyg och i stället börja arbeta strategiskt med att ta fram en nationell säkerhetsarkitektur.

Parallellt måste även ett arbete med att skapa och underhålla gemensamma skyddsnivåer inledas. I annat fall kommer informationssäkerhetsarbetet i offentlig sektor fortsätta dränera verksamheterna på skattepengar utan att säkerheten blir märkbart bättre. 


Politik på allvar

Få GRATIS nyheter och en daglig politisk överblick från Altinget