Politiker måste sluta lyssna på företagens förföriska sirensång
När företag lovar guld och gröna skogar gör man rätt att se upp. När tjänstemän och politiker följer digitaliseringsivrare blint – utan att säkerställa korrekt säkerhet – blir man inte förvånad när haverier likt Tietoevrys sker, skriver Fia Ewald.
Fia Ewald
InformationssäkerhetsexpertSverige genomlever konsekvenserna efter några av de mest allvarliga it-incidenterna på nationell nivå som inträffat. Jag tänker främst på Tietoevry-incidenten som fortfarande pågår och vars totala verkan ännu inte går att överblicka.
Trots att många säger sig ha fått någon slags insikt av vårt samhälles sårbarhet efter den senaste incidenten så är erfarenheten att dessa insikter har en mycket kort livstid. Snart är de tråkiga säkerhetsfrågorna bortglömda och den vingliga it-utvecklingen fortsätter som förut.
Okritiska digitaliseringsivrare
Den offentliga diskussionen rörande samhällets digitalisering tycks efter incidenten ha rört sig i två parallella spår utan kontakt sinsemellan. Medan vi är många som inte är förvånade men starkt bekymrade efter Tietoevrys haveri så tycks en nästan orkestrerad mobilisering av okritiska digitaliseringsivrare ske, och då inte minst kring den senaste hypen ”AI”. I Atea AB:s publikation (Atea som enligt sig själva har ”ett ömsesidigt strategiskt partnerskap med Microsoft” och sannolikt är den störste leverantören av it och konsulttjänster till offentlig sektor) Voister slår Ineras nye vd fast att ”vi ska försöka att inte tänka riskreducerande utan möjlighetsoptimerande”.
Vi:et får antas inkludera Inera som redan i dag hanterar patientuppgifter för svenska folket i ett antal tjänster, ett åtagande som man dessutom hyser en stark önskan att utvidga ytterligare. Att i detta sammanhang inte tänka riskreducerande eller ännu hellre aktivt arbeta för att minska risken för situationer som kommuner och vården redan genomgått i samband med Tietoevry med mera framstår som fullständigt oseriöst.
Vården har haft nog med beta-tester
Ett annat exempel är två akademiker som tycker att man ska börja införa avancerade lösningar i skarp drift utan pilot. Här framställs det som piloter genomförs för att testa en generell lösning inför ett massinförande men i verkligheten handlar piloter i huvudsak om att se hur en lösning fungerar när den integreras i en specifik miljö. Tyvärr har inte minst vården en lång, tråkig historia av att göra precis så som artikelförfattarna föreslår, att testa it-lösningar i skarp drift vilket alltför ofta lett till stora säkerhetsproblem.
Men kan vi verkligen acceptera aktörer med sådana brister i sina moraliska ställningstaganden?
Till detta kan läggas ett antal större AI-, it- och digitaliseringsprojekt som utlovat stora ekonomiska vinster, eller bot, på arbetskraftsbrist och högre kvalitet för en billig peng. Men när jag frågat hur de beräknat kostnader för säkerheten meddelat att de inte tagit med den. Den kan man ju alltid räkna ut i efterhand…
I detta ensidiga perspektiv uppstår den moraliska frågan om man har rätt att välja bort väsentliga perspektiv för att trumfa sin sak om man arbetar i offentlig sektor alternativt anser sig kunna ge råd till samma sektor? Att man kan det nu är uppenbart eftersom ansvarsutkrävandet är obefintligt i dessa frågor. Många av de mest ivrigt enögda kan stå som influencers på läktaren och ropa fram krav om allt snabbare utveckling utan hämskor men vilket ansvar tar man för konsekvenserna av ett omoget genomförande utan säkerhet? Ser man sig omkring har det hittills varit gratis även för tjänstemän och politiker att anlägga stora pengabrasor. Men kan vi verkligen acceptera aktörer med sådana brister i sina moraliska ställningstaganden?
Ingen grubblar över neutraliteten
När Microsoft i januari anordnande en stor konferensbaluns med det pompösa namnet AI i nationens intresse var den välbesökt inte bara av en minister utan även ett stort antal myndighetsrepresentanter. Temat är per definition i linje Microsofts affärsintressen vilket inte tycks ha bekommit de medverkande utan i den mångröstade kören av referat på Linkedin framgår det vilken lyckad marknadsföringsinsats detta var mot offentlig sektor. Ingen tycks ha grubblat över att framträda på en plattform erbjuden av ett företag med närmast monopol på vissa tjänster använda i offentlig sektor utan tycks se detta som något helt neutralt.
Detta även om programbeskrivningen tydligt visar vad Microsoft vill uppnå lika bra som vilken säljannons som helst:
”AI i nationens intresse är mötesplatsen för dig som vill veta mer om hur AI kan implementeras och accelerera din verksamhet. Med utgångspunkt i erfarenheter från svenska och internationella AI-pionjärer diskuterar vi hur effektiv, säker och ansvarsfull användning av artificiell intelligens och molntjänster kan bidra till ett mer konkurrenskraftigt Sverige och hur Sverige kan bli ett föregångsland inom AI.
Konferensen syftar till att föra samman olika branscher, offentlig sektor, den akademiska världen och beslutsfattare för att dela insikter och erfarenheter och lära av varandra.
Särskilt fokus kommer vara på att lyfta fram goda exempel samt de allra senaste användningsfallen av AI i Sverige.”
Inte bara Ryssland som trycker på
Jag tror medvetenhet om vilken roll man spelar skulle vara mer uppenbar om man lånade ut sitt namn och sin titel i en annons för stödstrumpor. När det gäller it är offentliga tjänstemän märkligt aningslösa i förhållande till storbolagen vilket blir särskilt oroande med tanke på att Transparency Internationals årliga korruptionsindex visar en ständigt sjunkande kurva för Sverige. Kanske en kortare utbildning i att påverkanskampanjer inte bara kommer från ryssen utan att källkritik även bör tillämpas i förhållande till säljbudskap vore på sin plats? Osökt kommer jag att tänka på uttrycket ”armlängds avstånd” och att detta borde ses som måttstocken när offentliga tjänstemän umgås med leverantörer.
De två spåren måste alltså sammanföras: mer teknisk utveckling men också en robust säkerhet.
Min slutsats är att det behövs noggrann uppföljning och ansvarsutkrävande inte bara av tjänstemän utan även av politiker för att säkerhet inte bara ska ses som en fernissa. Ska samhället klara kommande incidenter i en alltmer integrerad infrastruktur måste grundläggande säkerhet ses som en nödvändig komponent som inte kan levereras av ett företag. De två spåren måste alltså sammanföras: mer teknisk utveckling men också en robust säkerhet. Väljer man att se endast den ena aspekten menar jag att man diskvalificerar sig som seriös aktör.
Offentlig sektor måste lära sig klara det digitala marshmallow-testet och stå emot lockelsen av snabba ogenomtänkta lösningar utan tillräcklig säkerhet hur förföriskt vackert än sirenkören av dåliga rådgivare från leverantörs- och influencerleden sjunger. Alldeles särskilt förväntar jag mig att ledande politiker och tjänstemän återgår till att förstå att för att undvika korruption och olämplig påverkan så måste man inse att myndigheter och leverantörer inte har exakt samma intresse.
I väntan på att detta ska bli verklighet har jag bara en enda liten önskan till alla innovatörer: en AI-modell som kan avslöja AI-påståenden som saknar grund och som lämnar en rapport efter varje konferens.
Fia Ewald är informationssäkerhetsexpert, konsult, tidigare chef för MSB:s enhet för systematisk informationssäkerhet samt fristående gästkrönikör i Altinget.
Tidigare krönikor
- Konsulterna har samhället i sin hand
- Säkerhetsskyddet måste återgå till att vara ett undantag
- EU-förslaget leder tankarna i en dystopisk riktning
- Omprövning av kommunernas heliga självstyre kan stoppa den skenande byråkratin
- Grattis och glöm inte ert uppdrag, Integritetsskyddsmyndigheten
- Politisera digitaliseringen!
- Allvarligt om statsministern kände till ålskandalen
- Digitaliseringen är död! Leve digitaliseringen!
- Repressivt tjänstemannaansvar är inte lösningen
- Digitaliseringen riskerar göra biblioteken till torftiga Netflix för böcker
- Regeringen borde ha panikångest över SKR:s brist på insyn
- ”Digitalisering” är inte digitalisering om bara en mindre grupp människor styr
- SKR:s makt över det offentliga måste vädras i valrörelsen
- Myndigheter som DIGG måste sluta fega ur och ta sitt ansvar