Sedan jag skrev mitt förra blogginlägg där jag förordade att vi borde införa en starkare gemensam styrning av informationssäkerheten bland annat i form av gemensamma skyddsnivåer samt t.o.m. ett gemensamt ledningssystem har jag flera gånger fått frågan ”har du kollat på KLASSA?”. Svaret är ja, det har jag och till och med skrivit på bloggen här . Sedan dess har det skett en viss uppdatering men som jag ser det så kvarstår de huvudproblem som jag skrev om i det tidigare inlägget. Att man dessutom tagit bort spårbarhet som en bedömning i klassningen gör ju inte saken direkt bättre (vilket också ett antal personer verksamma i landsting och kommuner upprört framfört till mig).
De mest övergripande invändningarna jag hade var att verktyget bygger på att man klassar system, inte information, och att säkerhetskraven är alldeles för glesa. Detta kan menar jag leda till att man snarast skapar säkerhetsproblem än förebygger dem eftersom en organisation kan bli invaggad i en falsk trygghet av att ha vidtagit åtgärder när de i själva verket är otillräckliga. Dessutom stöds samma aktivitet ofta av samma eller snarlik information på olika bärare som i detta exempel från en tämligen harmlös anställningsaktivitet direkt hämtad från verkligheten:
Om man då fragmentiserar klassandet till att endast omfatta informationen då den exempelvis befinner sig i rekryteringsverktyget missar man ju att skydda samma information då den förekommer i andra sammanhang. Ju fler olika typer av tjänster och bärare som används desto viktigare blir det att ha kontroll över informationen oavsett var den befinner sig. Med tanke på att verktyget är framtaget för kommunal verksamhet blir man litet brydd i detta hänseende när man tänker på vissa av de mest känsliga verksamheterna. Ta till exempel överförmyndarna där konfidentialitet, riktighet och spårbarhet är oerhört viktiga för att verksamheten ska kunna bedrivas. Överförmyndarnas informationshantering sker i en komplex mosaik av bland annat enskilda beslutssystem, lagringsytor, papper och mail. I detta sammanhang är det självklart helt otillräckligt att bara genomföra en systemklassning av ett ärendehanteringssystem.
Man skulle kunna invända att överförmyndarna är en liten och unik verksamhet med specifika krav där man inte kan förvänta sig att generella metoder ska kunna fungera. Visserligen svarar jag men i grunden gäller detta för de flesta verksamheter inom en kommun eller landsting eller t.o.m. med en statlig verksamhet oavsett omfattning. Kraven på säkerhet ligger på alla de bärare, inte bara det som en händelse definieras som ett ”system” (vilket dessutom är alltmer oklar definition sett till dagens tekniska utveckling). Återigen vill jag propagera för att istället se det som att system och tjänster ska certifieras för att klara vissa skyddsnivåer – inte klassas.
Bortsett från kvaliteten på metoden för klassningen funderar jag över det i mitt tycke oproportionerliga intresse som finns för klassning och incidenthantering. Samt att detta intresse tar sig uttryck i att klassning respektive incidenthantering ses som fristående aktiviteter och inte som delar i en större helhet.
Det fragmentiserade synsättet går igen i de metoder som presenteras. Den bärande idéen är att varje organisation med egna resurser och egna värderingar ska styra informationssäkerheten i den egna verksamheten. Detta menar jag är ett mer och mer verklighetsfrämmande paradigm i en värld där vi i allt högre grad delar information mellan organisationer samt mellan organisationer och individer. I ett digitalt tjänstesamhälle är det inte den interna säkerheten i den enskilda organisationen som är det mest centrala utan den gemensamma infrastrukturens säkerhet. Det är ungefär som att i vägtrafiken låta varje transportföretag men även varje individ ta fram sina egna regler och tillämpa dem på de gemensamma vägarna. Det är klart att man genom frivilliga samordnande insatser och tillsyn skulle uppnå en viss effekt men jag tror de flesta skulle uppfatta det som ett absurt och närmast nihilistiskt trafikpolitiskt förslag. När det gäller säkerheten i den digitala infrastrukturen är fortfarande en dominerande uppfattning.
I det tidigare blogginlägget om KLASSA ställde jag upp sex krav på en fungerande metod för informationsklassning. Omättligt krävande som jag är vill jag nu lägga till två ytterligare.
För det första måste metoden vara tillämplig även i ett större sammanhang än i en enskild organisations användning av ett system.
För det andra ingå i en större helhet av systematiskt informationssäkerhetsarbete – att klassa information utan relation till det kretslopp av övriga säkerhetsaktiviteter som riskanalys, incidenthantering, kontinuitetshantering, ansvarsfördelning och uppföljning är inte effektivt säkerhetshöjande. Särskilt inte om skyddsnivåerna har stora brister. Informationsklassning är helt enkelt inte sååå viktig i sig.
Men inte ens då tror jag att detta är en särskilt bra väg att gå. Det inte alldeles enkelt att utföra klassning på ett välavvägt sätt ens med stöd av en bra metod. Vad som krävs är erfarenhet och kompetens inom informationshantering och risker samt förståelse för hur organisationer fungerar. Att klassa information är inte att som professor Balthazar stoppa in information i ett rör på en informationsklassningsmaskin och med automatik få ut en färdig klassning. Därför är det inte en metod där olika organisationer förväntas göra sina egna klassningar en lösning på det mycket stora kompetensunderskottet – kompetensen behövs ändå. Och om alla gör sina egna bedömningar i en gemensam struktur kan man fråga sig vad som blir resultatet. En god gissning är att den lägsta nivån blir trendsättande inte minst eftersom om en part har en låg nivå på sina säkerhetsåtgärder riskerar det övriga aktörers säkerhet. Den som har gjort en större investering riskerar att få denna investering underminerad av den som väljer en lägre nivå – ekonomin i att ändå välja den högre nivån kan starkt ifrågasättas. Att klassa information är varken så enkelt eller så viktigt som enstaka aktivitet som man ibland vill ge sken av.
Sammantaget vill jag därmed propagera för en mycket starkare styrning av processer, informationshantering och informationssäkerhet där den gemensamma grunden inte är optional. Vi måste lämna det föråldrade synsättet där ”system” sätts i centrum och istället inse att det är en informationsinfrastruktur som måste hanteras med vederbörlig respekt och med styrande säkerhetsregler. Kanske har vi förlorat ett decennium av möjligheter att skapa en gemensam informationssäkerhet genom att låta en slavisk tolkning av ISO 27000 kombineras med en flummig samordningstanke. Det räcker inte med lösryckta initiativ kring olika aktiviteter som klassning utan vi måste se att ett systematiskt informationssäkerhetsarbete bygger på en samverkande helhet av säkerhetsåtgärder.