Svensk offentlig verksamhet har varit invaderad av New Public Management (NPM) sedan mitten av 90-talet. Ursprunget är tanken att offentlig verksamhet i ska försöka efterlikna privata företag i sin organisation och i sina metoder eftersom privat verksamhet i denna teori per definition är "effektiva". Av någon anledning har detta utvecklats till arbetssätt som är så byråkratiska och tungrodda att inget vinstdrivande företag någonsin skulle använda dem. Det handlar om överdokumentation, ständiga inrapporteringar, mätningar och skapandet av falska interna marknader. NPM har blivit en bastard som inte liknar någon av sina upphovsmän, varken offentlig eller privat verksamhet.

Trots det har modellen anammats i myndigheter av olika typ. I svensk offentlig sektor mäts det, dokumenteras och rapporteras som aldrig förr. Om man läser utredningar och strategier från regeringen som ska lösa samtidens problem så består åtgärderna i hög grad av nya dokumentations- och inrapporteringskrav se exempelvis den sprillans nya AI-strategin. Istället för att göra kvalitativa undersökningar av olika fenomen genom att skicka ut fem kvalificerade forskare som på djupet undersöker något görs massutskick av enkäter och formulär till alla myndigheter (ibland även företag). Kvaliteten på svaren i dessa self assesments kan på goda grunder ifrågasättas.

Mätsjukan har även drabbat informationssäkerhetsområdet vilket jag skrev om 2022, ett par år efter att MSB av regeringen fått uppdraget att ta fram en struktur för uppföljning av det systematiska informationssäkerhetsarbetet i den offentliga
förvaltningen. Då drog man igång Infosäkkollen som jag hade synpunkter på i länkat blogginlägg. Vad är det egentligen man mäter och vad är det för metod man använder för att sammanfatta plus att det nog finns bättre sätt att jobba på om man vill höja säkerheten.

Nu, 4 år efter mitt tidigare inspel, har mätandet expanderat ännu mer och riktats om mot "cybersäkerhet". Man kan på MCF:s webbplats läsa:

Genom att samhällets alla organisationer förbättrar sitt systematiska och riskbaserade cybersäkerhetsarbete kan de öka sin motståndskraft och stå emot och bemöta cyberangrepp och andra orsaker till cyberincidenter, samt bidra till att stärka Sveriges civila försvar på cybersäkerhetsområdet.

Cybersäkerhetskollen är samlingsnamnet för våra cybersäkerhetsmätningar och har sitt ursprung i fyra regeringsuppdrag.

Här ingår:

Infosäkkollen

It-säkkollen

Ot-säkkollen

Leveranskedjekollen

Cybersäkerhetskollen är ett verktyg till nytta för alla organisationer i samhället, men riktar sig i första hand till alla offentliga organisationer och företag som omfattas av cybersäkerhetslagen (verksamhetsutövare). Alla typer av organisationer rekommenderas att använda verktyget och rapportera in sina resultat.

Jag ska inte älta min stora tveksamhet inför att begreppet cybersäkerhet ses som överordnat trots att det definitivt inte täcker alla delar av informationssäkerheten. Inte heller ska jag utgjuta mig över att MCF har en definition av "cybersäkerhet" men inte av "informationssäkerhet". Jag nöjer mig med att konstatera att det är märkligt och avser att återkomma till saken. Min kritik mot syfte, metod och omfattning kvarstår.

Låt oss istället titta på vad som blivit resultatet av alla de myndighetstimmar som lagts ner på den här mycket komplicerade enkäten. Som så ofta blir den här typen av verktyg lätt narcissistiska och kommer att i alltför hög grad om att beskriva själva deltagandet i mätningen, dett på höjden och på bredden. Jag har överseende med detta för det ÄR roligt att ha ett stort material att kunna göra olika diagram med men det skymmer sikten för det som faktiskt kan sägas om rådande nivå av cyber- alt informationssäkerhet. Jag är ledsen att säga att det gjort rapporten ganska oläsbar för den som snabbt vill ha en överblick över läget. I förordet konstateras aningen lakoniskt:

Resultatet i Cybersäkerhetskollen 2025 visar återigen på allvarliga brister i nivån på det systematiska cybersäkerhetsarbetet hos offentlig förvaltning. I förhållande till 2024 års mätning har inga märkbara resultatförbättringar skett. Tyvärr är det också fortfarande alldeles för få NIS-leverantörer som deltar. Myndigheten för civilt försvar kan därför inte ta fram en samlad bedömning över det systematiska cybersäkerhetsarbetet hos samhällsviktiga verksamheter.

Egentligen räcker detta dystra budskap som sammanfattning och man kan inte låta bli att undra varför cyber- och informationssäkerhet tycks ha fastnat på en bristfällig nivå även i samhällsviktiga verksamheter. Tydligen har de mycket stora medel som satsat på området sett i detta perspektiv varit tämligen bortkastade (även om vi naturligtvis inte har en kontrafaktisk sanning om vad som skulle hänt om MSB INTE fått alla miljoner årligen för att förbättra cyber- och informationssäkerheten).

Litet tankeväckande är det att den typ av verksamhet (statliga myndigheter) som har föreskriftskrav på sig att bedriva ett systematiskt informationssäkerhetsarbete är de som är minst intresserade av att delta i Infosäkkollen:

I förhållande till sin aktörsgrupp har regionerna deltagit i störst utsträckning (62 procent), följt av kommuner (60 procent) och slutligen myndigheter (54 procent)

Min tolkning är att det saknas något i dialogen mellan MSB/MCF som gör att myndigheterna inte finner det tillräckligt meningsfullt att delta i enkäten. Viss förståelse har jag för detta eftersom det är svårt att se något påtagligt resultat av tidigare "kollar" i MSB/MCF:s verksamhet. Kanske beror det på att frågorna i enkäten ger så diffusa svar att det är svårt att koppla dem till konkreta åtgärder eller så ser MCF inte det som sitt ansvar att stödja myndigheterna till bättre resultat.

Jag tycker det här är ett genomgående problem i svensk förvaltningsstyrning, att ansvariga myndigheter inte törs ge förslag på konkreta åtgärder eftersom det finns en rädsla för att ta ansvar och för att möjligen ha fel. Det är mycket lättare att uttrycka sig i generella och abstrakta termer istället för att antingen tala om HUR man ska göra eller att ge ett samordnat stöd så att inte varje verksamhet måste börja från ett blankt papper.

Jag tycker inte att det ger lika mycket att fråga 500 verksamheter om de har kontroll över sina leverantörskedjor som att beskriva HUR de ska göra för att få det. Ännu hellre utnyttja de ramavtal som faktiskt begränsar vilka leverantörer offentlig verksamhet kan använda och göra EN beskrivning av respektive avtals leverantörskedja som alla myndigheter kan använda? Eller som jag försökte genomföra när jag jobbade på MSB: ta fram generiska processkartläggningar och informationsklassningar för identiska verksamheter. Osv, osv...

Om man vill granska verksamheters nivå av cyber- och informationssäkerhet betvivlar jag starkt att kvantitativa metoder med self assessment är det mest effektiva sättet. Däremot är det med säkerhet det mest resurskrävande. När nu MSB/MCF genomfört sin fjärde koll med dåligt resultat både vad gäller resultatförbättring och rapportens utformning så är det kanske dags att ta ett omtag. Mitt förslag är att lämna de kvantitativa metoderna och testa mer kvalitativa vilket också skulle lämna mer utrymme för verksamheterna att prioritera åtgärder istället för rapportering.

Ett förslag är att låta forskare göra ett antal djupstudier som även innehåller input från verksamheterna om vad de skulle behöva för att förbättra sin säkerhetsnivå. Med tanke på de nya föreskrifter som MCF har ute på remiss och som, om de går igenom, kommer att innebära avsevärt mycket större arbetsinsatser för myndigheter och företag finns det all anledning att prioritera och avlasta viktig verksamhet från mindre viktiga uppgifter.