Att svära i kyrkan
I mina funderingar om en tänkbar nationell styrmodell för informationssäkerhet slås jag av vilket i mitt tycke oproportionerligt intresse incidentrapportering fått som säkerhetsåtgärd.
För att ge en snabb bild av nuläget så har MSB sedan snart två år en särskild föreskrift angående obligatorisk it-incidentrapportering för statliga myndigheter. Till detta kommer dataskyddsförordningens krav och förslaget på NIS-direktivets tillämpning i Sverige som båda framför starka krav på incidentrapportering. Dataskyddsförordningen kommer att träda i kraft i maj 2018, samma månad som även utredningens förslag rörande NIS-direktivet sannolikt kommer att sjösättas.
MSB:s incidentrapportering är alltså inriktad enbart på statliga myndigheter och gäller uttryckligen endast it-incidenter. MSB:s definition handlar inte om störning på verksamhetens processer utan vilken typ av, framförallt teknisk, orsak som lett till störningen samt i vissa fall konsekvenser för informationshantering:
-
störning i mjuk- eller hårdvara,
-
störning i driftmiljö,
-
informationsförlust eller informationsläckage,
-
informationsförvanskning,
-
hindrad tillgång till information,
-
säkerhetsbrist i en produkt,
-
angrepp,
-
handhavandefel
-
oönskad eller oplanerad störning i kritisk infrastruktur, eller
-
annan plötslig oförutsedd händelse som lett till skada (3 §).
Det är alltså ett tämligen icke-stringent incidentbegrepp (lägg märke till att begreppet ”plötslig” överraskande kommer in under punkt 10) som används. Att notera är också att bristande spårbarhet inte nämns som en incidenttyp.
Dataskyddsförordningen, som i princip kommer att gälla i alla offentliga och privata organisationer som hanterar personuppgifter, har ett incidentbegrepp som är helt inriktat på personuppgifter:
personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,
Det är framför allt obehörig åtkomst (konfidentialitet) men även förlust eller förvanskning (riktighet) av personuppgifter som ska ses som incidenter i detta perspektiv. Det bör dock understrykas att för att kunna efterleva dataskyddsförordningens övriga krav är både positiv och negativ spårbarhet en central faktor. Däremot kan en personuppgiftsincident lika gärna ske i icke-digitala som digitala medier – det är alltså inte enbart it-incidenter som är aktuella (vilket särskilt bör beaktas med tanke på att den s.k. missbruksregeln i PuL försvinner).
I författningsförslaget gällande NIS-direktivet slutligen är definitionen av incident:
incident: en händelse med en faktisk negativ inverkan på säkerheten i nätverk eller informationssystem
Precis som i MSB:s och Dataskyddsförordningens definitioner lyser verksamhetspåverkan med sin frånvaro, det är nätverken och informationssystemen som är objektet för regleringen som gäller både offentliga och privata aktörer i följande samhällsviktiga branscher:
- Energi (elektricitet, olja, gas)
- Transporter (lufttransporter, järnvägstransporter, sjöfart, vägtransport)
- Bankverksamhet
- Finansmarknadsinfrastruktur
- Hälso- och sjukvård (hälso- och sjukvårdsmiljöer [inklusive sjukhus och privata kliniker])
- Leverans och distribution av dricksvatten
- Digital infrastruktur
En självklar fråga är om den bristande samordning som av de tre olika regleringarna är acceptabel. Det förefaller inte finnas några planer för att förenkla för de som kommer att behöva rapportera samma incident i två eller i värsta fall tre olika stuprör. Gissningsvis måste MSB:s befintliga inrapportering och den som följer av NIS samordnas eftersom de båda ska ske i MSB:s regi men då kvarstår ändå personuppgiftsincidenterna. Och i författningsförslaget för NIS-direktivet finns det en antydan om att är bra om tillsynsmyndigheterna samarbetar:
med Datainspektionen när den handlägger incidenter som medfört personuppgiftsincidenter och innan ett åtgärdsföreläggande meddelas,
så det finns kanske hopp om en praktisk samverkan.
Jag ska inte fördjupa mig ytterligare i samordningsproblemen även om de är nog så intressanta för alla som kommer att drabbas av dem. Istället tänker jag svära litet i den nationella säkerhetskyrkan och ifrågasätta om det verkligen är rimligt att satsa så mycket intresse och resurser på just incidentrapportering. Man kan göra den inte helt rimliga analogin till en enskild organisation som ska förbättra sin informationssäkerhet och då satsar större delen av sitt krut på incidentrapportering – skulle vi då tycka att det är en ändamålsenlig satsning? Den kritiske kan här invända att författningsförslaget för informationssäkerhet i samhällsviktiga och digitala tjänster innehåller litet vaga krav på säkerhetsåtgärder:
14 § Leverantörer av digitala tjänster ska utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster inom unionen. Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning och 5. efterlevnad av internationella standarder.
Samt även ett system för tillsyn med ett antal tillsynsmyndigheter (varav ett par redan tackat nej till uppdraget i sina remissvar). Huvudpunkten är ändå incidentrapportering vill jag hävda. Är detta då den mest effektiva åtgärden för att förbättra säkerheten?
Låt oss då först titta på syftet med incidentrapportering. I en organisation är incidentrapportering inte en lösryckt aktivitet utan del i en incidenthantering där den fyller flera olika syften:
- Initiera akut felavhjälpning
- Inleda återställelsearbete (kontinuitetshantering)
- Ge underlag för långsiktig förbättring
- Rapportering internt och externt
- Indirekt: försörja riskanalys och informationssäkerhetsarbetet i stort
Behovet av informationskvalitet i rapporteringen är olika för de olika syftena. För att inleda akut felavhjälpning krävs mycket snabb kommunikation, däremot kan inte den som anmäler felet förväntas kunna redogöra för orsaken. För att inleda kontinuitetshanteringen måste en koppling kunna göras mellan de drabbade informationsbärarna och verksamhetsprocesser för att rätt prioriteringar av återställelse respektive reservrutiner ska kunna göras. Underlaget för långsiktig förbättring måste vara av mer analytisk karaktär men också bygga på en konsistent tillämpning av begrepp för att mönsterigenkänning ska kunna göras. Kravet på god informationskvalitet gäller även för rapportering, riskanalysen och för informationssäkerhetsarbetet i mer vida termer.
Hur har man då resonerat i dessa frågor när det gäller den nationella rapporteringen. Inte alls vad jag kan se, det är till och med svårt att utläsa vad syftet med den befintliga incidentrapporteringen egentligen är även om den dåvarande inrikesministern Ygeman 2015 så följande då beslutet att införa rapporteringen togs:
Syftet med ett sådant system är att möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning. Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre. Sådana it-incidenter kan röra exempelvis störningar i mjukvara, hårdvara eller driftmiljö eller förlust av data i olika sammanhang. It-incidenter kan orsakas av bland annat externa attacker, säkerhetsbrister i it-produkter eller felaktigt handhavande.
Det är alltså inte incidenthantering som eftersträvas utan ”en förbättrad lägesbild”. För mig förefaller det torftigt att ha en lägesbild som består av tekniska incidentbeskrivningar men jag tror också att inrapporteringsmoralen påverkas i starkt negativ riktning med tanke på att den svaga möjligheten till payoff eftersom det inte handlar om incidenthantering. Egentligen inte ens om rapportering utan endast om incidentanmälan eftersom meddelande om att något hänt ska ske innan någon djupare analys har hunnit ske. Samma oklarhet gäller även rapporteringen av personuppgiftsincidenter och rapportering enligt NIS-direktivet – det enda som kan hända är att man får ett besök av tillsynsmyndigheten för att uttrycka sig raljant. Att både MSB och Datainspektionen hävdar att det finns ett starkt behov av att sekretessbelägga rapporteringen gör att den lägesbild som uppges vara huvudsyftet för åtminstone MSB kommer att vara tillgänglig i mycket begränsade kretsar. Erafarenhetsåtervinningen på nationell nivå är därmed inget som kan locka fler att rapportera.
Att det sannolikt kommer att saknas ett starkt driv att rapportera incidenter påverkar kvaliteten i lägesbilden. Ytterligare en aspekt som påverkar kvaliteten är den svaga begreppsmodelleringen av vad som ska inrapporteras samt att det saknas kriterier för verksamhetspåverkan i rapporteringen. Här hade stora lärdomar kunnat hämtas från exempelvis smittskyddsområdet och överhuvudtaget från ett mer vetenskapligt förhållningssätt. Att resonemang i denna riktning helt saknas både i dataskyddsförordning och i NIS-direktivet talar för sig själv.
Att incidentrapporteringen ändå fått ett så stort genomslag som universalmedel beror förmodligen på att den har en USP. Det går nämligen att förklara vad incidentrapportering är för politiker och andra makthavare medan många andra säkerhetsåtgärder på systemnivå kräver betydligt mer i pedagogik. Incidenter kan också kopplas till mer actioninriktad kommunikation som kan leda fram till snabba beslut än en diskussion om hur informationssäkerhet ska bli en normal del av förvaltningen. Men, som alla vet, är det inte alltid det som är lätt att sälja som är det vi bäst behöver.
Sammantaget tror jag följande. Den nationella incidentrapporteringen kommer inte att ge de enskilda organisationerna något stöd i det egna informationssäkerhetsarbetet och kvaliteten i de rapporter som faktiskt sker kommer att vara låg. Den gemensamma lägesbilden som summa kommer inte ha högre kvalitet än de ingående delarna och kommer därför att ha ett värde som inte är i paritet med fokus och de resurser som läggs på incidentrapporteringen. Vore det då inte bättre att försöka göra en något djupare analys och försöka reda ut vilka åtgärder som skulle ha en reellt säkerhetshöjande effekt på nationell nivå? Eller åtminstone sätta in incidentrapporteringen i ett sammanhang som redovisas och som kan vara del av en större styrmodell?