För några månader sedan fick jag förfrågan om delta som talare på Security Divas och beslutade mig då för att prata om det som för tillfället snurrade i mitt huvud: “Är vi på väg tillbaka till att säkerhet betyder teknisk säkerhet?”.

För att sammanfatta mina spaningar har jag gjort en båge som är ett försök att beskriva en historisk utveckling i ett historielöst område, nämligen det vi vant oss vid att kalla informationssäkerhet. Historielöst i bemärkelsen att det knappt går att finna några återblickar som beskriver var vi kommit ifrån som kan ge perspektiv på var vi befinner oss idag.

Själv halkade jag in i informationssäkerhetsområdet runt 1994. Då var jag landstingsarkivarie/arkivchef och i det låg även att försöka styra upp informationshanteringen generellt, inte minst i vården. Informationssäkerhet började vid denna tid att formera sig som ett område, bland annat gav Statskontoret ut en vägledning som väl i och för sig mest handlade om it-säkerhet. Ett stöd fanns i den brittiska standarden BS 77 99 som hade sitt ursprung i militära förhållanden precis som mycket av det svenska arbetet inom området. Fokus låg därmed också i hög grad på skydd mot obehörig åtkomst (sekretess).

Majoriteten av dem som arbetade med säkerhetsfrågor vid den här tiden hade sin bakgrund i försvarsmakten eller möjligen polisen. För att sammanfatta det blev det ofta en kollision när försök gjordes för att införa försvarsmaktens syn- och arbetssätt i verksamheter som inte var uppbyggda på strikt hierarki. Synen på vad som var viktigt i säkerhetsarbetet skiljde sig också radikalt, bara en sådan sak som att grunden för sjukvården liksom övrig offentlig verksamhet är mycket omfattande och snabba informationsutbyten där informationen måste vara korrekt och spårbar. Därtill ställs stora krav på öppenhet och integritet. Detta är långt ifrån den traditionella militära säkerheten.

En ökad medvetenhet spred sig om vikten av att forma säkerheten utifrån varje organisations behov och att organisatorisk styrning av informationshanteringen var grunden. Den tekniska säkerhet som kommit i från försvarsmaktshållet var en följd av ovan beskrivna inriktning, det vill säga mycket kryptofaxar och signalskydd. Under 90-talet följde den civila it-säkerheten med den generella it-utvecklingen och kom att omfatta en mycket stort antal åtgärder som tillsammans skulle kunna bygga en säkerhetsarkitektur som motsvarade verksamhetens kravprofil på teknisk säkerhet. It-säkerheten kom att under gynnsamma förhållanden att bli en utförare utifrån de krav som ställdes från informationssäkerheten, dvs. den del av säkerheten som har tyngdpunkt i information och organisation. Verksamheten var det som skulle skyddas från de konsekvenser som kunde uppstå i informationshanteringen inklusive de tekniska bärare som informationen hanterades på.
Bland annat med stöd av ISO 27000 utvecklades modeller för ansvarsfördelning och metoder som informationsklassning, riskanalys och kontinuitetshantering. Med denna inriktning fanns stora möjligheter till samordning med informationsförvaltning, arkiv och dataskydd som bygger på likartade materia.

Nu ser jag starka tendenser till tidslinjen böjs tillbaka, att tekniska säkerhet ses som överordnad och att den militära inriktningen återkommer (samt överanvändning av säkerhetsskydd). Förutom den självklara orsak som det förändrade omvärldsläget innebär tror jag att den ökade användningen av begreppet cybersäkerhet skapat stor förvirring under lång tid. Ett starkt tecken på detta är hur MSB:s roll förändras för närvarande.

Vad spelar detta då för roll? Det första jag tänker på är att det mödosamma arbete som vi varit många som varit involverade i för att etablera begreppet ”informationssäkerhet” går om intet. Ett annat skäl är att den överbryggning mellan verksamhet och teknik som informationssäkerhet utgjort riskerar försvinna. Metoder som informationsklassning, riskanalys, incident- och kontinuitshantering kommer att bli svåra att använda. Samarbetet med andra funktioner som informationsförvaltning och dataskydd kommer också att försvåras. Och när ansvarsmodellerna rycks upp så blir frågan vem har egentligen ansvar? Slutligen måste jag medge att jag tror att det är väldigt svårt för tekniker med försvarsmaktsperspektiv att ge stöd för den dagliga säkerheten för läkemedelslistor på ett äldreboende. På den gamla "goda" tiden i början av 90-talet var insatser från FM i den vardagliga vårdverksamheten verkligen inte ett framgångssaga.

Jag tror vi måste hitta lösningar för att sammanfoga olika nödvändiga säkerhetsområden. Kanske kan cybersäkerhet omdefinieras som ett slags gemensamt skalskydd men att informationssäkerhet fortfarande är det centrala begreppet för verksamhetens risker relaterade till informationshantering inklusive intern it-säkerhet?

Uppdatering: 2024-11-18

Glömde att lägga med den här bilden på min syn på relationen mellan informationssäkerhet, it-säkerhet och cybersäkerhet som jag brukar använda - så även i presentationen på Security Divas. Förlåt för ful avstavning.