Graeber-testet
Socialstyrelsen har kommit med en rapport om E-hälsa och välfärdsteknik i
kommunerna för 2022. Det är inte så särskilt uppbygglig läsning. Punkt efter punkt visar att det går trögt med informationssäkerheten trots den stora enigheten om att just kommunal verksamhet är i särskilt behov av en förbättring. Särskilt bekymmersamt är att det saknas förutsättningar för en realistisk riskbedömning:
Det har inte skett någon ökning vad gäller kommunernas uppföljning av risker och behov av utveckling av informationssäkerhet. Totalt har 48 procent av kommunerna genomfört en sådan uppföljning under 2021 inom socialtjänsten respektive 40 procent i den kommunala hälso- och sjukvården.
Det är ju inte bara i kommunerna som informationssäkerheten sackar efter trots att resurserna stärkts rejält under senare år. Jag söker delvis förklaringen till detta genom att återvända till David Graeber och särskilt hans bok om Bullshit jobs (ja, jag vet att jag är litet tjatig).
Tyvärr inser jag att rätt mycket inom informationssäkerhetsområdet riskerar att falla under kategorin bullshit jobs och jag har Graeber som en nyttig blåslampa för att åtminstone försöka undvika att göra onödiga saker. Den mest fatala risken är inte att man själv gör onödiga arbetsuppgifter. Det är när man tvingar andra, som sannolikt har viktigare saker att syssla med, att genomföra meningslösa uppgifter. Man blir en task master helt enkelt.
Task masters exist to either
1) Supervise people that don´t really need supervising
and/or;
2) Make new bullshit jobs that do not need to be done.
Kombinationen av NPM:s segertåg i den offentliga sektorn, med dess ständiga dokumenterande och rapporterande, och informationssäkerhetsområdets förkärlek för samma sak men därtill även att slentrianmässigt skicka ut uppgifter i organisationen som inte kan besvaras av verksamheten kan vara förödande. Typ: gör din egen informationsklassning, riskanalys, kontinuitetshantering osv. trots att du knappt vet vad orden betyder. Resultatet blir en stressad organisation och att de klassningar, analyser och planer som tas fram är av oanvändbar kvalitet. Graeber nickar i sin grav och säger att detta var ett äkta bullshit job.
Men det är inte bara inom en organisation som övermåttet av rapporteringskrav finns. I en ny rapport från Statskontoret redovisas en hel del synpunkter på kommuner och regioners interna dokumentationskrav men även på alla de enkäter m.m. som statliga myndigheter skickar ut:
Kommuner och regioner besvarar många enkäter och lämnar mängder av uppgifter till staten för en rad olika ändamål. Vi bedömer att regeringen bör minska och förenkla statliga rapporteringskrav gentemot kommunsektorn. Olika rapporteringskrav kan förenklas olika mycket, men vi bedömer att det behövs insatser inom detta område både på kort och något längre sikt. Den sammantagna uppgiftslämnarbördan orsakar stora administrativa kostnader för kommuner och regioner, även om varje insamling kan vara motiverad. Det uppstår onödiga merkostnader för att insamlingarna inte är tillräckligt samordnade, är bristfälligt digitaliserade, sker ofta, samt gäller detaljerade uppgifter eller totalundersökningar. Kommunerna och regionerna behöver också nästan alltid arbeta manuellt för att få fram uppgifterna.
Förra året gick det som en djup suck genom myndigheternas informationssäkerhetsfunktioner. I alla fall tyckte jag mig höra det i de ganska många referat som jag fick från olika myndigheter som fått MSB:s Infosäkkollen som ett resultat av ett regeringsuppdrag.
MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiska informationssäkerhetsarbetet i den offentliga
förvaltningen. Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltningen regelbundet ska erbjudas att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå deras informationssäkerhetsarbete befinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå på informationssäkerhetsarbetet. Uppföljningsstrukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen.
Regeringen skulle kunna ha övervägt att göra MSB till en tillsynsmyndighet för informationssäkerhet (med litet hjälp av MSB själva). Jag ser det som ett tidens tecken att man istället väljer att ge ett uppdrag för att fram en "struktur för uppföljning".
Vad är det MSB anser sig kontrollera med Infosäkkollen? Efter en ganska lång harang visar det sig att det egentligen inte är den systematiska informationssäkerheten i sig man följer upp utan efterlevnaden av den egna föreskriften med en egen uppfunnen metod. Metoden utgår inte från ISO 27004 som ställer rätt tydliga krav på mätningar av informationssäkerhet som t.ex. tydligt definierade kontrollpunkter och att man ska kontroller hur väl något är reglerat, känt, genomfört och uppföljt. På något sätt hoppar man över en massa led och hävdar att en föreskrift för statliga myndigheter är detsamma som en beskrivning av ett systematiskt informationssäkerhetsarbete. Detta blir extra prekärt när man nu tänker tillämpa Infosäkkollen på kommuner och regioner som ju inte ens omfattas av föreskriften. För mig vore den naturliga metoden för att följa upp efterlevnaden av en föreskrift vara en tillsynsverksamhet.
Med ganska stor erfarenhet av att mäta informationssäkerhet och av att jobba med MSB:s föreskrift så skulle jag säga att det finns ett antal stora problem med Infosäkkollen som t.ex. dessa:
Många kontroller är omöjliga att besvara, framför allt på ett enhetligt sätt.
Eftersom Infossäkkollen kontroller föreskriften förekommer naturligtvis ett antal yxiga frågeställningar. Dessutom har man valt att frågorna ska besvaras på nio olika sätt, gärna i procent som frågan: Har organisationen, under de senaste två åren, undersökt i vilken utsträckning medarbetarna efter genomförd utbildning i informationssäkerhet vet hur de ska arbeta på ett informationssäkert sätt?
De svar som står till buds är av typen: 25 % till mindre än 50 % av de som genomgått en utbildning i informationssäkerhet.
Enbart att definiera vad som ska räknas som en utbildning och hur man ska bedöma om deltagarna vet hur de ska arbeta på ett informationssäkert sätt gör mig närmast matt (och då har jag som sagt ändå arbetat med det).
Self assesment är en mycket osäker metod
Tillsyn bygger traditionellt på att en tjänsteperson på en expertmyndighet reser runt och ställer frågor och gör besiktningar på plats. Fördelen är att de som tillsynas i de flesta fall inte behöver göra en stor arbetsinsats och att man får en tämligen jämn bedömning eftersom den görs på ett enhetligt sätt.
Self assesment som är den metod MSB valt är den direkta motsatsen eftersom den ofta kräver mycket stora arbetsinsatser och ger dessutom ofta, enligt min erfarenhet, ett resultat med låg kvalitet. Dessutom finns en stor risk för olika typer av bias. Att jag får lita på min egen erfarenhet beror att det är mycket svårt att hitta forskning runt self assessment inom informationssäkerhetsområdet som dessutom är tämligen komplext. Komplexiteten samt ett bristande gemensamt språk för dessa frågor gör det mycket lätt att tala förbi varandra - något som kan undvika i en intervjusituation.
Bristen på riskanalys och prioritering
En grundläggande aspekt av ett systematiskt informationssäkerhetsarbete är att det ska vara riskbaserat. När man jobbar med mätning av informationssäkerhet är det därför mycket betydelsefullt att arbeta in en slags generisk riskanalys där vissa risker är mer avgörande och vissa åtgärder därför mer prioriterade. Detta faller helt bort i Infossäkkollen eftersom den i grunden handlar om efterlevnad av en föreskrift.
Litet känns Infosäkkollen som en person som försöker att instruera andra i matlagning utan att själv någonsin satt foten i ett kök. Det som stör mig är att den tar tid från organisationer och deras verkliga informationssäkerhetsarbete, en alternativkostnad som borde beräknas. Men den tar även fokus från väsentligheter för MSB som borde lägga sina resurser på beskriva hur olika säkerhetsåtgärder ska genomföras
Nåväl, detta var bara ett exempel på Graebers tes. Som den hjälpsamma människa jag är har jag utvecklat en metod med hög nivå av evidens som stöd för alla som är i riskzonen att bli task masters - det s.k. Graebertestet!
Hur många poäng får det du föreslår i Graeber-testet?
- Kan du inte förklara vad du egentligen undersöker? (1 p)
- Använder du en icke forskningsbaserad metod? (1 p)
- Tar det mer tid för dem som ska svara än för dig som ställer frågor? (1 p)
- Finns det en brist på enhetliga begrepp, språk m.m. som gör det mycket osäkert om respondenterna och avsändarna över huvud taget pratar om samma saker? (1 p)
- Går det inte att redovisa vad resultatet mer exakt ska användas till (bortom vaga fraser som "uppföljning")? (1 p)
- Är verksamheten som utsätts för kollen i grunden ointresserad av resultatet? (1 p)
- Följer du inte upp din egen metod på ett kritiskt sätt? (1 p)
Om du får 2 eller fler poäng är en stark rekommendation att du omprövar ditt projekt.