Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten). Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?

Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter. Själv känner jag mig mer ambivalent. Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta. Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det. Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer:

Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på). Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.

Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet. I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg. För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k. Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA. I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller. Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s. åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten. Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap. När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs. Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.

Vad kommer man då fram till i rapporterna?  För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter:

Sammantaget ser jag det som att incidentrapporteringen vara en av de tyngsta säkerhetssatsningarna nationellt som tar mycket resurser både lokalt och centralt. Detta skulle kanske vara motiverat om resultatet vore i paritet med insatsen. Vid genomläsningen av rapporterna kan jag inte tycka att det är det. Trots att som sagt drabbade organisationer tvingas lägga ner tid och resurser som rimligen tas från andra säkerhetsuppgifter utmynnar rapporterna i rekommendationer som inte förutsätter hela incidentrapporteringsapparaten:Som framgår skiljer sig både vilka som ska rapportera och vad som ska rapporteras starkt åt. Det är också fascinerande vilket begreppsmässigt gungfly vi rör oss i. Är det information (inklusive personuppgifter)  it-system, informationssystem, tjänster, verksamhet eller samhället som är i fokus? För de som rapporterar in under stark tidspress måste detta liksom formuläret from hell vara en avsevärd belastning att ta itu mer.

Arbeta systematiskt och riskbaserat genom att regelbundet analysera verksamhetens behov, krav och risker och inför de skyddsåtgärder som behövs samt följ upp och förbättra arbetssätt och utförda säkerhetsåtgärder.

Analysera beroendet till externa leverantörer, dokumentera ansvarsfördelning och ställ krav på vilka säkerhetsåtgärder den externa aktören ska vidta. Säkerställ att de tjänster och den mjuk- och hårdvara som ska integreras i it-miljön uppfyller organisationens krav på säkerhet. Detta blir extra viktigt att kartlägga vid komplexa beroendekedjor då en brist i en leverantörs eller underleverantörs produkt eller tjänst kan skapa sårbarheter i den egna it-miljön.

Se över incidenthantering och incidentrapportering. Genom att sammanställa tidigare incidenter och åtgärder kan ni lära er om hur arbetet med incidenthantering och kontinuitetshantering kan förbättras. Det behöver också finnas riktlinjer och stöd för att avgöra om en incident är rapporteringsskyldig, hur rapporteringen görs, vad som ska rapporteras och till vem.

Även om jag blir litet nervös av att uttala ett ordspråk som involverar grisar i dessa dagar eftersom bristande allmänbildningen är ett riskområde så är det ordspråk som kommer i tankarna: mycket skrik för litet ull sa bonden som klippte grisen.  Rekommendationerna är som ett cirkelargument eftersom de till stor del motsvarar vad som sägs i föreskrifter och vägledningar. Det är med detta i bakgrunden som jag tycker att det definitivt är för tidigt att skriva ut betyget på arbetet som MSB gör i rapporten om NIS-direktivet:

Arbetet med tillämpningen av NIS är ett framgångsrikt samarbete mellan MSB, Energimyndigheten, Finansinspektionen, Inspektionen för vård och omsorg, Livsmedelsverket, Socialstyrelsen, Post- och telestyrelsen och Transportstyrelsen.

Detta eftersom det är svårt att se vad som exakt är framgången särskilt som antalet rapporterade incidenter (88) inte känns som en rättvisande bild av verkligheten och analysen av dem inte heller ger några större insikter. Den statliga it-incidentrapporteringen till MSB har dessutom faktiskt minskat under 2020 och det inte från några skyhöga nivåer och MSB:s rapport andas en viss besvikelse. Jag troro inte orsaken till att IMY fått in så mycket fler rapporter bara ligger i sanktionsavgiften utan att man lyckats nå ut mycket bättre med sin information. Om man dessutom ser till MSB:s osäkra metodiken och den über-krångliga rapporteringen som inte betalas tillbaka med konkret vägledning är det kanske inte så konstigt.

Mitt förslag är att man bryter mönstret och inför systematik även på nationell nivå. Som ett första steg kan man låta forskare göra en utvärdering av det ganska omfångsrika underlag som finns efter fem år hos MSB och även av personuppgiftsincidenterna som IMY samlar in och se hur vi kan göra bättre nytta av detta. Jag efterlyser också en större förståelse för de som förväntas rapportera in incidenter där samma händelse i många fall måste rapporteras flera gånger om. En incident i vården kan behöva rapporteras till MSB, till IMY och kanske även som en Lex Maria. Vill man få in flera incidenter måste arbetet med en gemensam ”tratt” både vad gäller inrapporteringsväg och begrepp påbörjas.

Sammantaget är jag benägen att tycka att IMY lyckats betydligt bättre med både analys och rekommendationer trots att man har så mycket mindre resurser än MSB. Kanske bör MSB överväga att koppla in kvalificerade analytiker för att få en bättre output från det stora insamlade materialet. Då kan kanske alla de höga målsättningarna som omger den obligatoriska incidentrapporteringen i någon mån förverkligas.

Slutligen en liten pärla som jag inte vill undanhålla er är denna sammanställning från IMY:s årsrapport. Tänkvärd!