Några reflektioner om budgetproppen
I dessa dagar då persikorna äntligen mognar trots den sommar som aldrig var har jag egentligen inte tid med budgetproppen. Men trots att persikorna insisterar på en omedelbar syltning kommer här ändå några reflektioner med anledningen av regeringens intentioner gällande informationssäkerhet, dock med disclaimern att jag inte i detalj har studerat samtliga av de knappa 4000 sidorna.
Föga förvånande är informationssäkerhet ett prioriterat område. Efter det senaste årets skandaler samt det så beramade ”förändrade omvärldsläget” så kommer sannolikt inte regeringens satsningar på informationssäkerhet i olika former att väcka motstånd hos oppositionen. Själv skulle jag ändå vilja resa frågan om det i första hand är pengar som saknas för att förbättra säkerheten.
Men först till själva pengaregnet. När jag nu håller på att försöka formulera förslag på komponenter i en nationell styrmodell har jag tagit fram en idébild för mig själv för att förstå de många former som informationssäkerhet förekommer i på en samhällsnivå. Redan här vill jag utfärda en stark varning för bristen på logik i bilden. Samtidigt vågar jag mig på att hävda att denna brist inte enbart beror på mina egna tillkortakommanden utan i kanske lika hög grad på att den verklighet jag försöker beskriva saknar logik.
Viktigt för att förstå bilden är samtliga fyra former av behov av/krav på informationssäkerhet kan förekomma i samma organisation. De avklingande pilarna syftar till att försöka beskriva en intresseavvägning; i det ”normala” säkerhetsarbetet sker riskbedömningar hela tiden där hänsyn hela tiden måste tas till andra värden för den egna organisationen och samhället medan i den andra änden är säkerhetskraven mer absoluta. Ett exempel på det senare är ju av att demokratiska rättigheter som insyn inte kan anföras då de ställs som säkerhetsbedömningarna. Jag kommer att återkomma till den här bilden i senare inlägg, just nu använder jag den bara för att resonera kring budgetproppen.
Det mest revolutionerande var den digitaliseringsmyndighet som regeringen beslutat ska skapas under 2018 med ett anslag första året som är något högre än ESV:s (vilket är litet ironiskt eftersom ESV har varit en av de starkaste lobbyisterna för digitaliseringsmyndighet och en kandidat för att bli det). Det är alltså ingen liten myndighet man konstruerar även om anslagen planeras att sjunka längre fram. Förutom att man slänger in hanteringen av tjänster som e-legitimation och Mina meddelanden får den nya myndigheten ansvar för att samordna arbetet med Öppna data. Myndigheten kan väl ses som ett nytt och något mer kraftfullt försök att samordna digitaliseringen efter raddan av tämligen misslyckade initiativ från Toppledareforum och framåt till e-Delegationen och Digitaliseringskommissionen. I budgetpropositionen står inget vad jag kan se om att myndigheten ska ha något särskilt ansvar för informationssäkerhet men i intervjuer med bland annat civilminister Shekarabi efter att proppen presenterats luftas sådana tankar som här. Att informationssäkerhet är en förutsättning för en lyckad digitalisering är något som både jag själv och andra framfört med emfas så principiellt är det en naturlig tanke att sammanföra frågorna. Vi är då i boxen ”normal verksamhet”. Mandatet, ansvaret och uppgiften är dock synnerligen oklart.
Det utökade förvaltningsanslaget till MSB på 40 miljoner till informationssäkerhet och psykologiskt försvar får väl ses som något som hamnar i boxarna ”samhällsviktig verksamhet” respektive ”totalförsvar/civil beredskap”. Här bör det betonas att det är tillskott till redan omfattande medel. Jag uppfattar att den generella inriktningen för MSB blir tydligare och tydligare civilt försvar och samhällsviktig verksamhet vilket sannolikt kommer att prägla även myndighetens insatser inom informationssäkerhetsområdet. Utrymmet för denna typ av spekulationer är stort eftersom det inte finns någon offentliggjord strategi från myndigheten.
SÄPO får en rundlig extra dusör för att arbeta med den nya säkerhetsskyddslagen. Vad Försvarsmakten och SÄPO i övrigt gör inom informationssäkerhetsområdet är svårt att överblicka utifrån på grund av den sekretess som råder. Att PTS föreslås få ett årligt tillskott på 13 miljoner för att ”vidta åtgärder som säkerställer myndighetens långsiktiga arbete avseende säkerhetsskydd och informationssäkerhet för att bättre möta förändrade och framtida krav som ställs.” är däremot en öppen uppgift i proppen. Här dyker alltså återigen boxarna för totalförsvar och säkerhetsskydd upp.
Sådär kan man fortsätta att hoppa omkring i budgetpropositionen för att försöka greppa statens insatser för att förbättra informationssäkerhet. För mig framstår de krav på informationssäkerhet som ställs i den normala verksamheten och som stödjer intressen som är centrala för individen, demokratiska värden, ekonomi och effektivitet påfallande nedprioriterade. Detta trots att samma budgetproposition understryker behovet av ökad digitalisering. Det hänvisas i proppen till strategierna för informations- och cybersäkerhet respektive för digitalisering men som jag i tidigare blogginlägg beskrivit är båda dessa styrdokument egendomligt inriktade mot säkerhetsskydd. De värden jag låtit symboliseras i form av pilar blir därmed som jag ser det osynliggjorda och inte medtagna i en större riskanalys som omfattar mer en ren säkerhet. Det är till nackdel både för enskilda och för samhället i stort.
En liknande outtalad prioritering görs inom digitaliseringsområdet där öppna data lyfts fram som en viktig uppgift för den nya digitaliseringsmyndigheten medan möjligheten att förbättra den demokratiska insynen i myndigheternas verksamhet inte alls omnämns. Självklart måste Sverige följa PSI-direktivet men det vore en fördel med ett motsvarande engagemang för att förverkliga kraven som emanerar ur grundlagen på god offentlighetsstruktur och insyn. Obalansen mellan näringslivsintresset för öppna data och det demokratiska intresset av en öppen och tillgänglig förvaltning kan förmodas ha ett ursprung i att it-frågorna hittills legat på näringsdepartementet. Detta är ju tämligen ologiskt eftersom regeringens (oavsett färg) inriktning inom digitaliseringsområdet främst varit att utveckla förvaltningen vilket borde motiverat en placering tillsammans med övriga förvaltningsstyrningsfrågor. Problemformuleringen påverkas naturligtvis av i vilket politikområde som har taktpinnen. Nu tyder vissa budgetanslag på en förflyttning av frågan i rätt riktning.
Min upplevelse efter att ha läst strategierna för digitalisering respektive cyber- och informationssäkerhet tillsammans med den budgetproposition där strategiernas första steg mot ett förverkligande är att de båda områdena lider av liknande brist på inriktning. Jag har redan klankat på strategierna och budgetpropositionens riktningslöshet bekräftar mina farhågor. När det gäller säkerhetsområdet kan jag inte urskilja något som tyder på att det genomförts en riskanalys som motiverar fördelningen av medel. Istället förefaller det vara samma typ av brandsläckningsinsatser på nationell nivå som förekommer i organisationer som saknar ett systematiskt informationssäkerhetsarbete. Inte heller kan jag se något samband mellan de olika satsningarna eller stöd för de olika involverade myndigheterna att samordna sig.
För att hitta en positiv trådände så skulle det kunna finnas Ariadnetråd ut ur labyrinten om digitaliseringsmyndigheten skulle kunna formeras till en fungerande myndighet med styrkraft och som kan ta över informationssäkerhetsfrågorna för den normala verksamheten. Om värdena i de fyra pilarna lyfts fram som frågor som ska ligga i myndighetens uppdrag att driva skulle hypotetiskt sett en bättre balans mellan säkerhet och verksamhetsnytta kunna uppnås. På sätt skulle även försummade frågor som stöd för enskildas säkerhet kunna kopplas ett digitalt medborgarskap liksom relationen mellan öppenhet och slutenhet kunna lyftas fram och avvägas. En utveckling i denna riktning skulle kräva ett stort kulturskifte där digitaliseringsmyndigheten inte blir en statlig ideologifabrik av samma typ som exempelvis Digitaliseringskommissionen. Jag är inte alldeles optimistisk då jag återgår till mina husmorssysslor.