Låt mig börja med att understryka att Inera innehar en central position i den offentliga sektorns digitala infrastruktur och att bolagets betydelse växer. Det är med detta som bakgrund som jag har försökt få en uppfattning om hur deras arbete med informationssäkerhet ser ut. Om det inte är rimligt utformat utgör Ineras tjänster en allt större nationell risk.
2019 skrev jag ett antal blogginlägg om Ineras informationssäkerhetsarbete här, här och här. Detta var ett projekt som krävde en hänvändelse till Kammarrätten för att ut Ineras styrande dokument för informationssäkerhet. Jag var inte särskilt övertygad om att Inera verkligen bedriver ett systematiskt informationssäkerhetsarbete efter att ha gått igenom dokumenten. Istället var bilden att det i hög grad saknades den styrning som är målet enligt SS-EN ISO/IEC 27001 som man uppger sig följa.
Efter tre år sedan sist tänkte jag att det kunde vara dags att kolla vad som hänt sedan sist. Om vi börjar med det översta styrdokumentet, policyn, så har en ändring skett då man lagt till följande på slutet:
Informationssäkerheten i samverkan med kund
De tjänster Inera tillhandahåller sker i de allra flesta fallen integrerat med regioners och kommuners IT-miljöer. För att informationssäkerheten ska kunna upprätthållas krävs därför samverkan och insikten av att den svagaste länken sätter säkerhetsnivån. Inera ska därför verka för att kundernas informationssäkerhet, för till Inera anslutna komponenter, innefattar:
• ett systematiskt informationssäkerhetsarbete med ett ledningssystem för
informationssäkerhet utformat i linje med SS-EN ISO/IEC 27001 Ledningssystem för informationssäkerhet eller motsvarande
• rutiner vilka stödjer en effektiv hantering av informationssäkerhetsincidenter
• rutiner att alla förändring ar av kundernas anslutningar till Inera anmäls
• skydd mot skadlig kod och dataintrång
• åtgärder för att upprätthålla en hög tillgänglighet
• skydd av lokaler avsedda för drift av IT-system
• kryptering av känslig information vid transport över öppna nätverk
• spårbarhet vid åtkomst och förändringar
• att Dataskyddsförordningen följs och att alla samverkar i fullgörandet av denna
Förutom ovanstående ska Inera ansvara för att upprätthålla:
• en process för kvalitetssäkring avseende anslutning av konsumerande system i
sammanhållen journalföring till Ineras infrastruktur
• en process för kvalitetssäkring avseende anslutning av informationsproducerande
källsystem till Ineras infrastruktur
• ett dataskyddsombud vars uppgift är att tillse att personuppgifter behandlas i enlighet med Dataskyddsförordningen
Inera svarar härutöver också för att de styrande principerna efterföljs.
I och för sig är det mycket bra att kunderna äntligen dyker upp i Ineras styrdokument (bolaget är ju faktiskt en leverantör) men stycket är inte särskilt klargörande. Hur rollspelet egentligen ut och vad betyder ens: Inera ska därför verka för att kundernas informationssäkerhet, för till Inera anslutna komponenter, innefattar... Även andra formulering lämnar fler kvardröjande frågor än svar gällande hur den här samverkan ser ut, finns det exempelvis en tydlig beställare-utförarestruktur där kunderna verkligen kan styra vilken säkerhet man vill ha?
Jamen säger ni, nu är du väl ändå väldigt kinkig - allt det där kan ju ändå beskrivas på nästa nivå i dokumenthierarkin? Det är en rimlig synpunkt, illa formulerade policies är det inte direkt ont om, men den riktlinje som följer av policien är inte förändrade över huvud taget sedan 2019 utan de brister som jag ansåg mig finna då är pietetsfullt bevarade.
Jag skickade en fråga till Inera för att efterhöra vilka anvidningar eller motsvarande som nu finns:
Hej!
Jag har ju tidigare begärt ut de styrande dokument för informationssäkerhet som Inera beslutat och som jag kommenterat här https://fiaewald.se/blogg/inera-tredje-gangen-gillt-2/. På er webbplats ser jag nu att det ska finnas ett infört ledningssystem ”baserat på” ISO 27001/27002 och att ni strävar efter att bli certifierade https://www.inera.se/nyheter/nyheter/it-sakerhet-ar-en-forutsattning-for-vart-uppdrag/. Jag skulle därför vilja ta del av de styrande dokument som ingår i ledningssystemet.
Tack på förhand!
Till detta lade jag också en fråga om det fanns något dokument utformat som kommunikation med kunderna angående informationssäkerhet. Detta finns det enligt uppgift inte.
Nåväl jag fick förtydliga och uppgav då att jag gärna ville ha anvisningar för de områden som jag ser som särskilt betydelsefulla för ett systematiskt informationssäkerhetsarbete:
Eftersom ni enligt er policy följer ISO 27001/27002 kan jag säga att jag framförallt vill ha ut de anvisningar som gäller:
ansvar och roller
personal och säkerhet
upphandling och utveckling
kontinuitetshantering
incidenthantering
kryptering och skydd mot obehörig åtkomst
logghantering
backup-hantering
efterlevnadskontroll
Informationsklassning hade jag redan fått sedan tidigare så den valde jag bort att fråga efter. Efter en del om och men har jag nu fått följande tio anvisningar:
- autentisering
- avveckling av tjänst
- informationsklassicifering
- kryptering
- logg i driftmiljö
- riskhantering
- säker systemutveckling
- säkerhet i driftmiljö
- säkerhetstester
- informations- och it-säkerhet för medarbetare
Som synes är det en dålig matchning mot vad jag efterfrågade och jag kan inte skriva annat än att mycket väsentliga komponenter i ett systematiskt informationssäkerhetsarbete som exempelvis ansvar och roller inte finns beskrivet. Illavarslande för regioner och kommuner är att kontinuitetshantering inte är medtaget med tanke på att sjukvården är en samhällsviktig verksamhet som drabbas hårt vid större störningar.
Det kan tilläggas att det gjorts rejäla överstrykningar i anvisningarna innan utlämnandet på sätt som är svårbegripligt, vissa är närmast helsvarta. Efter att ha jobbat en del med utlämnandefrågor kan jag inte undgå att ställa frågan varför exempelvis modellen för riskanalys skulle vara sekretessbelagd? Överstrykningar finns t.o.m. i innehållsförteckningen och resten av dokumentet ser ut så här:
Jag ids nog inte gå till Kammarrätten en gång till men jag tycker detta är en problematisk inställning från Inera.
Vad som gör mig mest förundrad i det här är att inte regioner och kommuner ställer krav på en av sina huvudleverantörer som dessutom rent formellt är en organisation som tillkommit för att för att serva dem. Jag pratar en hel del med kommunala och regionala företrädare och en genomgående bild när Inera och SKR kommer på tal är att man inte ser någon möjlighet att kunna påverka dessa organisationer. Jämfört med att köpa en tjänst från ett vanligt företag uppfattar att man har betydligt mindre möjlighet att både styra och kontrollera vad man köper. I de styrande dokument som jag tagit del av finns inget som motsäger den uppfattningen. Jag har frågat om de nätverk för informationssäkerhet för kommunal respektive regional verksamhet som MSB och SKR finansierar inte tar upp dessa centrala frågor (osäker på om det regionala nätverket öht finns kvar) men mina sagespersoner uppger att de aldrig varit med om det. Synd tycker jag eftersom det väl rimligen vore idealiska forum att starta i och i alla fall MSB borde ha ett stort intresse av god informationssäkerhet i samhällsviktig verksamhet. Men kanske är det som alltför ofta i informationssäkerhetsforum enklare att prata i abstraktioner och om vad andra borde göra än att se till att det blir verkstad i de verkligt viktiga frågorna.
Sammantaget tycker jag att SKR och dess dotterbolag återkommande gör sina medlemmar rejäla björntjänster som exempelvis med molntjänstfrågan och med Ineras leveranser. Regioner och kommuner har de mest komplexa informationssäkerhetsfrågorna och är värda bättre. Det är vi medborgare som medborgare också eftersom det är vi som ytterst kommer att drabbas av den undermåliga säkerheten.