En standardscen ur mitt arbetsliv 2010-2015: ett möte angående e-förvaltning, e-hälsa eller liknande på nationell nivå. Jag sträcker upp handen och säger något i stil med ”vi måste få in informationssäkerhet”, ”riskanalys, informationsklassning, kravställning, ansvarsfördelning”, ”den personliga integriteten är en viktig säkerhetsdimension”. Mina inlägg möts som alltid antingen med invändningar med innebörden att säkerhet motverkar verksamhetens syfte eller, i de flesta fallen, tystnad. Efter något år sa jag, aningen ironiskt, ”ni vet vad jag kommer att säga och nu säger jag det så kan ni gå vidare”. På andra möten med myndigheter med så kallat särskilt ansvar för informationssäkerhet mötte jag samma oförstående reaktioner inför de verksamhetskrav som finns bland annat inom hälso- och sjukvård. Jag kände mig som ett växelrelä mellan två världar med begränsad förståelse för varandras förutsättningar med mantrat: effektivitet och säkerhet, säkerhet och effektivitet.
Händelserna på Transportstyrelsen belyser med neon de negativa konsekvenserna av oförmågan att styra den digitala utvecklingen på ett sammanhållet sätt. Jag tänker här inte den kommentera de politiska förvecklingarna även om de är dramatiska utan istället resonera om några av de förslag som framförts på lösningar för att förhindra liknande händelser. Min huvudtes är att förslagen lider av att det saknas en tydlig problemformulering – vad är det egentligen lösningarna avhjälpa?
Säkerhetsskydd och informationssäkerhet
Det som väckt mest intresse är att det i Transportstyrelsens outsourcing ingått information som faller under säkerhetsskyddslagen. Detta är naturligtvis helt huvudlöst och jag är fortfarande förvånad över att SÄPO inte lyckades förhindra det. Att det ingått hemlig information har dock gett hela den efterföljande diskussionen en olycklig slagsida mot att all outsourcing av myndigheters informationshantering är ett säkerhetsproblem (vilket också är rätt konstigt med tanke på att privata leverantörer står för rätt stor av bland annat utrustning, fordon, konsulter o.s.v. inom t.ex. Försvarsmakten). Så är inte fallet menar jag – rätt genomförd kan outsourcing och användande av molntjänster ha en säkerhetshöjande effekt för många myndigheter. Många myndigheter har problem med att få tillräckliga resurser och kompetens för att kunna upprätthålla en rimlig it-säkerhet och då har vi ändå inte talat om kommuner och landsting. Det är också något lätt verklighetsfrämmande i att hävda det skulle vara möjligt att backa bandet och hämta tillbaka all information som idag hanteras i molntjänster som är den alltmer dominerande formen av outsourcing. Skämtsamt brukade jag redan på andra sidan decennieskiftet hävda att det förvarades mer allmänna handlingar på Projektplatsen än i Riksarkivet. Idag kan myndigheter upphandla sina kontorstjänster i form av molntjänster via Kammarkollegiet vilket också allt fler gör. Kommunal verksamhet liksom hälso- och sjukvård byggs i snabb takt på allt fler molntjänster och inte bara för traditionella it-tjänster utan även för telefoni, välfärdsteknologi o.s.v.. Vad som förbigås i den nu pågående diskussionen är att molntjänsterna inte handlar om lagring av information utan de allt oftare ersätter verksamhetssystemen. De ger också helt nya integrationsmöjligheter mellan funktioner som tidigare varit inlåsta i olika system. Min inte helt originella prognos är att ”system” på det sätt vi tänker idag inom 10 år är döda och har ersatts funktionalitet som hämtas från olika tekniska lösningar som interagerar via internet. Det leder också till att den traditionella outsourcingen som nu ägnas ett så stort intresse också kommer att få en klart minskad betydelse.
Jag som ägnat mycket tid åt att skriva om teknikskiftet inom massaindustrin på 1800-talet känner igen ett teknikskifte när jag ser ett. Historien visar ganska entydigt på att båtar föga att försöka gå emot ett sådant – det är snabb anpassning till nya förutsättningar som är den viktiga framgångsfaktorn i en sådan situation. Det gäller även för informationssäkerhetsområdet menar jag.
Om att vi nu, vilket vissa tycks mena och den förslaget till säkerhetsskyddslag antyder, skulle inkludera samhällsviktig verksamhet i det som ska falla under säkerhetsskyddslagen – vad blir konsekvenserna? Det skulle visserligen kunna förhindra outsourcing i många fall men det skulle också ett antal andra negativa konsekvenser. Den gällande säkerhetsskyddslagen gäller skyddet av information som kan påverka rikets säkerhet om den blir röjd för obehöriga. Detta är tydligt avgränsade informationsmängder som ska vara identifierade och kända för organisationen som hanterar dem. Skyddsåtgärder av både organisatoriskt och teknisk karaktär finns beskrivna och ska tillämpas oavsett kostnad eller organisationens krav på effektivitet. Det är alltså ett binärt förhållande som inte är riskbaserat – en organisations ledning har egentligen ingen egen möjlighet att påverka hanteringen och äger inte risken. Detta är motsatsen till ett systematiskt informationssäkerhetsarbete som bygger på att ledningen ska styra säkerheten genom att väga säkerhetsåtgärder i förhållande till risker för verksamheten. I det systematiska informationssäkerhetsarbetet är ekonomiska avväganden en naturlig del.
Säkerhetsskyddet utgör inte ett skydd för något annat än rikets säkerhet i bemärkelsen röjande av hemlig information för obehöriga. De säkerhetsåtgärder som stipuleras är inriktade på konfidentialitetsaspekten och till viss del på någon slags robusthet. Om man ser på samhällsviktig verksamhet så är kravbilden helt annorlunda med exempelvis höga krav på tillgänglighet, spårbarhet och riktighet. I den allmänna röran har även uppgifter om skyddade personuppgifter, skydd för den personliga integriteten och säkerhetsskydd förekommit i samma andetag. Det är då viktigt att förstå att säkerhetsskyddet inte avser skydd för den personliga integriteten.
För mig förefaller det märkligt att det finns en önskan om att devalvera betydelsen av rikets säkerhet. Som SÄPO påpekar i sin vägledning angående säkerhetsskydd finns det ingen legal definition av ”rikets säkerhet” men det får ändå sägas att det får vara rätt rejäla saker för att uppfylla kraven:
Någon legaldefinition av begreppet rikets säkerhet finns inte. Rikets säkerhet kan dock sägas avse såväl den yttre säkerheten för det nationella oberoendet som den inre säkerheten för det demokratiska statsskicket.
Det är alltså det nationella oberoendet respektive det demokratiska statsskicket som är det egentliga skyddsobjektet. Merparten av samhällsviktig verksamhet kan knappast sägas nå upp till den nivån mer än i enskildheter. Däremot har man mycket stora behov av informationssäkerhet men det är en annan fråga. Jag menar att säkerhetsåtgärderna på den yttersta nivån som säkerhetsskyddet innebär måste sparas till det syfte som de är avsedda för i annat fall kommer säkerhetsskyddet i sin helhet att urholkas. Det är en generell erfarenhet att säkerhetsåtgärder som inte kan motiveras löper en stor risk att kringgås och då får man en situation med en fiktiv säkerhet vilket kanske är den mest svårhanterliga situationen av alla.
Låt oss ändå leka med tanken att säkerhetsskyddsåtgärder börjar tillämpas i en vidare omfattning, typ för information som är ”känslig” eller samhällsviktig. Det skulle ju i så fall inte bara påverka outsourcing utan även myndigheternas interna verksamhet. Yippie – bort med de kreativa flexikontoren! Men också bort med de smidiga molntjänsterna och de resefria mötena. Och hur vård och omsorg ska klara sig är en gåta, ska varje enstaka server i den nationella infrastrukturen utformas som enligt SÄPO:s krav, ska all vårdpersonal klassas? Bäva månde de redan hårt prövade patienterna.
Önskan att vilja utvidga säkerhetsskyddet så att det även ska kunna tillämpas för att skydda det som ligger utanför det som definieras som rikets säkerhet är förståelig. Har man en hammare så ser allt ut som spikar eller hur det nu brukar heta. I ny situation griper man ofta efter det man har till hands och just nu verkar tanken på ett utvidgat säkerhetsskydd vara en tröst för många. Jag menar att detta är en lösning som är en tankevurpa vilket jag skrivit ett längre blogginlägg om apropå förslaget till nu säkerhetsskyddslag . Istället bör det upprätthållas en distinkt gräns mellan säkerhetsskydd och systematiskt informationssäkerhetsarbete med verksamhetsinriktning. Likaså bör en tydlig linje gå mellan säkerhetsskydd och samhällsviktig verksamhet.
I detta fall borde problemformuleringen vara: vi har ett stort antal offentliga och privata verksamheter som har ett stort behov av att förbättra sin informationssäkerhet. Vissa av verksamheterna, exempelvis inom vård och omsorg, har kanske de mest komplexa kraven på informationssäkerhet över huvud taget i samhället. På dessa krav är inte säkerhetsskydd en lösning. Istället måste det byggas upp stöd för att dessa verksamheter ska kunna bygga upp ett systematiskt informationssäkerhetsarbete som motsvarar deras behov. Stödet måste vara utformat så att det kan hantera den snabba tekniska och organisatoriska utvecklingen samt integrera i strukturer där många aktörer samverkar. Ansvarsförhållandena för informationshanteringen och informationssäkerheten måste vara närmast övertydliga.
Statliga molntjänster
Andra har vädrat morgonluft och fört fram den nygamla idéen att Statens servicecenter ska få uppdraget att skapa en statlig ”molntjänst” eller kanske infrastruktur. Låt mig redan här säga att jag inte är kategoriskt emot statlig samordning eller inte ser problemet med att staten outsourcar stora informationsmängder till privata aktörer. En fråga jag bevakat är exempelvis Hälsa för mig där jag senast uttalade mig i DN tidigare i år. Däremot är jag inte övertygad om att storskalig statlig datadrift är lösningen på de problem som bör prioriteras. Dessutom ser jag ett antal frågeställningar som måste hanteras om en statlig ”molntjänst” ska bli en framgång ens för statlig verksamhet.
I Statens servicecenters rapport från februari är det endast lagring och datakraft som ska erbjudas. Eller som generaldirektören säger i en DN-artikel:
– Jag sa till regeringen att: bilda tio stycken stora datacentraler där vi lägger in servrarna. Vi föreslog helt enkelt en statlig molntjänst som skulle innebära att staten äger datahallen och servrarna, säger Thomas Pålsson.
I samma artikel uttalar sig civilminister Ardalan Shekarabi på detta något enigmatiska sätt:
I stället vill Shekarabi bygga upp en gemensam struktur för de mest säkerhetskänsliga myndigheter.
– Så att vi kan insourca verksamheter. Det är det som är i pipeline just nu, säger han.
– Då handlar det om att gemensamt bygga upp en verksamhet så att man kan insourca det man har outsourcat. Så att man minskar behovet av att outsourca. Helst ska man inte outsourca.
Ministern påpekar dessutom att den rapport som Statens Servicecenter lämnat där de vill ta hand om myndigheters information ”saknar säkerhetstänk”. Precis nu (torsdag den 27 juli) ger Shekarabi ett uppdrag till PTS att ta fram en modell för säkra it-utrymmen för säkerhetskänsliga myndigheter.
Frågorna hopar sig. Att Statens Servicecenter vill utöka sitt uppdrag är tydligt men exakt vad är det man vill erbjuda? Det ministern verkar avse är någon slags gemensam datacentral för säkerhetskänsliga myndigheter vilka dessa nu är. Min bedömning är att det som i detta skulle kunna vara en vettig och framkomlig väg är att skapa en gemensam infrastruktur för information som faller under säkerhetsskyddslagen eftersom det ställer så sära tekniska och organisatoriska krav. Den skulle dock knappast vara lämplig att lägga hos Statens Servicecenter.
Jag ställer mig däremot tveksam till fördelen med att staten skulle skapa en egen molntjänstleverantör (eller om det nu är sourcing man egentligen avser) för en bredare målgrupp även om jag kan se behovet hos särskilt mindre myndigheter (egendomligt nog bygger Statens servicecenters utsagor när det gäller behov på intervjuer med de 15 största myndigheterna). I Statens servicecenters rapport framgår inte hur en statlig leverantör skulle vara konkurrenskraftig i förhållande till stora it- och molntjänstleverantörer och innehåller inte heller ekonomiska beräkningar som stödjer det caset. En inte helt oviktig faktor är den svårighet att rekrytera rätt och tillräcklig kompetens till en statlig it-leverantör. Det gäller inte bara effektivitet utan även säkerhet. Min högst subjektiva uppfattning är att kompetensen och den möjliga leveransen hos de kommersiella leverantörerna ligger rätt långt över vad statliga myndigheter kan leverera. Problemet är att staten generellt inte är bra beställare, särskilt inte inom säkerhetsområdet. Risken är alltså att myndigheterna får sämre och dyrare lösningar. Här tror jag att det finns viktiga erfarenheter från Kommundata som var it-leverantör åt kommunerna under en period under 90-talet.
Den aspekten blir ännu mer akut när man tänker på vad som ska levereras. Det som Statens servicecenter kallar molntjänster är lagring och datakraft men det är inte den typen av ”primitiva” molntjänster som kommer att dominera i myndighetsvärlden. Det är sammanväxta lösningar av kommunikation, samarbetsytor, planeringsstöd och ärendehantering som på sikt kan komma att ersätta ett antal verksamhetssystem. Dessa lösningar kommer endast att vara tillgängliga som molntjänster och att Statens Servicecenter ska kunna ta fram likvärdiga produkter som exempelvis Microsoft finner jag tämligen osannolikt.
Det är också välkänt att det är svårt för staten att vara leverantör åt staten – detta har varit ett återkommande tema i e-förvaltningsarbetet. Eftersom statliga myndigheter inte kan sluta avtal med varandra har kundmyndigheterna betydligt svagare ställning i förhållande till en systermyndighet än till en kommersiell leverantör. Det visade sig också under Statens Servicecenters första tid när myndigheter var skyldiga att överlåta bland annat lönehantering till servicecentret men inte hade reella möjligheter att genomdriva sina säkerhetskrav. Vilket leder över till ett annat, som jag ser det, avgörande principiellt problem, nämligen vem som har ansvar för den information som lagras hos en servicemyndighet. Jag hävdar att det är informationsägaren, det vill säga kundmyndigheten, som har ansvar för att informationen hanteras med tillräcklig säkerhet. Detta ansvar går inte att uppfylla om man inte kan skriva bindande avtal med sin leverantör. I denna oklarhet i ansvar ligger en mycket stor risk som visserligen delvis skulle kunna hanteras genom en professionell struktur av skyddsnivåer som kunden kan välja mellan, detta räcker dock inte. Sannolikheten att kärnverksamhetens säkerhet börjar styras från servicemyndigheten men att ansvaret ligger kvar hos kundmyndigheterna är överhängande. Det är verkligen att sätta vagnen framför hästen och skapar ytterligare en dimension av oklarhet i ansvar. Om det blir ett informationsläckage eller om bristande tillgänglighet i myndighetsinformationen leder till skada för tredje man vems är då ansvaret? När internationella jämförelser görs glömmer man ofta bort den svenska förvaltningsstrukturen med självständiga myndigheter med eget ansvar. Det här är en fråga som måste klarläggas även legalt liksom kundmyndigheternas möjlighet att styra så att inte samkörning görs av olika myndigheters information. Sett ur ett integritetsperspektiv förefaller idag privata leverantörer ha ett större intresse för att skydda enskildas integritet än myndigheter vilket måste ses som risk då större mängder information ska sammanföras från olika myndigheter.
Ett annat problem med den här typen av lösningar är den vertikala integrationen där staten både är kund och leverantör. Som kund vill man ha maximal output, som leverantör vill man ha maximal intäkt. I offentlig verksamhet leder detta ofta till stora svårigheter i styrningen eftersom man hamnar i ingenmansland mellan intäkts- respektive budgetfinansiering. Även här finns lärdomar från Kommundata men också Inera och dess föregångare i landstingsvärlden. Resultatet blir negativt och oförutsägbart för kunden eftersom man inte kan styra genom att välja en annan leverantör men samtidigt inte har makt över monopolleverantören.
Min mest avgörande invändning är dock att det idag inte går att avgränsa informationshanteringen till att vara ”statlig”. Myndigheter, kommuner, landsting och privata aktörer samverkar allt mer integrerat och frågan är då vad som ska hanteras i det statliga molnet. Ska även privata aktörer som utför uppdrag åt staten ingå? Ska kommuner som utbyter information med Försäkringskassan ingå? Hur stort ska det statliga molnet egentligen bli? Och, slutligen, jag tror inte de största riskerna idag ligger hos de statliga myndigheterna utan hos kommuner och landsting som både står för merparten av den samhällsviktiga verksamheten och ofta har sämst möjligheter skapa säkra lösningar. Med en dåres envishet upprepar jag att detta är vad som borde prioriteras framför allt annat.
Det var ju inte särskilt konstruktivt
Medan det stormar vidare på regeringsnivå hoppas jag att pendeln inte slår över för långt, att vettskrämda politiker och generaldirektörer uppfattar outsourcing i sig som problemet och fattar beslut som leder till att vi börjar backa in i framtiden. Jag är övertygad om att outsourcing och framför allt molntjänster kommer att öka i betydelse – detta är en verklighet med en mix av egna och köpta lösningar som vi måste lära oss hantera.
Jag kommer ihåg när jag på tidigt 1990-tal besökte en liten vårdcentral som vi kan kalla Söpple VC för att se över informationshanteringen. En läkare pekade på vårdcentralens dator som satt fastspänd under skrivbordet på det där sättet som kanske inte alla kommer ihåg. Han sa: ”Nu vill de ta datorn ifrån oss och ha vår information i distriktets datorhall, hur ska jag då kunna skydda mina patienter?” Hans fråga är lika relevant idag som då efter att informationen förflyttas från den enskilda datorn till distriktets datorhall, till landstingets datorhall, till nationell nivå och nu till molnet. Det är vår uppgift som säkerhetsmänniskor att ge svaret på den frågan. Vi har inte lyckats särskilt bra i tidigare skeden med tanke på hur det ser ut, därför bör vi mobilisera på ett konstruktivt sätt nu.
Det vore bra om vi innan vi går vidare kan enas om att avvägningen mellan effektivitet och säkerhet inte är en enkel fråga utan det finns reella intressekonflikter som måste hanteras. Vi bör också komma överens om att det inte finns en typ av säkerhet eller en lösning. Istället måste vi inse att ”säkerhet” är ett paraplybegrepp där många intressen måste leda fram till en mängd olika lösningar som tillsammans kan leda till säkrare samhälle. Och som sagt: vi måste bli mycket duktigare på att problemformulera för att kunna hitta rätt lösningar. För mig förefaller inte lösningarna ligga främst i att styra placeringen av utrustningen utan att på olika sätt styra informationshanteringen genom avtal, upphandlingskompetens, organisation, mjuka tekniska lösningar och kunskap. Jag utlovar att i ett senare inlägg återkomma till mer konkreta förslag.