Jag har alltid haft svårt för den oreflekterade gruppkänslan, när tillhörigheten till en grupp blir så viktig för ens (yrkes)identitet att det skuggar tankens klarhet. Tyvärr tycker jag att säkerhetsbranschen ofta drabbas en överdriven gruppkänsla som leder till ett grupptänk och inte minst av en oförståelse för hur det ser ut i ”verkligheten”. Att predika för kören, d.v.s. för andra säkerhetsmänniskor, är enklare än att öppet diskutera säkerhetsfrågor med människor som har andra och kanske viktigare prioriteringar än säkerhet.
Själv måste jag erkänna att jag grips av en skamkänsla över att erbjuda lösningar som tar så mycket tid från kärnverksamheten, dessutom med oklart resultat. Trots att säkerhetsbranschen av tradition är högerlutande, vilket i normala fall skulle leda till ett ifrågasättande av byråkrati, krångel, förmynderi och slöseri med skattemedel, så godtas orimligt insatskrävande säkerhetsåtgärder i just skattefinansierade verksamheter. Ganska hemmablint kan man tycka.
Låt mig bara ta några exempel. I Sverige finns runt 5000 grundskolor. Såsom praxis och stöd är utformade ska då informationsklassning genomföras om inte i samtliga grundskolor så åtminstone per förvaltning eller grundskoleområde, gärna med stöd av SKR:s KLASSA. Många kommuner väljer dessutom att ta in konsulter för att genomföra klassningarna med KLASSA för dyra pengar och utan att den så viktiga dialogen uppstår mellan verksamhet och informationssäkerhetsansvarig. Åtgärderna som levereras ur KLASSA är inte i de flesta fall konkreta utan snarare på en nivå som kräver en egen utredning för framtagning av åtgärder hos kommunen som använder verktyget. För mig känns det som en mycket dyrbar metod som ger ett resultat som i bästa fall är tveksamt. Som jag tidigare skrivit betraktar jag inte det som ett sätt att effektivisera säkerhetsarbetet och föreslår andra möjligheter.
Några andra som inte är så ängsliga för att ta säkerhetsresurser i anspråk är MSB. Myndigheten har nu tagit fram en egen mognadsmodell som såvitt jag kan se inte har något vetenskapligt stöd (däremot en närmast rörande metodbeskrivning med formel och allt). Det framgår inte heller varför man inte tydligare anslutit till ISO 27004 som visserligen nämns men lämnar få spår i utformningen. MSB har gått så långt att man skrivit in ISO 27001/27002 i sin föreskrift för statliga myndigheter så det skulle känts rätt logiskt att man då gått all in i standardfamiljen även då det gäller uppföljning.
Rapporten är ett svar på ett regeringsuppdrag:
MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen. Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltning regelbundet ska erbjudas att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå deras informationssäkerhetsarbete befinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå på informationssäkerhetsarbetet. Uppföljningsstrukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen.
Detta skulle kunna tolkas som något som liknar frivillig tillsyn eller revision men istället har MSB knåpat ihop något som enligt min bedömning (jag har ändå rätt många år i mätbranschen) kommer att ta avsevärd tid att hantera för de organisationer som väljer att delta utan egentlig nytta. Ja, visst får ledningen en överblick men även den som är mest besatt av mantrat ”ledningens genomgång” måste någon gång landa i att det är praktiska åtgärder som måste vidtas för att förbättra säkerheten – det räcker inte att rapportera aldrig så mycket. Jag vet hur betvingande det är med spindeldiagram, jag har stått inför otaliga ledningsgrupper och showat med gott resultat, men det som gav verklig nytta var något annat. Det var de insatser vi lade ner på att skriva detaljerade rekommendationer noggrant anpassade efter den specifika organisationens förutsättningar och risker. Efter att ha läst MSB:s rapport kan jag inte förstå hur denna typ av frågeställningar öht ska kunna besvaras och vad eventuella svar skulle kunna ha för kvalitet:
Hur räknar man ens procent på åtgärder? Är åtgärden att sätt lås på ett dokumentskåp lika mycket värd som att ändra backup-rutiner liksom? Måste åtgärderna att ha varit fullständigt genomförda för att räknas eller räcker det att de är påbörjade? Om det endast fullständigt genomförda åtgärder som ingår kommer då organisationen att prioritera kortsiktiga åtgärder och välja bort de som tar lång tid men som kanske har större betydelse för säkerheten? Att med så många grundläggande osäkerhet försöka tillämpa en formel som denna ger mig ett intryck av ett helt verklighetsfrämmande projekt.
Ett tredje ack så resurskrävande villospår är de externa revisioner som många organisationer väljer att göra. Det är ett enkelt men kostsamt beslut att ta för ledningen. Och när man ser på leveranserna från inte minst större välrenommerade företag blir man ofta beklämd. Rapporterna, som inte sällan kommer i power point-format, är så uppenbart standardrekommendationer som av juniora konsulter klippts samman till något som inte är anpassat till kundens verksamhet och i vissa fall inte ens till svensk kontext. Hur svårtolkade (en eufemism) rapporterna kan vara tyder den absurda upplevelse som jag stött på när ett revisionsbolag anlitas för att uttolka ett annat revisionsbolags rapport och försöka göra om den till något som liknar förslag på begripliga åtgärder. Och nej, det blev inte så mycket begripligare i nästa led.
Trots den bristande kvaliteten i många revisionsrapporter får de orimligt stor betydelse i många organisationer. Ledningar tar dem på stort allvar och tycker sig ha fått ett underlag både för den så omtalade ”benchmarketingen” och för att att kunna vidta rätt säkerhetsåtgärder. Det är inte så konstigt; ledningen tycker sig ha betalat dyrt för att få en professionell genomgång av ett område som man själv i de flesta fall är dåligt insatt i. Att ställa kritiska frågor är inte aktuellt, särskilt om det skulle kunna avslöja ens egen bristande kunskap.
Vid ett inte oväsentligt antal tillfällen har jag tyckt när jag läst rapporterna att de varit mer eller mindre vilseledande när det gäller vilka åtgärder som rekommenderas. Eftersom de som utfört revisionen på ett industriellt sätt inte haft möjlighet att sätta sig in i kundens förutsättningar kan fokuseringen på de prefabricerade åtgärderna leda till både dubbelarbete när vissa element faktiskt redan finns på plats men under annan benämning än revisionsbolagets och till att väsentliga risker missas. Dessutom är hänsyn sällan tagen till beroendeförhållandet mellan olika åtgärder, något som kan göra att kundens åtgärdsarbete blir alldeles i onödan ineffektivt. Ibland betonar revisorerna väldigt specifika åtgärder som den som arbetar med säkerhet i organisationen vet att man redan klarat av på annat sätt eller att avsaknaden av åtgärden innebär en mycket liten risk. Detta går dock inte fram till ledningen som sätter en större tillit till den ytliga granskningen än till den egna personalens bedömningar – onödig kraft läggs då på att checka av åtgärdsförslagen istället för på att reducera verkliga risker. Säkerhetsarbetet kan därmed snedvridas på avgörande sätt för lång tid fram över.
Detta är bara tre exempel, det finns många fler metoder och krav som kan ses som på det hela taget tämligen improduktiva. Det är naturligtvis inte en slump att compliance och rapportering är så populärt. Det är betydligt lättare att ”granska” än att skapa fungerande säkerhetsåtgärder – tro mig, jag har varit på båda sidorna. Ibland skulle jag vilja gå så långt som att det borde vara förbjudet föreslå metoder och åtgärder för den som inte själv stått i det praktiska slitet att försöka förbättra säkerheten i en faktiskt existerande organisation. Det är först då en djupare förståelse för hur komplicerat det är att förbättra den verkliga säkerheten, inte bara den som finns i kolumner och poängsättning. Säkerhetsbranschen har anammat synsätten som leder till största nackdelen med NPM med oklara rambeskrivningar, mätningar och rapporteringar en masse. Trots att aktörerna i branschen som sagt ofta i andra sammanhang klagar på administration tycks man blind för den negativa byråkrati man själv skapar och som äter upp resurserna som skulle gjort så mycket större nytta i kärnverksamheten.
Fler styr och räknar – färre vårdar patienter
Informationssäkerhetskraven såsom de ser ut idag trängs med likartade strukturer för hållbarhet, miljö, jämställdhet, ekonomi m.m. som alla är viktiga men samtidigt tar kraft från det egentliga uppdraget. Det är tyvärr inte så stor risk att vi råkar ut för något ansvarsutkrävande men vi borde verkligen se oss i spegeln och ställa frågan om vi är närande eller tärande. Sannolikt mest det senare vilket borde sporra oss till att tänka på att varje timme vi tvingar alternativt uppmuntrar andra till att lägga på att svara på frågor och rapportera tas från en sjuksköterska eller lärare eller någon som producerar något vettigt.