Svanesång för MSB och informationssäkerheten?
Så här i budgettider påminns man om att myndigheter kommer och går även om myndighetsslakten den här gången inte blev så omfattande som utlovat, lyssna gärna mer om omorganisationer och nedläggningar i vårt poddavsnitt angående detta.
En myndighetsförändring som kan siktas i närtid och som jag redan nämnt är uppstyckningen av MSB, den myndighet där jag tillbringat ett antal år som i det här blogginlägget från i våras.
För någon vecka sedan kom den här nyheten (inte så oväntad):
Nu har flera steg tagits i riktningen mot att avlöva MSB helt och hållet i så kallade cybersäkerhetsfrågor när både det CERT och cybersäkerhetscentret ska flyttas till myndigheten med underrättelseverksamhet som huvuduppgift.
Genom FRA:s underrättelseverksamhet får Sverige unik kunskap om utländska förhållanden. Tillförlitliga underrättelser om omvärlden är viktiga för att Sverige ska kunna bedriva en självständig utrikes- och säkerhetspolitik.
På FRA arbetar vi också för att stärka informationssäkerheten hos samhällsviktig verksamhet. Vi hjälper andra myndigheter, statliga och privata bolag, föreningar och stiftelser som hanterar känslig information ur sårbarhetssynpunkt att höja säkerheten i sina datorsystem.
Det är nog inte bara för mig som förvirringen är total om vilken myndighet som ska göra vad. FRA säger sig "stärka informationssäkerhet" men det är tydligt att vad som avses är it-säkerhet eftersom man är fokuserad på "datorsystem". Och är inte "känslig information ur sårbarhetssynpunkt" en uppenbar tautologi eller betyder det något som undgår mig? Eller som TechSverige skriver i sitt remissvar till utredningen om ny cybersäkerhetslag (SOU 2024:18):
Att nu flytta Nationellt cybersäkerhetscenter (NCSC) till Försvarets radioanstalt (FRA) framstår som mindre önskvärt än att hålla NIS2-rollerna samlade hos MSB. Snarare skulle NCSC föras till MSB. Det går också att tänka sig att en ny myndighet, inriktad på det breda informationssäkerhetsarbetet i samhället (som NIS2-direktivet är ett uttryck för), är en annan möjlig väg fram.
Att FRA eller andra polis-, säkerhets-, försvars- eller underättelsemyndigheter som har varit tongivande i NCSC-samarbetet skulle vara särskilt lämpande att nå ut i det vardagliga informationssäkerhetsarbetet i linje med NIS2-direktivet framstår i alla fall inte som uppenbart. Däremot har dessa myndigheter teknisk kompetens, information och underrättelser som behöver kunna utnyttjas även i det mer breda och vardagliga informationssäkerhetsarbetet och givetvis i dessa myndigheters huvuduppdrag.
Ännu mer förvirrat blir det när man ser på definitionerna av "cybersäkerhet" som i bästa fall tycks syfta till att skydda nät och system och enligt EU:s definition i cybersäkerhetsakten även användare (?):
Cybersäkerhet omfattar all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användarna av dessa system och andra berörda personer mot cyberhot.
Vad FRA med sin kompetens förväntas arbete med när de ska stärka informationssäkerheten är för mig högst oklart. Informationssäkerhet handlar framför allt om att skydda och utveckla verksamheten och den information som är nödvändig för att verksamheten ska fungera. I cybersäkerhetsdefinitionen är verksamhetsperspektivet frånvarande, inriktningen är helt på tekniken.
Det som nu pågår är ur mitt perspektiv en tillbakagång snarare än utveckling. Under många är vi många som kämpat med att etablera att det är den organisatoriska styrningen som är det centrala för att uppnå god säkerhet. Först när externa krav och verksamhetsbehov är identifierade, risker analyserade, roller och ansvar definierade osv kan säkerheten styras och tekniska säkerhetsåtgärder dimensioneras. Detta har skett i motvind eftersom det generellt finns en asymmetrisk respekt mellan tekniker och informations-/organisationskunniga där den tekniskt inriktade ofta saknar förståelse för informationsförvaltning och organisatorisk styrning men kanske inte alltid uppfattar detta förhållande själv. Nu tror jag att det renodlade tekniska perspektivet tyvärr kommer att vinna mark hur mycket vi än tjatat om vikten av systematiskt informationssäkerhetsarbete.
En inte oväsentlig del i detta misslyckande ligger hos MSB som omsorgsfullt spelat bort sina och därmed samhällets möjligheter att bedriva ett fungerande systematiskt informationssäkerhetsarbete. Under de år som jag arbetade på MSB förvånades jag ständigt över den begränsade verklighetsförankring i förståelsen för hur det i praktiken ser ut för de som arbetar med informationssäkerhet i myndigheter, regioner, kommuner och företag. Rekrytering skedde helst bland de man kände och man drog sig inte ens för att rekrytera chefer litet a la Kinberg Batra med uppsatta lappar.
När jag föreslog att vi skulle ta fram normerande klassningar och skyddsåtgärder istället för att hela tiden rekommendera åtgärder som tog fasta på skillnaden hos verksamheter istället för att utnyttja likheter och "stordriftsfördelar" möttes detta med oförståelse. Det samma gällde mitt ständiga tjat om vikten av att ha kvar dimensionen spårbarhet, en dimension som i min erfarenhet blivit alltmer central i det praktiska arbetet med att identifiera rätt skyddsåtgärder. Detta är det även fler som försökt diskutera, nu senast såg jag det här, men utan respons. Min djupt personliga upplevelse var att erfarenhet av praktiskt arbete och verkliga problem var lågt värderade kvaliteter vilket har lett till en prioritering av mer abstrakta förhållningssätt. Detta är knappast något som på ett effektivt och ekonomiskt sätt bygger en gemensam säkerhet.
Kanske var det en kultur som övertogs från den inte allt för framgångsrika myndigheten KBM som gjorde att politiskt spel var en så väsentlig del i MSB:s informationssäkerhetsverksamhet. Intresset var riktat mot regeringskansliet snarare än mot de samhällsviktiga organisationer som skulle samordnas och stödjas. Vid samordning av eller vid samarbete med andra myndigheter inom säkerhetsområdet blev det ofta i en känsla av konkurrens där MSB uppfattades eftersträva en auktoritet som man inte hade. Som medarbetare kändes det som om man skulle söka dominans i de olika grupperingarna, en inte särskilt behaglig position.
Sammantaget känns det som MSB inom området informationssäkerhet misslyckats med att skapa tillräckligt förtroende både hos den breda massan av verksamheter och hos övriga säkerhetsmyndigheter. Detta trots att myndigheten haft mycket goda möjligheter både vad gäller mandat och resurser. Man har inte ens lyckats ta det ansvar som följer av språklagen:
12 § Myndigheter har ett särskilt ansvar för att svensk terminologi inom deras olika fackområden finns tillgänglig, används och utvecklas.
Att man inte prioriterat att reda ut terminologin mellan informationssäkerhet och cybersäkerhet, dessutom själva använder begreppen på ett inkonsekvent sätt, har möjliggjort de dysfunktionella organisatoriska turer som nu sker. Hur ska egentligen kakan skäras, är inte informationssäkerhet en del av skyddet av samhällsviktig verksamhet (som MSB:s uppgift) eller den civila beredskapen (som MSB ska samordna)? Hur ska en myndighet med tyngdpunkten på underrättelseverksamhet riktad mot utländska aktörer ge hjälp till kommunala äldreboenden i deras manuella rutiner? Hur ska CER- och NIS-direktivet samordnas? Ska vi bara ägna oss it-säkerhet?
Jag ber om ursäkt för min djupt subjektiva och möjligen orättvisa beskrivning av MSB:s uppgång och fall i dessa frågor. Tyvärr är detta vad jag kommit fram till när jag sökt efter förklaringar till den (i mitt tycke) mycket olyckliga utveckling som sker nu. Kanske kan det även som en del den nuvarande övertron på myndigheter inriktade på försvar, polis och repression som även lett till det (fortfarande i mitt tycke) ogenomtänkta beslutet att lägga utfärdandet av e-legitimationer hos polisen. Ett förslag som polisen själva i sitt remissvar tog avstånd från när utredningen SOU 2023:61 föreslog det. Varför inte flytta över både pass och e-leg till den myndighet som har ansvar för folkbokföringen (Skatten) och låta polisen koncentrera sig på sitt uppdrag?
I mina drömmar ser jag en myndighet för informationsstyrning där alla krav på informationsförvaltning och informationsförsörjning kan samlas och utvecklas till handgripligt stöd, ett stöd som också ser till verksamheternas behov både till innehåll och utformning. Gissar att jag kommer att få fortsätta ett bra tag till. I väntan på en sådan myndighet undrar jag verkligen var informationssäkerheten ska ta vägen.