I november 2011 inträffade en större driftstörning hos Tieto som drabbade ett femtiotal av deras kunder. Jag arbetade på MSB då och hade mycket god insyn i händelsen utifrån myndighetens vinkel särskilt som jag fick ett stort ansvar för att hålla ihop analysen och en rapport, se nedan.
När det nu skett en ny stor incident hos den it-leverantör som nu heter TietoEvry är det därför oundvikligt att gå till tillbaka och läsa om rapporten för att försöka förstå vad som hänt på det dryga dussinet år som skiljer de två incidenterna åt. Ett aber är förstås att vi ännu inte riktigt kan överblicka vare sig orsak till eller konsekvenser av den aktuella incidenten så ha detta i åtanke.
Den intresserade kan läsa rapporten som ganska detaljerat går igenom själva händelseförloppet. Det som slog mig under ett par vintermånaders turnerande till drabbade kunder och till Värta-hamnen var hur litet insyn och påverkan samhället hade trots att det var samhällsviktig verksamhet som hade placerat sin information hos Tieto. Det blev snabbt tydligt att det var en stor incident på samhällsnivå så myndigheten hade behov av skapa en lägesbild för att bland annat kunna samordna aktörer och kommunicera om händelsen. Ett annat viktigt syfte var att kunna på samhällsnivå kunna delta i en prioritering i återställelsearbetet, dvs. delta i en diskussion om vilka verksamheter som var att bedöma som mest tidskritiska för samhället.
Dessa i mina ögon mycket anspråkslösa önskemål möttes dock med kalla handen med hänvisning till kundernas sekretess. Tieto gjorde sina egna bedömningar av vad som var samhällsviktigt visade det sig, okänt utifrån vilka kriterier. I de diskussioner på de kundmöten där jag deltog framkom att Tietos bedömningar var lika okända för kunderna som för oss. Det enda som blev tydligt för mig var att huruvida kunden köpt en högre nivå av leverans (typ silver, guld eller platina) inte var ett kriterium för att bli prioriterad i leverans eller återställelsearbete hos Tieto. Låt oss säga så här: det var ett betydligt större affärsintresse hos Tieto att ha ett stort företag som nöjd kund än Söpple kommun alldeles oavsett om kommunen köpt platinanivå. Efter detta har jag så ofta jag kunnat i föredrag och kurser försökt understryka att ett avtal inte är ett absolut löfte utan att villkoren alltid kan brytas om leverantören tycker att det är ekonomiskt mer fördelaktigt. Behovet av reservlösningar styrs alltså inte av avtalet om någon trodde det.
Tyvärr tycker jag medierapporteringen av den pågående incidenten tyder på att bristen på insyn kvarstår. Enskilda har sammanställt listor över drabbade men det verkar inte finnas någon officiell lägesbild som delgetts. Det skulle i så fall innebära att möjligheten för samhället att styra prioriteringar fortfarande saknas trots NIS-direktiv och annat. Vi är väldigt långt från den it-haveriutredning som många efterfrågar. Rätta mig gärna om jag har fel.
Vi har alltså en eller flera oerhört betydelsefulla black boxes (begrepp för en process där man studerar in- och utdata utan att känna processens inre egenskaper eller uppbyggnad) som är avgörande för ur samhällsviktiga verksamheter ska kunna upprätthålla sin funktionalitet. Jag säger inte att statlig drift av allt som är viktigt är det enda alternativet men det känns mycket otillfredsställande sett till behovet av robusthet.
Rapporten från 2012 avslutas med fyra inriktningar för arbetet framåt. Återigen är jag tveksam till hur väl detta fallit ut. Låt oss titta litet närmare.
1 Stärkt förebyggande informationssäkerhetsarbete i hela samhället
Det förebyggande informationssäkerhetsarbetet behöver utvecklas – på alla ansvarsnivåer och inom alla sektorer – och samordnas ytterligare för att kunna förebygga och hantera allvarliga it-incidenter i samhället. För att öka samhällets informationssäkerhet krävs en ökad samverkan mellan offentliga och privata aktörer.
Arbetet bör fortsätta i linje med strategin för samhällets informations-
säkerhet. Det kommer även att förtydligas ytterligare genom den nationella handlingsplan som för närvarande utarbetas i samverkan mellan de myndigheter som ingår i Samverkansgruppen för informationssäkerhet (SAMFI) och andra berörda myndigheter.
Driftstörningen visar att sektorsansvariga myndigheter, länsstyrelser, landsting och kommuner behöver utveckla förmågan att förebygga och hantera it-relaterade kriser.
Kommentar: Det känns inte som strategin och handlingsplanen haft så stor betydelse eller att samverkan blivit så mycket större eller att det finns en tydlig organisation för hur det ska ske.
2 Bättre säkerhet med upphandling som verktyg
Det finns en stor potential när det gäller upphandling där alla aktörer i
samhället behöver utveckla sin kompetens för att bättre kunna använda
upphandling som ett medel för att styra sin informationssäkerhet.
I avtal går det också att formulera regler som stödjer samhällets krishantering, till exempel kan det ställas krav på rapportering kring incidenter samt hur leverantörerna ska bidra vid en allvarlig störning. Denna typ av styrning framstår som ändamålsenlig eftersom de offentliga verksamheterna alltmer agerar som beställare av olika tjänster. Avtalsvillkor kan då också flyttas med till eventuella underleverantörer.
De upphandlingar som sker via Kammarkollegiet är ett viktigt verktyg för att öka informationssäkerheten i den offentliga förvaltningen.
Kommentar: Min högst anekdotiska bild är att säkerhetskraven i upphandlingar inte förbättrats över tid, det finns ett antal miljardprojekt under senare år som tyder på motsatsen. Det är också svårt för små verksamheter att formulera aktuella säkerhetskrav eftersom man ofta har en begränsad egen it-verksamhet. Mitt förslag när jag jobbade på MSB var att myndigheten skulle ta fram och förvalta gemensamma säkerhetskrav på olika nivåer, detta också för att it-leverantörerna skulle få bättre input för sin R&D. Detta fick dock inget större gehör (hör min bittra röst 😄). Min konklusion var och är att det offentliga måste samla sig till en gemensam kravbild inte bara för att göra bättre upphandlingar utan också för att det är nödvändigt för att bygga en gemensam infrastruktur.
Just kontinuitet i upphandling är extra svårt eftersom det då kommer in aspekter som den enskilda organisationen inte kan påverka som överförda risker mellan olika kunder och aggregering/ackumulation. Dessutom handlar det även om att vid upphandlingen analysera vilken påverkan den inhandlade lösningen får på organisationens verksamhet och hur man ska agera när den inte fungerar. Kontinuitetsplaneringen måste alltså in från början vid en upphandling eller utveckling. Tyvärr så kanske man måste räkna med att ha 20 % marginal för att inte bara kunna fungera vid vackert väder - ett ekonomiskt budskap som är svårt att sälja in i de många flashiga digitala upphandlingar som görs där man hävdar att man ska minska kostnader. Av självbevarelsedrift så tar digitaliseringsstrategier m.m. ytterst sällan upp frågan om kontinuitet.
Den som upphandlar kan alltså inte själv styra den faktiska säkerhet som uppstår genom upphandlingen trots att detta hävdas gång på gång. Vad som behövs är ett betydligt större samhälleligt grepp om frågan.
- Särskilt fokus på riskanalys och kontinuitetsplanering
Den aktuella driftstörningen visar på brister i kontinuitetsplaneringen och
beredskapen hos flera av de drabbade organisationerna. Ett systematiskt arbete med informationsklassning och riskanalys är en grundförutsättning för allt informationssäkerhetsarbete.
Då viktiga samhällsaktörers informationshantering i allt högre grad bygger på tekniskt och organisatoriskt integrerade lösningar blir både riskanalys och kontinuitetsplanering komplexa att genomföra. Riskanalyser, och då särskilt informationsklassning, är ett viktigt redskap vid upphandlingar och även ur denna synpunkt är samordning väsentlig eftersom den offentliga sektorns upphandlingar till stor del kan ske via Kammarkollegiets ramavtal. Riskanalyser kan därmed vara en pådrivande faktor för en generellt förbättrad informations-
säkerhet.
Det är viktigt att utveckla stöd som gör det möjligt även för organisationer med begränsade resurser att genomföra riskanalyser och informationsklassning, samt kontinuitetsplanering.
Kontinuitetsplaner och andra ramverk för it-incidenthantering behöver övas och uppdateras regelbundet.
Kommentar: Denna inriktning känns minst lika aktuell idag som då den skrevs. Tyvärr är detta ett försummat område trots att alla skulle hålla med om dess vikt och här är det nog oundvikligt att MSB som huvudansvarig myndighet för samhällets kontinuitet får ta en stor del av hundhuvudet. Dels på det stora samhällsövergripande planet som redan berörts men också när det gäller att ge stöd till enskilda organisationer. Om man går in och tittar på MSB:s flaggskepp Metodstödet nämns inte ens ordet "kontinuitetshantering", inte heller i den översikt som tagits fram, i broschyren om ledningens roll som publicerats. Det finns inte heller någon särskild vägledning inriktad på just kontinuitet ur ett informationssäkerhetsperspektiv, däremot gällande kontinuitet generellt.
Detta är mycket tråkigt eftersom är det något område där det verkligen behövs praktisk vägledning så är det inom kontinuitet, t.ex, hur man kopplar kartlägger verksamhetens processer och utifrån riskanalys och informationsklassning prioriterar. Eller hur man samordnar kontinuitets- och incidenthantering. Eller hur man har en planering på lagom nivå eller hur man övar.
Allt detta är i ganska hög grad hantverksfrågor som man behöver rätt mycket erfarenhet för att kunna beskriva. Tyvärr verkar MSB (liksom en del andra inom informationssäkerhetsområdet) föredra att befinna sig i mer abstrakta områden som ledning/styrning eller säkerhetskultur. Självklart förstår jag lockelsen i att befinna sig i ett feel good-område; det är betydligt svårare att ägna sig åt att beskriva praktiskt genomförbara aktiviteter där man ofta får räkna med att ha fel och/eller bli motsagd. Personligen tror jag dock att det är i de praktiskt säkerhetshöjande åtgärderna som vägen till en bättre säkerhet ligger.
- Nationell och regional informationssäkerhetsrelaterad lägesbild
Den ökade koncentrationen av it-drift och andra it-relaterade tjänster innebär att ett stort antal aktörer kan komma att drabbas samtidigt av en incident och att konsekvenserna för samhället kan bli allvarliga. Detta ställer ökade krav på samordning och samverkan.
Samverkan och samordning vid en allvarlig it-incident förutsätter att det finns relevanta och aktuella lägesbilder på lokal, regional, sektoriell och nationell nivå. Driftstörningen visar att de berörda aktörerna behöver utveckla processer för informationsinhämtning och informationsdelning. I detta bör även ingå att kunna kommunicera informationen till medborgarna och det förutsätter att informationen samordnas.
MSB avser att fortsätta arbeta med att utveckla en nationell informations-
säkerhetsrelaterad lägesbild i samverkan med berörda aktörer i samhället. En grundförutsättning i det arbetet är den Nationella samverkansfunktionen för informationssäkerhet (NOS). Särskilt fokus kommer att läggas på behovet av att snabbt kunna inhämta lägesinformation från olika aktörer i samhället, som
till exempel sektorsansvariga myndigheter och länsstyrelser. En viktig fråga som behöver hanteras är hur lägesinformation ska kunna inhämtas från privata aktörer på ett sätt som inte riskerar att äventyra deras affärsverksamhet eller behov av sekretess.
Ytterligare en viktig del i arbetet med att skapa en nationell informations-
säkerhetsrelaterad lägesbild är system för obligatorisk it-incidentrapportering för statliga myndigheter. Mot bakgrund av den aktuella driftstörningen anser MSB att det i det fortsatta arbetet bör övervägas om en sådan rapportering också ska omfatta andra offentliga aktörer, som exempelvis kommunerna.
Kommentar: Av NOS bidde en tummetott som försvann och jag är som beskrivits ovan fortfarande ytterst tveksam till de förutsättningar som finns för att skapa en nationell informationssäkerhetsrelaterad lägesbild. Så länge de privata aktörernas sekretessregler overrular samhällsbehovet så är vi kvar på exakt samma punkt som 2011.
Mina dagsfärska reflektioner är två.
- Vi måste komma ifrån bilden av att incidenter är en it-fråga. Det är verksamhets- respektive samhällsfrågor.
- Vi måste komma bort från nånannanismen på nationell nivå. Lika litet som regeringen ska rikta all uppmärksamhet mot vad vi enskilda ska göra i beredskapssyfte bör exempelvis MSB gå ut alltför hårt och ondgöra sig över att enskilda organisationer inte skyddar sig tillräckligt bra. En grundläggande princip bör vara att inte kräva av funktioner och organisationer satt göra saker som de facto inte kan göra utan stöd. Håll upp spegeln och fråga istället: vad kan vi göra bättre?
