Transportstyrelsen och it-politikens kognitiva dissonans
Den unika händelsen att en GD får sparken efter att ha beslutat att outsourca information där även uppgifter som faller under säkerhetsskyddslagen ingått har skapat ett stort buzz i säkerhetsvärlden. Det är en uppseendeväckande och skandalös historia som skett på Transportstyrelsen där myndighetsledningen tycks huvudlöst ha struntat i alla varningar och uppmaningar. Mest förvånande är kanske att SÄPO enligt uppgift i media varit involverade och framfört synpunkter men inte lyckats genomdriva dem. Jag är dock inte särskilt förvånad och det är inte första gången myndighetsledningar tar medvetna beslut om att genomföra upphandlingar som om inte direkt lagvidriga innebär mycket stora risker.
I den upphetsade stämning som råder kan det vara bra att försöka konkretisera vad som faktiskt hänt (så som jag tolkar det utifrån medierapporteringen).
- Det var känt att det fanns information som föll under säkerhetsskyddslagen i de system som skulle outsourcas
- Ledningen och styrelsen var medvetna om detta
- Ett aktivt beslut fattades att trots kännedom om detta fullfölja outsourcingen
Kontentan är för mig att det inte är en informationssäkerhetsfråga utan en fråga om hur regeringen styr sina myndighetschefer och säkerställer att de bland annat efterlever säkerhetsskyddslagen samt förhoppningsvis även annan lagstiftning.
Nu pågår en omfattande diskussion rörande Transportstyrelsens skandal där många inlägg är skrivna i till synes stor affekt. Inte minst debattörer med säkerhetsanknytning kommer pepprade salvor och förslag på åtgärder som sägs kunna motverka att liknande händelser skulle kunna inträffa igen. Tyvärr tycker jag många av förslagen verkar illa genomtänkta, såsom det ofta blir när man reagerar på en akut situation och en specifik händelse. Förhoppningsvis leder inte dessa förslag till snabba åtgärder – istället behövs ett mer analytiskt skede, en helhetsbild där den nuvarande röriga argumentationen något sorteras upp. Den diskussion som förts efter att händelsen blivit känd har också kommit att handla om allt möjligt som informationssäkerheten generellt, statliga moln m.m. vilket händelsen på Transportstyrelsen inte egentligen har någon bäring på. Jag ser istället händelsen som ett symptom på regeringens otydlighet i it-politiken där man inte lyckas skapa en strategisk inriktning som omfattar både effektivitet och säkerhet. Detta skapar en kognitiv dissonans i styrningen som jag menar är avgörande förklaring till varför i övrigt kompetenta och förnuftiga generaldirektörer ger sig in i huvudlösa upphandlingar av it-relaterade tjänster.
Låt mig förtydliga. Informationshantering på samhällsnivå innebär ett antal intressekonflikter som jag skrivit om i tidigare blogginlägg; stat – indvid, integritet – övervakning o.s.v. Den i det här mest intressanta är konflikten effektivitet/ekonomi och ”säkerhet”. Informationssäkerhet innehåller i sig motstridiga intressen som mellan tillgänglighet och konfidentialitet men det lämnar jag för tillfället åt sidan. Den kognitiva dissonansen uppstår när intressekonflikten negligeras eller i vissa fall t.o.m. skapas. I nuläget har regeringen å ena sidan formulerat ett antal förslag rörande att informationssäkerhet och säkerhetsskydd ska stärkas (jag skriver det som två punkter för jag anser inte att det är samma sak) och å ena sidan andra imperativa budskap kring ökad användning av molntjänster och om att bli världsbäst på e-förvaltning. Dessutom framförs ofta önskemål om att statens it-kostnader generellt bör sänkas. Till detta kommer dessutom att förslaget till ny säkerhetsskyddslag är så otydligt om vad som egentligen ska räknas som inverkande på rikets (OK Sveriges) säkerhet. Dessa olika intressen går inte att förena fullt ut, det vill säga staten kan inte alltid välja cloud first lika litet som att dåligt avvägd säkerhet kan få förhindra verksamhet att fungera på ett effektivt och någorlunda ekonomiskt försvarbart sätt. Min uppfattning är att så länge de här intressekonflikterna inte lyfts fram, diskuteras och blir föremål för en gemensam avvägning på nationell nivå kommer myndighetsledningar att vara utsatta för en kognitiv dissonans där det är omöjligt att avgöra hur den egna it-verksamheten ska utformas så att den tillgodoser samtliga intressen.
För att skapa en bredare bild än säkerhetsskyddsfrågan på Transportstyrelsen vill jag göra en återkoppling till för situationen för ganska exakt två år sedan då E-hälsomyndigheten skrev ett avtal med Cap Gemini om outsourcing av alla svenska patientjournaler för hantering hos Microsoft. Även denna affär innebar mycket stora säkerhetsproblem men väckte inte alls lika mycket intresse – kanske för att det främst rörde sig om risker för individer och inte för staten. När flera med mig påpekade den bristande säkerheten i upphandlingen mottogs det inte särskilt väl (faktiskt inte ens i min egen myndighet). Orsaken till detta tror jag var just den kognitiva dissonansen: regeringen har beställt en lösning för hälsokonton där kommersiella aktörer ska kunna delta och detta snabbt. Att då ställa säkerhetskrav uppfattas lätt som grus i maskineriet vilket jag för övrigt upplevde även då Statens servicecenter bildades. Utan att på något sätt vilja ursäkta felande myndighetsledningar är det ganska uppenbart att när staten inte ens på övergripande nivå lyckas hantera dessa intressekonflikter blir det desto svårare att hantera situationen i den enskilda myndigheten.
Att ta ställning i intressekonflikterna är vad jag menar att både regeringens cyber- och informationssäkerhetsstrategi och digitaliseringsstrategi skulle ha gjort på ett samordnat sätt. Så är nu inte fallet och därför är det med största sannolikhet inte heller sista gången statliga myndigheter kommer att göra huvudlösa affärer. För att kunna ta fram en fungerande strategi kräver dock en helt annan nivå på utredandet än hittills och också att man försöker hitta fungerande lösningar för framtiden och inte ägnar sig åt att lösa gårdagens frågor. Att föreslå statliga molntjänster för ”lagring” kunde kanske varit ett alternativ vid sekelskiftet men knappast idag då molntjänsterna ersätter verksamhetssystem för att bara ta ett enstaka exempel.
Det är inte bara regeringen har en hemläxa att göra utan även vi som arbetar professionellt med säkerhetsskydd och informationssäkerhet. Jag tror vi står inför stora utmaningar både inom säkerhetsskydds- och informationssäkerhetsområdet där vi måste kunna bidra på ett bättre sätt. Låt oss därför inte banalisera frågeställningarna och utlova enkla lösningar utan erkänna att här krävs nytänkande, uthållighet och betydligt bättre kunskapsgrund för att kunna utgöra ett stöd för samhället.