Låt säga att man som jurist specialiserat sig på Förordning (1998:915) om miljöhänsyn i jordbruket. Jag menar att man då är expert på de juridiska förutsättningarna för när man behöver ett särskilt utrymme för hantering av stallgödsel till exempel. Däremot skulle ingen förvänta sig att samma jurist skulle kunna hantera ett jordbruk i praktiken (i alla fall inte utifrån sin juridiska kunskap).

När vi kommer till cyber- och informationssäkerhet är det emellertid annorlunda. Uppsjön av konferens- och kursinbjudningar gällande cybersäkerhetslagen ger intrycket av att det viktiga är att känna till lagkrav, inte att bedriva ett verkligt säkerhetsarbete. Låt mig förtydliga två saker:
1) att följa gällande lagar är EN viktig del av säkerhetsarbetet
2) jag talar i egen sak eftersom jag själv på kurser och konferenser har inriktningen på praktiskt säkerhetsarbete.

När detta är klarlagt vill jag ändå fortsätta att hävda de risker som finns i sitt säkerhetsarbete lägga tyngdpunkten på juridik. Juridik ger ett ramverk för vad som ska och får göras men är definitivt inte detsamma som konkret säkerhetsarbete, jmf min liknelse med lagstiftning om jordbruk.

Vad jag är rädd för är att den stora risken formuleras som att bryta mot lagstiftning eller föreskrifter istället för att se de verkligt stora riskerna för verksamheten. Dessa kräver en faktiskt kompetens inom säkerhetsområdet för att identifiera, reducera och hantera. Jag skrev redan för 5-6 år sedan om säkerhetarbetet i sig har en tendens mot överbyråkrati när man tappar siktet på risken.

Den byråkratiska informationssäkerheten

Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap. Under sommaren har jag en forskningsantologi kallad Statlig förvaltningspolitik för 2020-talet. Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor. Här får

Fia Ewald Consulting ABFia Ewald

Tendensen har på senare år stärkts ännu mer och en bidragande faktor är EU-direktiv på både säkerhetsområdet och andra närliggande frågor. Detta har skapat en inte oansenlig flock av juridiska EU-viskare som uttolkar den minst sagt snåriga flora av regler. Dessutom tror jag att en kall verklighet där juridik är utpekat som en av de discipliner där många kan bli ersatta av AI-lösningar gör att man söker nya möjligheter.

När man tar del av den juridiska dialekten av cyber- och informationssäkerhet blir det snabbt tydligt hur centralt compliance är där. Det är ju inte så konstigt eftersom det är själva essensen av juridiskt utövande vid sidan av kännedom om och tolkning av regler.. Detta gör mig bekymrad bland annat eftersom:

1) Få saker är så byråkratidrivande som just compliance.

2) Jag ser compliance som motpolen till risk, dvs man tittar bakåt på regler som redan är formulerad, ibland i en tid vars förutsättningar inte längre är aktuella. Risk däremot handlar om att vara framåtblickande och försöka reducera säkerhetsproblem som kan förutses.

3) Alltför många gånger har jag sett hur compliance liksom andra typer av revision snedvrider säkerhetsarbetet så att det kommer att handla om kryssa i generella boxar istället för se de unika verksamhetsriskerna och bedriva ett anpassat säkerhetsarbete.

När nu cybersäkerhetslagens pappersexercis läggs till redan befintlig byråkrati inom bland annat säkerhetsskydd och dataskydd så borde det vara en tankeställare. Jag har tagit del av MCF:s remiss på nya föreskrifter inom cyber- och informationssäkerhet samt samtliga remissvar. Återkommer till detta i ett annat inlägg men sammantaget tyder inget på förenklingar och minskad byråkrati, snarare motsatsen. Hur mycket säkerhet tål verksamheten när den tar sig dessa uttryck?

Sammantaget tror jag många jurister kan vara lämpliga för att arbeta med informationssäkerhet men då är det inte som jurist utan som någon har respekt för och har lärt sig det faktiska säkerhetsarbetet.