Varför funkar det inte? Del 2
I detta inlägg ska jag inrikta mig på några mer generella frågor för området som också bör vara frågor som den som inte lever och andas informationssäkerhet borde ställa.
Vad är informationssäkerhet?
Ett ganska modest krav är att på ett hyfsat entydigt sätt kunna definiera vad informationssäkerhet är. Detta är dock svårare än vad det först kan förefalla. Inte ens om det är ett slags tillstånd eller en förmåga är klart. Jag ska här endast ta upp några av de frågor man kan ha anledning att ställa sig angående vad informationssäkerhet ska anses vara.
En definition som säkert kommer att användas av många är den som finns med i den terminologi som sammanställts inom SIS:
bevarande av konfidentialitet, riktighet och tillgänglighet hos information.
Denna definition har övertagits av MSB i den nya föreskriften MSBFS 2016:1 trots att myndigheten i andra sammanhang talar om ”förmåga” alternativt ”tillstånd” i andra sammanhang.
Jag ska inte detta sammanhang gå in på ISO 27000 och dess översättning i detta sammanhang utan här endast koncentrera mig på det sätt som terminologin definierar begreppet. I ordet ”bevara” finns en implicit föreställning om att en vald informationsmängd är en entitet som har initiala egenskaper som ska bibehållas i en kortare eller mindre hantering. Detta är ett ganska egenartat synsätt som sannolikt är hämtat från ett tidigare tekniskt utvecklingsskede, kanske en slags databastänkande, där man är upptagen av transaktioner inom ett enskilt system. Att ställa krav på informationens kvalitet före instoppandet i systemet eller vid sammanställning till nya informationsmängder ligger utanför definitionen. I värsta fall skulle informationssäkerhetsarbetet alltså leda till att felaktig information förblir felaktig eftersom då den ursprungliga riktigheten ”bevaras”. Beskrivningen indikerar också ett statiskt förhållande där informationen liksom inkapslad färdas i ett system. Detta stämmer inte heller särskilt väl med den informationsinfrastruktur som har växt fram där information hela tiden sammanställs, förändras och kommuniceras i nya strukturer. Informationssäkerheten borde då syfta till att förändras och skapa en tillräcklig nivå av skydd under informationshanteringsprocessen/erna. Personligen måste jag därför medge att ”bevarande” är en definition som inte känns relevant. ”Tillstånd” eller ”förmåga” är alternativ som skulle ge andra möjligheter men oavsett vilket begrepp som väljs borde det bygga på en mer
Trots att informationssäkerhetsområdet inte bygger på tung akademisk forskning på en ontologisk nivå, till exempel rörande vad informationssäkerhet skulle sägas vara, finns det vissa hangups där det hänvisats till akademin. Den sådan är begreppet ”spårbarhet” som av informationssäkerhetens purister inte anses ha samma autonoma värde som exempelvis riktighet och tillgänglighet. Purismen i denna fråga känns inte särskilt väl underbyggd. Mig veterligen inte finns någon begreppsmodellering genomförd över något av begreppen och inte heller är översättningen av den så kallade CIA-triaden (Confidentiality, integrity och availability) till konfidentialitet, riktighet och tillgänglighet klockren. Integrity skulle knappast översättas till ”riktighet” i något annat sammanhang, särskilt som riktighet i SIS terminologi anges som skydd mot oönskad förändring vilket återigen antyder ett synsätt som utgår från databashantering. Rent praktiskt är spårbarhet ett begrepp som är av stor betydelse i transaktionstäta verksamheter som bank, finans och sjukvård samt för att stödja integritetskrav. Spårbarhet är också mycket tydligt kopplat till konkreta åtgärder som loggning – ändå väljs det bort utan närmare förklaring. Detta är bara ett exempel på att själva grundelementen i beskrivningen av informationssäkerheten saknar verkligt definition vilket ger möjlighet till vitt skilda tolkningar och närmast trosläror om vad informationssäkerhet egentligen är.
Ett annat tolkningsproblem är skillnaden mellan informationssäkerhet å ena sidan och it-säkerhet å den andra. Att de som inte har informationssäkerhet har svårt att uppfatta skillnaden är inte så konstigt men att även de som arbetar med informationssäkerhet vacklar i distinktionen är ett tydligt tecken på osäkerheten i begreppet informationssäkerhet. För mig framstår det som att informationssäkerhet i i första hand är en organisatorisk stödfunktion som ska ge ledningen stöd i att styra sin verksamhets resurser så att de skyddar informationen på ett sätt som stöder verksamhetens mål. Detta uppfattar jag också som kärnan i ISO 27000 som ju är helt inriktad på att skapa ett ledningssystem som ska ge en organisatorisk förmåga till styrning av informationshanteringen. It-säkerhet är i detta perspektiv de tekniska åtgärder som ska vidtas för att svara på de krav som ledningssystemet ställer. Många verksamma inom informationssäkerhetsområdet tycks inte dela denna uppfattning utan ser informationssäkerhet som synonymt med it-säkerhet. Även denna basala fråga skulle behöva analyseras och få en mer allmänt accepterad förklaring.
Detta är bara några frågor där det enligt min uppfattning råder oklarhet och där utrymmet för analys och vidareutveckling är mycket stort. I nästa inlägg ska jag ge mig på målet för arbetet med informationssäkerhet.