Jag berörde detta i en krönika för ganska exakt tre år sedan. Vad har hänt sedan dess? Alldeles för lite är min uppfattning. Det är fortfarande helt okej att leverera sjukvård, omsorg, finansiella tjänster, samhällsviktig infrastruktur osv utan att ha ett strukturerat informationssäkerhetsarbete på plats som certifierats mot SS-ISO/IEC 27001.
Visserligen ställer allt fler regulatoriska krav på ett strukturerat informationssäkerhetsarbete men ingen vågar ställa krav på att ledningssystemet för informationssäkerhet ska vara certifierat.
NIS, eller Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster som den egentligen heter, är ett exempel på ett regulatoriskt krav som ställer krav på att samhällsviktig verksamhet ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Däremot ställer lagen inte några krav på att ledningssystemet ska vara certifierat. I praktiken är det alltså ingen extern part som återkommande följer upp att ledningssystemet är effektivt över tid.
Varför flyttar lagstiftaren inte fram positionerna? 1177-läckan hade sannolikt aldrig inträffat med ett certifierat ledningssystem på plats. Horder av andra informationsläckage som också inträffat, inte sällan med känsliga personuppgifter, hade heller aldrig inträffat. Sedan ska det sägas att det finns ju några certifierade aktörer som också misslyckas, men de har heller inte lyckats fläta in informationssäkerhetsarbetet i verksamheten utan det hänger tyvärr vid sidan.
Min uppfattning är att det finns en rädsla att ledningssystem för informationssäkerhet är för utmanande och att kravet skulle riskera att flera verksamheter skulle få slå igen. Den som lever med den uppfattningen har inte heller något ledningssystem för informationssäkerhet på plats. Resonemanget hade varit ett annat annars. Det vore väl önskvärt att aktörer som skyller på en liten internetsladd när läckaget är ett faktum fick stänga ner verksamheten långt innan de står i skamvrån. Eller?
Jag hör röster höjas för att någon form av certifiering kanske är en väg fram för att råda bot på det undermåliga nuläget. Kanske en förenkling av SS-ISO/IEC 27001. Jag är glad att fler tänker tanken på certifiering, men jag mår dåligt när en väl fungerande standard behöver styckas för att passa in. Ni hör själva hur illa det låter. Det är ytterligare ett bevis på att gapet är på tok för stort mellan hur det borde vara och hur det faktiskt är.
I Sverige är det Swedac som ackrediterar certifieringsorgan och enligt den förteckning som certifieringsorganen som ackrediterats av Swedac sammanställt är det bara en handfull myndigheter och en region som certifierat sitt ledningssystem för informationssäkerhet. Det ska sägas att det finns fler ackrediteringsorgan, exempelvis UKAS (United Kingdom Accreditation Service) som kan ackreditera certifieringsorgan som verkar i Sverige så listan är inte fullständig men nuläget är oroande.
Med ett certifierat ledningssystem besparas vi också det faktum att varje aktör, gång efter annan måste beskriva effektiviteten i sitt ledningssystem för informationssäkerhet för att påvisa för intressenterna att det lever upp till de krav som ställs. Krav som inte sällan är olika för olika intressenter.
Låt oss lämna nuläget bakom oss och inom tre år ersätta dagens lapptäcke och ineffektiva säkerhetsarbete med ett effektivt ledningssystem som kan certifieras mot SS-ISO/IEC 27001. Det är inget orimligt krav där vi ställer höga informationssäkerhetskrav. Tvärtom!
Thomas Nilsson
