Den verkliga verkligheten

2023-09-28

Tiden då den digitala sfären var relativt oreglerad är förbi. EU:s policy om det digitala årtiondet har ambitiösa målsättningar som innebär en omfattande reglering av alla områden som rör digitalisering till 2030. Det nya CER-direktivet och uppdateringen av NIS-direktivet syftar till att stärka viktiga samhällsfunktioner samt öka tillgängligheten och säkerheten hos samhällsviktiga nätverks- och informationssystem. Det är på tiden. Ibland sköts den digitala säkerheten pinsamt dåligt och det  är kanske därför som det minst sagt skaver när vi fortfarande kan läsa rapporter om incidenter som inte borde ha skett, exempelvis när ett av Sveriges största försäkringsbolag haft känsliga personuppgifter om 650 000 kunder åtkomliga från internet.

I den vanliga vardagen, långt från vad som kan anses vara samhällsviktigt, går det sällan en dag utan att man undrar vad var det egentligen var som hände. Begrepp som handhavandefel eller signalfel är så diffusa så att det snarast blir i de närmaste oförskämda för dem som adresseras, inte sällan i en situation som är allt annat än önskvärd. Ibland faller det ett leende på läpparna som när CERT.SE nyligen, på grund av ett ”handhavandefel”, skickar ut en bilhandlarannons som ett blixtmeddelande. Det kanske bör tilläggas att det var inte någon bilmodell som behövde en akut patch som uppmärksammades.

Det kanske heller inte är samhällskritiskt när vägtrafikregistret inte är tillgängligt och vissa bilbesiktningsföretag inte kan bedriva sin verksamhet. Intressant nog kunde jag bevittna en aktör vars verksamhet fungerade och en annan som inte kunde leverera sin tjänst vid exakt samma tillfälle. Olika organisationer är onekligen olika robusta för sådana här incidenter. Om det nu var god säkerhetskultur som gjorde att organisationerna var olika robusta eller om det var en slump, eller ett arv från avregleringen?

Det systematiska informationssäkerhetsarbetet är inte sällan det som eftersträvas i all den reglering som växer fram. Det är lovvärt att de sker en samstämmighet här. MSB:s mognadsmätningar visar att det är en bit kvar innan mognadsgraden är tillräcklig. Detta tillsammans med den faktiska bilden att det finns ett tydligt gap som visar sig i den verkliga världen.

Det som också blir allt tydligare är att steget från ansvaret till det faktiska utförandet av olika tjänster sker i väldigt många led där krav på ansvar, säkerhet, uppföljning tenderar att urvattnas  genom leden. Det blir väldigt tydligt när incidenter som personuppgiftsläckaget kring 1177 studeras. Det finns också en tendens att tjänsteleverantörerna har ett övertag i förhållande till beställarna vilket har visat sig i ett antal incidenter under 2023 som drabbat verksamhetsutövare och enskilda. Det är en illavarslande trend, inte minst där det handlar om samhällsviktiga tjänster.

Det finns ett behov av mer konkret vägledning och mer aktiv uppföljning. Säkerhetspolisens vägledning kring säkerhetsskydd och Försvarsmaktens handböcker är goda exempel på mer konkret vägledning. Det finns givetvis förbättringspotential även här, men bara det faktum att det är mer konkret vägledning är av godo. Det är inte rimligt att alla organisationer som exempelvis hanterar känsliga personuppgifter ska göra bedömningen själva vad som är över tid är lämpliga tekniska och organisatoriska skyddsåtgärder. Det utsätter de registrerade i en uppenbar fara. Varje dag. När Datainspektionen, nuvarande IMY, år 2006 konstaterade i ett tillsynsärende att känsliga personuppgifter som tillgängliggörs över öppna nät ska föregås av stark autentisering blev det väldig tydlig vägledning. Bortsett från att begreppet stark autentisering kanske inte är helt tydligt, men att det inte är tillåtet att logga in med enbart lösenord blev i alla fall tydligt.

EU:s initiativ till en informationssäkerhetsmånad i oktober är välkommet, även om vi önskade det alla dagar på året. För Sveriges digitala välmående är det ännu mer välkommet med en större tydlighet för att säkerställa att vi har grundläggande hygienfaktorer kring informations- och cybersäkerheten på plats.  Konkret vägledning och ansvarstagande har aldrig varit viktigare för den verkliga verkligheten.