Fungerar kompassen verkligen?

2021-05-28

Nu har vi levt i pandemin i snart 1,5 år, lite beroende på när vi definierar starten, Till en början var det en stor omställning vilket skapade en rad omedelbara utmaningar. Bara det faktum att en hel verksamhet gick från att vara hårt centraliserad till att bli så decentraliserad som den bara kan över en natt är kanske ingenting vi kommer att få uppleva igen.

Jag vet att flera organisationer gjorde några testskott innan besluten fattades för att se att it-infrastrukturen tålde förändringarna. Visst har det passerat en rad flaskhalsar i en sådan omställning och alla är kanske fortfarande inte hanterade, men jag tror nog att vi är flera som är förvånade över att omställningen inte förde med sig fler utmaningar. Vad det verkar.

En intressant reflektion är att det huvudsakligen var fokus på de tekniska utmaningarna. Det var uppskattningsvis långt ifrån lika många organisationer som gjorde tillräckliga analyser när exponeringsytan för hela organisationen förändrades genom ett vingslag. Pandemin gav oss inte riktigt den tiden och ytterst få hade det som ett tänkbart och inövat scenario.

Den tekniska skulden visade sig tydligt men skadorna på informationssäkerheten är inte alls lika tydliga. Till detta ska läggas att informationssäkerhetsarbetet oftast dras med en större skuld än just den tekniska där tillgänglighetsjakten oftast är i fokus. Här kommer det över tid bli betydligt mer kännbart när det blir känt vad faktiskt omställningen har lätt till.

Parallellt med pandemin har det arbetats fram förslag till skärpningar inom det viktiga säkerhetsskyddarbetet. När nu Prop. 2020/21:194 Ett starkare skydd för Sveriges säkerhet landar hos riksdagen är det en uppryckning, men mot bakgrund av att säkerhetsskyddsarbetet inte går i takt med tiden ställer jag mig frågan om den leder i rätt riktning? Propositionen syftar visserligen till ytterligare åtgärder som förebygger att säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet utsätts för risker i samband med ut-kontraktering, upplåtelse och överlåtelse, men det kommer också att skapa en omfattande byråkrati som sannerligen inte för arbetet tillräckligt framåt.

Det skulle också ha varit på sin plats att åtminstone med en rad i propositionen konstatera att effekterna av pandemin är den största risken av dem alla.

En effekt av den föreslagna propositionen är att väldigt många organisationer nu inser att det är hög tid att genomföra sin säkerhetsskyddsanalys och upprätta där tillhörande säkerhetsskyddsplaner. Sätt detta i ett perspektiv där en organisation skyndsamt ställt om till ett decentraliserat arbetssätt med allehanda digitala verktyg för informationsutbyten som sannolikt inte är dimensionerade för att hantera detta, sannolikt i hemmamiljöer som heller inte är lämpliga för ändamålet. Lägg till detta att kunskapsglappet är fortsatt sort.

Sammantaget leder detta till en väsentligt ökad exponering av informationsmängder som är säkerhetskänsliga i en tid när exponeringsytan aldrig varit större. Här krävs det en ökad och uttalad tydlighet att Teams, Zoom, Meet och allehanda vardagliga verktyg är långt från dimensionerade för att hantera säkerhetsskyddsklassificerade uppgifter.

Ytterst är detta dock inte en fråga om verktygsval utan att bygga förmågan där var och en som har att hantera säkerhetsskyddsklassificerade uppgifter instinktiv reagerar när kompassen pekar i helt fel riktning.

Kunskapsgapet är den största utmaning och här behövs de största insatserna. Regeringens uppdrag till Försvarsmakten och Säkerhetspolisen att kartlägga behovet av kompetensförsörjning är alldeles för sent påkommet och givet dagens situation väcks frågan om det verkligen behövs ytterligare en utredning för att konstatera nuläget? Resultatet ska presenteras först till våren och innan det har blivit någon reell förändring har det gått ytterligare ett par år innan vi ser några förbättringar. Det är långt ifrån rimligt med tanke på dagens situation.

Sveriges säkerhet förtjänar långt bättre än så här!