Jag har svårt att glömma när jag i samband med ett införande av ett ledningssystem för informationssäkerhet (LIS) i en politiskt styrd organisation tidigt 2000-tal fick beskedet att ”Informationssäkerhet vinner man inte några val på” när vi sökte ledningens engagemang. Det har runnit en hel del vatten under broarna sedan dess. Redan valet 2006 visades hur lätt det är att förlora ett val med bristande informationssäkerhet och nu senast i valet i USA 2017 blev det än mer tydligt.
Arbetet med att nå harmoni med Dataskyddsförordningen har givit informationssäkerhetsarbetet fokus. Det bristande ledarskapet i Transportstyrelsen har gjort att Säkerhetsskyddslagstiftningen med tillhörande förordning har fått stå ordentligt i rampljuset sista halvåret. Min uppfattning är att Dataskyddsförordningen oväntat har hamnat i bakgrunden när säkerhetsskyddet solar sig i sin glans. Även om Säkerhetsskyddsförordningen är lite väl styvmoderlig vad gäller informationssäkerhet så visar utredningen SOU 2015:25 En ny säkerhetsskyddslag på en vilja av harmonisering.
Oavsett vilka regulatoriska krav som för tillfället uppmärksammas har de gemensamt att få ett strukturerat informationssäkerhetsarbete på plats som fungerar över tid och som tar utgångspunkt i informationens skyddsvärde.
Det är givetvis sorgligt det som inträffar hos Transportstyrelsen, Polisen, Ekobrottsmyndigheten och nu senast PTS. Dessvärre är det bara toppen av ett isberg. Vi är förvånade över att fler informationssäkerhetsincidenter inte inträffar.
Just det faktum att det inte har hänt mer, hittills, gör också att det bristande ledarskapet och engagemanget i frågorna kan fortgå.
Här ser vi dock ett mycket tydlig trendbrott. Informationssäkerhetsfrågorna hamnar allt högre upp på agendorna. Jag vill också påstå att organisationerna i allt större utsträckning förstår att det är större organisatoriska än tekniska utmaningar. Det är dock långt kvar innan beteendet att en ny cool pryl löser våra tillkortakommanden. Hur många har inte spenderat stora summor på att migrera brandväggar från lila till orange tillverkare när samma medel hade kunnat användas för att breddutbilda de anställda (och då inte med någon ny cool pryl till hjälp). Det behövs inte någon större analys för att förstå vad som ger störst nytta.
Vi kan redan nu konstatera att 2017 var ett år av uppvaknande. Det ska bli spännande att se om, eller förhoppningsvis hur, informationssäkerheten kommer att färga valet om ett knappt år. Jag tror inte att någon längre kommer att påstå att frågan är underordnad. Den är i allra högsta grad överordnad.
Svårigheten är att ta snabba politiska poäng som är trovärdiga. Informationssäkerhet handlar om ett långsiktigt idogt arbete utan slut. Det kanske låter dötrist och långtråkig men effekten är alldeles alldeles underbar!
Thomas Nilsson
