Låt oss lära av varandras incidenter!

2017-04-28

Ett relativt enkelt sätt att veta vilka säkerhetsåtgärder som är lämpliga, är att lära av egna och andras incidenter. Vid en korrekt hanterad incidenthanteringsprocess, eller rutin om man så vill, ska lärdom dras kring varför incidenten eller händelsen inträffade, så att säkerhetsåtgärder kan vidtas för att minimera sannolikhet eller konsekvens för liknande händelser.

Detta känns sunt i alla avseenden, men tyvärr brister många organisationer i just detta. Istället läggs allt fokus på att minimera påverkan av incidenten och återställa verksamheten till det normala, för att incidenten sedan sakta men säkert tynar bort och faller i glömska. Inget ont i att försöka skapa ordning och reda i en oönskad situation, men sen då? Vad är det som säger att inte samma sak kommer hända igen om ingen förändring görs? Verksamheterna har i de flesta fall varken tid eller lust att följa upp sådana händelser utan arbetar oförtrutet på och litar på att den mer IT-nära verksamheten nog kommer att se till att något liknande inte händer igen.

Vad gäller att lära av andras incidenter är förmågan bättre. Kanske för att lärdomen kan dras när det i övrigt är ett normalilstånd? Kanske för att vetskapen når beslutsfattaren via andra kanaler och beslutet är tämligen enkelt?

Det är med visst mått av glädje jag ser att incidenter i framtiden i allt större grad följs upp från högre ort, nämligen av olika myndigheter genom olika lagar och förordningar. Det är inte alltför länge sedan som flera statliga myndigheter föreskrevs börja incidentrapportera (till MSB) och i och med Dataskyddsförordningen (personuppgiftsincidenter) och NIS-direktivet (https://ec.europa.eu/digital-single-market/en/network-and-information-security-nis-directive) så blir dessa krav påtagliga för näst intill alla organisationer i Sverige. Gott så. Men vad innebär det i praktiken och vad innebär det att det är olika myndigheter som samlar in incidenter och än så länge inte likartat?

Hos flera tillsynsmyndigheter kommer förhoppningsvis värdefull information om olika incidenter att samlas, men till vilken faktisk nytta? I tankens riktning ligger att lagstifta kring vilka säkerhetsåtgärder som är lämpliga inom olika samhällssektorer och olika informationsbehandlingar. Jag hoppas och tror att så inte blir fallet. Det är redan så att verksamhetskrav börjar bli överskuggade av regulatoriska krav, och tänkbart i en mörk framtid är att det redan i lagtexter går att utläsa vilka risker som ska analyseras snarare än att låta verksamheterna göra dessa bedömningar, och då så klart mot bakgrund av beprövad metodik såsom informationsklassning och riskanalys. Detta ska ses mot det faktum att informationssäkerhet redan står i skuggan av affären eller samhällsuppdraget riskerar regulatoriska krav att ytterligare äta tid från traditionellt informationssäkerhetsarbete.

Åter till incidentrapporterring. Låt våra myndigheter delge information kring inträffade incidenter så att organisationer lättare kan anpassa sina säkerhetsåtgärder utifrån hur verkligheten ter sig hos likartade organisationer. MSB har nyligen lämnat sin första rapport till Regeringen (https://www.msb.se/sv/Om-MSB/Nyheter-och-press/Nyheter/Nyheter-fran-MSB/Forsta-arsrapporten-inlamnad-till-regeringen-om-arbetet-med-allvarliga-it-incidenter/) men bedömer själva att det kan ta ytterligare ett par år innan denna information kan bidra till att stödja samhällets informationssäkerhet.

Det är olyckligt att denna potentiellt värdefulla information inte redan nu ska kunna bidra till att stärka informationssäkerhetsarbetet i Sverige för så väl offentliga organisationer som för näringslivet.

Tänkbart är att incidentrapportering i somliga fall kommer användas mot organisationer, jag tänker då närmast på personuppgiftsincidenter, vilka skulle kunna påkalla ett tillsynsärende som annars kanske inte hade varit påtänkt. Frågan är då vilka som kommer att rapportera dessa incidenter och istället försöka dölja dem så långt som möjligt?

På kraven om att incidentrapportera allmänna informationssäkerhetsincidenter ser jag dock på lång sikt endast fördelar, då min förhoppning är att dessa kommer att resultera i riktlinjer och råd om hur organisationer fokuserar på bästa sätt i sitt informationssäkerhetsarbete. Fokus behövs! Att över tid och i tillräcklig grad skydda alla informationstillgångar i relation till dess skyddsvärde är inte enkelt.

Glöm inte att att en god incidenthanteringsprocess börjar med att informera samtliga medarbetare om att incidenter alltid ska rapporteras.