Ledningens engagemang

2017-07-28

Den ena händelsen efter den andra radas upp som alla har gemensamt att det brister i informationssäkerhetsarbetet. Hesa Fredrik ljuder av misstag och trots att de myndigheter som har ett stort ansvar för informationssäkerhetsarbetet i nationen också ansvarar för VMA (viktigt meddelande till allmänheten) så konstateras att ingen rutin för den nu aktuella händelsen har upprättats trots att det har gått mer än 80 år sedan signalen ljöd för första gången. Eller kanske just därför?

Det är sannerligen illa ställt med nationens informationssäkerhetsarbete. Det vittnar inte minst det faktum att när det felaktiga VMA:t basuneras ut i centrala Stockholm så står inte de aktuella myndigheternas webbar pall för den trafikökning som detta leder till. I ställer för att konstatera det, så kritiseras medborgarna för att ha besökt fel källor i sitt informationsinhämtningsarbete. Dvs. det var fel på vår förmåga att inhämta krisinformation, inte myndigheternas oförmåga att hantera en kris.

Om detta hade varit ett nationellt VMA som nått betydligt fler så är det inte svårt att förstå vad detta hade lett till. Illavarslande är bara förnamnet.

Denna händelse efterföljs av efterdyningarna av Transportstyrelsen fadäs. Nu när medierna gör den riskanalys som myndigheten själv borde ha gjort så avlöser det ena scenariot det andra. Ånyo försöker ledarskapet att släta ut det inträffade. Sannolikheten för att de uppdiktade scenariona skulle inträffa hävdas vara ringa. Det är väl bara att konstatera att ledarskapet har brustit å det grövsta och att skadorna av de felaktiga besluten måste tas på största allvar.

Jag är så vansinnigt trött på alla medietränade beslutsfattare som istället för att anpassa verksamheten till verkligheten försöker justera en för dem passande sanning till det inträffade, eller rent av försöker hålla sig undan från de frågor som väcks efter sådana totala haverier som det som Transportstyrelsen utsatt vårt land för. Det är med sorg vi  bevittnar ett beteende som är både naivt och omdömeslöst vilket leder till ökade risker för vårt land och vårt samhälle.

För att möta bristerna i myndigheternas informationssäkerhetsarbete så höjs allt fler röster för att bygga myndighetsmoln och myndighetsinfrastruktur för att minimera skadan av myndigheternas tillkortakommanden. Om det är samma undermåliga ledarskap som ska ligga till grund för dessa satsningar så är det väl föga troligt att det leder i rätt riktning. Sannolikt har ännu fler ägg samlats i större och färre korgar där de onda krafterna givits nya ogenomtänkta attackytor som leder till ännu större konsekvenser när det ”osannolika” inträffar.

Det kommer aldrig gå att bygga bort de egna bristerna genom att klä dem med någon form av skyddande plastfolie. Brister i rutiner, processer och andra organisatoriska tillkortakommande kommer aldrig att lösas med teknisk innovation hur mycket vi än önskar.

Apropå plastfolie, den är som bekant inte över tid anpassad för det tänkta ändamålet. Just den insikten behöver appliceras även här. De insatser som görs måste vara hållbara även över tid. Kanske den största utmaningen av dem alla.

Det är dags att konstatera att vi lever i en globaliserad tillvaro där den i allra högsta grad är digitaliserad. Vi måste anpassa oss till detta faktum och inte tro att ansvaret inte vilar på alla och envar. Ytterst är ledningens engagemang A&O för ett lyckat informationssäkerhetsarbete vilket inte nog kan poängteras vilket också tydligt utryckts i expertmyndigheternas vägledning ”Säkra ledningens engagemang”  (https://www.informationssakerhet.se/siteassets/metodstod-for-lis/1.-forbereda/sakra-ledningens-engagemang1.pdf).

Det är hög tid att skärpa tonen och det rejält. Om ledningens engagemang saknas ska ledningen bytas ut! Vi kan inte längre tillåta ett ledarskap som inte ser informations- och IT-säkerhet som en integrerad del av verksamheten. Alternativen är otänkbara vilket tyvärr visar sig gång efter annan.