I årskrönikan för tio år sedan gjorde jag spaningen att molnhajpen kommer att vara det som skulle påverka inledningen av det decennium som nu passerat. Denna tillbakablick känns nästan kusligt träffande. Tillsammans med vårt legalteam har jag veckan innan jul kört två mycket välbesökta utbildningar om CLOUD Act, Offentlighets- och Sekretesslagstiftningen (OSL) samt Dataskyddsförordningen (GDPR) ur ett molnperspektiv. Det kunde jag inte förutspå för 10 år sedan.
Jag trodde aldrig att molnfrågan skulle ställa våra regulatoriska krav på en sådan spets att rättsordningen tenderar till att urgröpas där såväl förstå-sig-på’are som tunga myndigheter ger sig själv tolkningsföreträde framför rättsvårdande myndigheter. Jag hoppas verkligen att utredningen om säker och kostnadseffektiv it-drift för den offentliga förvaltningen (Dir. 2019:64, I 2019:03) reder ut de rättsliga förutsättningarna för utkontrakterad drift en gång för alla. Den energi som nu läggs på allehanda tolkningar är allt annat än produktiv.
I sammanhanget är det förvånande att informationsmängder som är av yttersta vikt för Sveriges säkerhet idag kan utkontrakteras förutsatt rätt säkerhet, men inte självklart informationsmängder med ett lägre skyddsvärde.
Givetvis har även Dataskyddsförordningen haft stor påverkan på den senare delen av decenniet och det arbetet har hos flera organisationer lett till att det strukturerade säkerhetsarbetet har kommit igång. Oerhört glädjande att se! Nu gäller det att hålla i och se till att säkerhetsarbetet blir långsiktigt hållbart. Även här fungerar dataskyddsförordningen som katalysator, inte minst tack vare den tillsyn som utövas av Datainspektionen och dess kollegor i EU.
Det är fler regulatoriska förändringar och förbättringar runt hörnet som sammantaget reglerar informations- och it-säkerhetsarbetet vilket känns glädjande. Det finns alltid mer att önska vad gäller kvalitén men faktum är att det inte alls spretar så betänkligt som tidigare decennium. Även lagstiftaren och tjänstemännen på regeringskansliet börjar bli varma i kläderna vilket bådar gott.
Jag gillar att göra historiska tillbakablickar. I årskrönikan för fem år sedan där jag konstaterade att allt är mer eller mindre trasigt kan jag fortsatt konstatera att det är bedrövligt. 1177-läckan var nog årets mest ledsamma incident. I början av 2020 lär Datainspektionens tillsynsärenden i kölvattnet av incidenten se dagens ljus. Sannolikt blir det en mycket dyster rapport och höga sanktionsavgifter är att vänta. Allt annat skulle vara förvånande.
Förvånande är heller inte att Certezzas pentestteam upptäcker sårbarheter med oförminskad intensitet. Det som dock skrämmer mig är att oväntat många av de upptäckter som vårt team gör är funna trots att pentester redan är genomförda. Ibland finns det naturliga förklaringar, men förvånande sällan. Jag kan bara dra slutsatsen att kvalitén på hantverket är oroande ojämnt. Det talar starkt för att göra av varandra oberoende pentester som utförs av olika företag för att bryta denna oroande trend.
Med ytterligare ett decennium i ryggen kan jag konstatera att det ständiga förbättringsarbetet börjar infinna sig hos fler, samtidigt som verkligheten kommer ikapp dem som i bästa fall bara hamnar i media. Regleringen hur vi handskas med egna och andras informationsmängder blir allt mer omfattande vilket verkligen tillhör tidens anda. När vi nu ringer in det nya och ringer ut det gamla finns det goda skäl att tro att vi går in bättre rustade i 2020-talet, än 2010-talet, samtidigt som vi går ett betydligt mer oroligt klimat tillmötes som kräver att vi är betydligt bättre rustade än hittills. Tro inget annat.
Thomas Nilsson
