Den här veckan blev det en vända igen i Socialstyrelsens föreskrifter (SOSFS 2008:1). Jag blev lite nostalgisk när jag minns tillbaka hur arg jag var när det hade uttryckts i föreskriften att en vårdgivare i sin informationssäkerhetspolicy får besluta om undantag från kraven för överföring till patienter av påminnelser och kallelser till vård och behandling. Denna detaljreglering skulle alltså skrivas in i informationssäkerhetspolicyn! En informationssäkerhetspolicy är på inget sätt ett dokument som ska detaljreglera denna typer av frågor.
Hur var känslan efter veckans läsning då? Kraven på ett kvalitetsledningssystem kvarstår men det breddas till att omfatta även informationssäkerhet. Vet inte om skrivningen är avsiktlig eller ej, men resonemanget är vettigt. Ingen vill ha flera ledningssystem. Tänker till och med att skrivningen är sund för den har utvecklats i takt med verksamheten, om än långsamt. Däremot försvinner leendet på läpparna när jag ser hur författaren tappar greppet ju längre hen kommer i sina försök att klippa in valda delar av SS-ISO/IEC 27001 i föreskriften. De kapitel som är mest konkreta i standarden verkar svårast att konkretisera i föreskriften. Kanske är det just här det behövs mest vägledning för ett bransch segment att informations- och IT-säkerhetsarbetet ska bli effektivt över tid?
Detta beteende är för övrigt inte unikt. Den svängom som jag tog i Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, IT-verksamhet och insättningssystem (FFFS 2014:5) häromveckan väckte ju ånyo en del tankar. Jag tycker skrivningarna följer SS-ISO/IEC 27001 väl och det går tydligt att se att standarden agerat modell vilket är bra. Hjulet är redan uppfunnet! En sak som är slående dock, är att de delar som handlar om kryptering helt lyser med sin frånvaro.
Visst, standarden är inte uttömmande med avseende på kryptering, men att helt utelämna avsnittet om kryptering i föreskriften är anmärkningsvärt. Illavarslande med tanke på att det är ett bransch segment som hänger upp stora delar av sin tillit på kryptografi.
Dessa två exempel är inte unika. Det ska tydligt sägas att alla föreskrifter som lyfter fram vikten av ett effektivt ledningssystem för informationssäkerhet är verkligen av godo! Ansatsen i föreskrifterna är bra, men sedan händer något på vägen. Jag är ganska övertygad om att kunskapen finns i organisationen som bemyndigats att utfärda föreskrifter, men att den kunskapen inte riktigt kommer till sin rätt när föreskriften ska realiseras.
Det som skrämmer är att dessa föreskrifter ska reglera ett bransch segment för att göra det säkrare för patienten, vårdtagaren, kunden, eleven mfl. De organisationer som verkar i ett bransch segment vill sällan eller aldrig något annat. Motsatsen innebär i längden att verksamheten inte har ett berättigande. Otydliga och ofullständiga föreskrifter gör att det egna försöket till att skapa ett – över tid – effektivt informations- och IT-säkerhetsarbete riskerar att grumlas av den kravställning som den bemyndigade myndigheten ska reglera.
Vägen fram är att de myndigheter som föreskriver krav på informations- och IT-säkerhet fullt ut implementerar ett eget ledningssystem för informationssäkerhet och offentliggör så mycket som möjligt av detta. Det är först när det finns förståelse och erfarenhet för vad det faktiskt innebär som det också är rimligt att ställa regulatoriska krav på andra.
Att bli ledd av den som saknar tillräcklig kunskap eller egna erfarenheter leder sällan rätt. Bra förebilder är helt avgörande för att uppnå lyckade resultat!
Thomas Nilsson
