”Förnya arbetet med att säkra information”

En förutsättning för att förverkliga ambitio­nerna inom e-förvaltning, e-hälsa och e-handel är god informations­säkerhet, skriver Fia Ewald.
En förutsättning för att förverkliga ambitio­nerna inom e-förvaltning, e-hälsa och e-handel är god informations­säkerhet, skriver Fia Ewald. Foto: Fredrik Sandberg/TT

Informationssäkerheten måste stödja digitaliseringen. Två åtgärder skulle markant förbättra förutsättningarna för att regeringens satsning på digitalisering ska bli framgångsrik och att de ökande riskerna inom informationssäkerhetsområdet ska kunna hanteras, skriver experten Fia Ewald.

Publicerad
Annons

DEBATT | DIGITALISERING

I den stora digitaliserings­processen kan inte varje organisation lösa sina säkerhetsfrågor för sig.

Det svenska samhället digitaliseras i snabb takt och regeringen har uttryckt stora ambitioner att ytter­ligare snabba upp den processen, nu senast genom programmet Digitalt först och den med SKL gemensamma ansatsen Vision e-hälsa 2025. Regeringens mål är att Sverige ska bli bäst på att tillvarata digitaliseringens möjligheter och att befästa positionen som en av de ­ledande it-nationerna i världen.

En förutsättning för att förverkliga ambitio­nerna inom e-förvaltning, e-hälsa och e-handel är god informations­säkerhet. Informationssäkerhet ska leda till att information kan hanteras med rätt nivå av tillgänglighet, riktighet, sekretess och spårbarhet. I e-samhället är informationssäkerhet inte längre en fråga enbart för försvarsmakten eller poli­sen utan en nödvändig förutsättning för alla organisa­tioner. Individer och företag måste kunna lita på att de allt fler e-tjänsterna är tillgängliga, fungerar med tillräcklig kvalitet och att obehöriga inte kommer åt informationen. Både EU:s organ för informationssäkerhet Enisa och OECD har pekat på detta förhållande. Även den nya dataskyddsförordningen som träder i kraft i dagarna ställer krav på att säkerhetsåtgärder byggs in i it-system för att skydda personuppgifter och att incidenter rapporteras.

Annons
Annons

I dag finns det dock ett antal indikationer på att informationssäkerheten i myndigheter och kommuner inte lever upp till kraven utan att gapet mellan behov av skydd och funge­rande säkerhet snarare ökar än minskar.

Insatserna inom digitaliseringsområdet följs av en parallell process där behovet av stärkt civil bered­skap och skydd mot terrorism och andra antagonistiska hot prioriterats. Även där spelar informationssäkerhet en vital roll, något som lett till missuppfatt­ningen att informationssäkerhet ­endast behövs av säkerhetspolitiska skäl. Den ­senaste statliga utredningen om informations­säkerhet (SOU 2015:23) liksom tidigare utredningar har genom sin inriktning gett visst stöd åt den felaktiga uppfattningen.

Detta skapar en intressekonflikt inom informationssäkerhetsområdet där motiv nu främst hämtas i säkerhetspolitik och i att kunna agera under nationella kriser. Säkerhetsarbete av denna typ ger dock i de flesta fall litet eller inget stöd för en organisation att upprätthålla sin verksamhet i ett normal­läge med tillräcklig kvalitet. Digitalisering av den typ rege­ringen eftersträvar förutsätter andra säkerhets­lösningar. Att till exempel ställa krav på molntjänster att de ska fungera klanderfritt i ett natio­nellt krisläge eller att använda samma kryptolösningar som försvarsmakten skulle vara ett effektivt sätt att kväva den digitala utvecklingen i Sve­rige.

Vad som behövs är att inleda ett långsiktigt informationssäkerhetsarbete som stödjer det digitala samhället inte bara i krisläget utan även i normalläget. Det handlar om att skapa en evidensbaserad grund för vilka risker som finns, vilka åtgärder som fungerar och också att skapa gemensamma styr­system för offentliga och privata aktörer. I stället för att styra genom föreskrifter bör utgångspunkten vara verksamhetsbehovet. Hur ska en vårdorganisation få en informationshantering som både är tillgänglig och skyddar patientens integritet? Hur ett litet företag kunna bedriva e-handel på ett till­förlitligt sätt? Hur ska en kommun kunna lova äldre att trygghetslarm och annan välfärdsteknologi verkligen fungerar? Den stora frågan är hur offentlig sektor ska kunna tillgodogöra sig digitaliseringens vinster med kvalitet och rättssäkerhet i sin verksamhet. Detta har en avgörande betydelse för att våra välfärds­lösningar ska kunna utvecklas och fungera även i det digitala samhället.

Annons
Annons

För att lyckas med Digitalt först, med Visionen för e-hälsa och med att införa dataskyddsdirektivet är det inte tillräckligt att göra mer av samma sak utan att skapa nya former att utveckla informationssäkerhetsarbetet. Särskilt viktigt är det att ge kommu­nerna stöd eftersom de har ansvar för en stor del av den verksamhet och den informationshantering som är viktig för samhället men små resur­ser att satsa på informationssäkerhet. Det måste också poängteras att i den stora digitaliseringsprocessen kan inte ­varje organisation lösa sina säkerhetsfrågor för sig eftersom digitaliseringen leder till att information hanteras över organisationsgränser. Det måste därför finnas gemen­samma spelregler och metoder för att det ska fungera. Samverkan är en förutsättning men också en stor möjlighet till effektivisering och kostnadsreducering; varje kommun eller myndighet skulle inte behöva att autonomt lösa säkerhets­frågorna utan skulle på sikt kunna ansluta sig till en säkerhets­infrastruktur.

Två åtgärder skulle markant förbättra förutsättningarna för att regeringens satsning på digitaliseringen ska bli framgångsrik och att de ökande riskerna inom informationssäkerhetsområdet ska kunna hanteras.

  1. Den klassiska åtgärden är att tillsätta en utredning.
    I det här fallet är den åtgärden välmotiverad med tanke på de frågeställningar som fortfarande är olösta kring informationssäkerheten. Den utredning som presenterades 2015 (SOU 2015:23) hade flera begränsningar som det renodlade säkerhetspolitiska perspektivet och avgränsningen till att ­enbart ­behandla de statliga myndigheternas informationssäkerhet. Det gör att utredningen inte ger tillräckligt underlag för att stödja digitaliseringen.
    Socialdepartementet med stöd av näringsdepartementet bör därför tillsätta en utredning med ett tydligt uppdrag att föreslå åtgärder som kan ge alla de organisationer som deltar i digitaliseringen stöd inom informationssäkerhetsområdet. Även kraven från dataskydds­förordningen ska beaktas i utredningen så att även dessa säkerhetsåtgärder kan integre­ras i den gemensamma strukturen. Frivillig samverkan mellan offent­liga och privata aktörer måste också i högre grad prioriteras på bekostnad av en övertro på regel­styrning.
  2. Regeringen bör även initiera ett informations­säkerhetsinstitut med stöd av socialdepartementet där offentliga och privata organisationer kan ingå i en gemensam styrning. Att Socialdepartementet tar ett huvudansvar ger en tydlig koppling till ­övriga förvaltnings- och hälsovårdsfrågor. Uppgiften för institutet bör vara tredelad: att ta fram evidens­baserad kunskap kring risker och åtgärder, att ta fram metoder på en operativ nivå och att ge stöd för kommunikation kring informationssäkerhets­frågor.
Foto: Privat

Fia Ewald
informationssäkerhetsexpert, tidigare chef för MSB:s enhet för systematisk informationssäkerhet

Annons
Annons
Mer från Startsidan
Annons
Annons