Möller Insights – ”Visionär politik utan verklighetsförankring tjänar ingen på”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om politiska problem kring IT-säkerhet.

Visionär politik utan verklighetsförankring tjänar ingen på

IT i Sverige är något de flesta av oss är stolta över och vår tidiga introduktion till IT och internet skördar vi idag frukterna av. Sverige är nationen vars medborgare utvecklat och driver företag som Skype, Spotify, King, Dice, Truecaller och många fler. Det hela började egentligen med en politisk vision att varje person i Sverige ska ha tillgång till bredband och en gigantisk utbyggnad påbörjades. En politisk vision med tydliga mål, delmål och subventionering för utbygget – för vem vill annars dra internet till en plats där det knappt finns några kunder? Samtidigt hade Sverige haft hem-pc-reformen sedan 1998 vilket gav många möjligheten att låna eller hyra en dator.

Det hela var ett lyckat projekt men en sidoeffekt var att politiker fick en viss övertro på sin egen förmåga att administrera större IT-projekt. I slutet av 1990-talet, i samband med den tidigare nämnda satsningen, myntades även begreppet 24-timmarsmyndigheten. Visionen var att alla myndigheter i Sverige skulle bli tillgängliga dygnet runt och leverera tjänster till medborgare via internet.  När initiativet uppmärksammades sex år senare så hade det inte hänt så mycket och ett problem som Computer Sweden lyfte fram är oförmågan hos kommuner och landsting att leverera mot ambitionerna. Visionen speglades med andra ord inte av verkligheten och 24-timmarsmyndigheten lever idag kvar mest som ett skämt.

Vi hade strax därefter ett politiskt skifte och Alliansen gick in och rev ut och byggde om bland strategierna. Alliansen lanserade strax efter maktskiftet ”Digitala Agendan” som i mångt och mycket kan ses som ungefär samma sak som 24-timmarsmyndigheten fast i ett annat namn och skriven några år senare. Den Digitala Agendan är ett dokument på 60 sidor och jag tvekar på att många läst det i sin helhet. Det är ett visionärt dokument om hur Sverige ska avancera tjänster via internet och det ska fungera som en ledstjärna för offentlig sektor fram till slutet av 2015 då en utvärdering görs.

I den Digitala Agendan nämns informationssäkerhet exakt 18 gånger och de kunskaper i ämnet som förmedlas förbryllar en när man läser dokumentet. Jag tänker inte förställa vad som står skrivet och kommer därför ha ett citat direkt från Digitala Agendan under posten Strategiska utmaningar:

”Ansvaret för nät- och informationssäkerhet delas av användare, marknadens aktörer och staten. Alla dessa parter behöver göra mer för att förbättra nät- och informationssäkerheten och för att öka tilliten till IT-systemen. Framför allt privata aktörer har en viktig roll för att tillhandahålla säkra nät, produkter och tjänster och mycket kan göras i dialog med privata aktörer”

Spontant så ställer jag mig frågan – förstår de ens hur man säkrar ett nätverk? Hur kan jag som privat aktör hjälpa en myndighet eller ett sjukhus att säkra sin information? Varför skulle jag som privat aktör bära ett större ansvar för detta och hur ser min roll i att påverka detta ut anser Alliansen?

När man på sida fyrtio i Digitala Agendan väl kommer till ’Samhällets informationssäkerhet’ så har de en rad mål som då ska uppfyllas innan slutet av 2015. Återigen så får ni ursäkta citat men jag vill inte att någon ska tro att jag färgar materialet – så här ser det på riktigt ut.

”Målet för samhällets informationssäkerhet är att:

• Säkra samhällets funktionalitet, effektivitet och kvalitet
  
• Bidra till samhällets brottsbekämpning
  
• Stärka samhällets förmåga att förebygga och hantera allvarliga störningar och kriser
  
• Främja näringslivets tillväxt
  
• Värna medborgares fri- och rättigheter och personliga integritet
  
• Öka medborgares och verksamheters kunskap om och förtroende för informationshantering och IT-system”
  

Jag kommer att fokusera på de två sista punkterna då dessa ligger mig varmt om hjärtat och kan ses som en fortsättning av mina två tidigare blogginlägg om Datainspektionen och om svenska myndigheter. Om ni läst mina två tidigare inlägg så förstår ni att intresset att värna om medborgares personliga integritet framstår som extremt lågt och anledningarna för medborgare att ha ett förtroende för informationshanteringen existerar inte idag.

Nu tänker ni säkert – men det måste ju finnas medel för att följa upp, och se till att visionerna i den Digtiala Agendan förverkligas? Absolut, är mitt svar. De kallas för Digitaliseringskommissionen och deras uppdrag är att, som de själva uttrycker det, att ”Sverige ska bli bäst i världen på att tillvarata digitaliseringens möjligheter”.

Digitaliseringskommissionen lanserade, enligt deras uppdrag, en längre rapport, 233 sidor för att vara mer exakt, där de ger en avrapportering till staten om framgångar, möjlighet, utmaningar och nuvarande status på uppdraget. Informationssäkerhet nämns tolv gånger i hela dokumentet och av någon outgrundlig anledning så väljer man att se hur många säkra internetservrar (krypterad trafik) och hur många attackerade datorer (enligt Microsoft Security Intelligence Report) som finns per miljon invånare. Detta sätter man sedan i ett globalt perspektiv och klassificerar sig som relativt nöjda då vi är på position sexton i världen på det förstnämnda och position fyra i världen i det sistnämnda, enligt Microsoft-mätningen.

Slutsatsen som Digitaliseringskommissionen presenterade för staten blir ju en klassisk blind leder blind-situation. Digitaliseringskommissionen belyser inte den bristande IT-säkerhet som existerar inom offentlig sektor, utan rapporterar siffror som för den Digitala Agendan är helt ointressanta. I nästföljande rapport som publicerade i mars 2014 så har Digitaliseringskommissionen helt sonika valt att inte längre prata om informationssäkerhet eller IT-säkerhet alls.

Någonstans så kan jag förstå Digitaliseringskommissionen – vem vill vara kaptenen på ett sjunkande skepp? Problemet som kvarstår är dock att deras uppdrag är att informera staten om läget och att då helt sonika blunda för ett jobbigt problem leder till väldigt stora ringar på vattnet.

Så vems är egentligen ansvaret? Det kan jag tyvärr inte svara på. Jag tror på riktigt att ingen vet det. Alliansen hade en vision om att skapa något skarpt men man valde en mängd trubbiga instrument (läs: myndigheter, utredningar, beslutande organ osv.) för att vässa eggen.

Vi har idag ett virrvarr av olika organ – allt från PTS, MSB, Digitaliseringskommissionen, Datainspektionen som ständigt puttar IT-säkerhetsfrågan ifrån sig och lägger ansvaret på andra organ.

I år är det valår och med spänd förväntan följer jag valkampanjer och politikerna i väntan på att någon ska behandla eller i alla fall nämna de utmaningar vi står inför när det gäller bristande IT-säkerhet inom offentlig sektor. Vågar någon sticka ut hakan, föreslå en lösning och kanske ge tydligare direktiv till de ansvarstagande myndigheterna. Vem kommer att ta på sig ledartröjan och tala om personlig integritet på internet och vikten av att offentlig sektor skyddar känslig information. Vem kommer tala om att vi måste lösa de utmaningarna vi idag står inför innan vi kan bygga vidare IT-samhället enligt politiska visioner?

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik