Då jag tweetade mitt gillande för PTS förslag på föreskrifter fick jag sedan frågan –
vad tycker jag om MSB:s remissutgåva av it-säk-föreskrifter för statliga
myndigheter? Efter en snabb titt på den fick det mig att ifrågasätta vad jag
egentligen använder för kriterier när jag bedömer om krav är bra eller inte,
och att det kanske finns en vinst med att utveckla resonemanget lite mer än att
bara ge en sammanfattande subjektiv tweet om min bedömning.
Målet jag ser är att en föreskrift (eller en samling krav)
ska resultera i en högre skyddsnivå
än innan kravställningen fanns*,
allra helst i en skyddsnivå som är ”tillräcklig”. Om detta sker eller inte
ser jag som nära korrelerat med nedanstående faktorer:
- Hur stort tolkningsutrymme ges för vad det är som ska göras? På sätt och vis säger det sig självt att ju mer tolkningsutrymme desto större variation kommer det ge i vad som implementeras. Det behöver inte vara fel så länge styrkan på skyddet inte också ges motsvarande tolkningsutrymme. Men inom branschen saknar vi ofta mått som kan fixera styrkan på skyddet. Det finns också flera faktorer i branschen som förstärker den diversifierande effekten av stora tolkningsutrymmen. Man har en budget att hålla sig till. Man vill visa sig bra inför chefen. Man vill inte ha extra arbete ovanpå det ”för mycket” som man redan har. Man har annat man hellre vill ägna sig åt.
Men vem är denna ”man” som ska göra tolkningen? Ja, där finns också en förstärkande effekt att det faktiskt är flera olika roller som behöver komma överens här, och som alla påverkas av olika kognitiva bias och intressen. Ju högre upp i organisationen man kommer, desto högre är förståelsen för ekonomi och tid, samtidigt desto mindre för säkerhetstekniska skillnader. Kort sagt – finns det tolkningsutrymme finns en tendens att det är den billigaste och mest snabbgenomförliga tolkningen som vinner.
Det hör till vanligheterna att på grund av tolkningssvårigheterna fastna i diskussioner om vad något egentligen betyder, med konsekvensen att ingenting alls händer. Vilket i sig lätt kan framstå som det ”snabbaste” och ”billigaste” alternativet av dem alla (eftersom man sällan mäter varken tiden som spenderas på att argumentera om vad som ska göras eller ”kostnaden” för att vara kvar utan någon som helst förändring). Om nu något alls behöver göras. En populär tolkning är nämligen "vi uppfyller redan kraven". - I vilken utsträckning kan man räkna med att det är känt hur något ska göras och vem som ska göra det? Inom klassisk säkerhetsstyrning finns en bekväm princip om att man ska säga ”vad”, men inte ”hur”. Det kompletteras med att ”hur” måste få avgöras av ”verksamheten”. Det finns förnuftiga resonemang bakom det, men enligt min erfarenhet är det här en konfliktpunkt som ofta leder till att ingenting blir gjort.
Vanligen förekommer det här tillsammans med – eller rent av orsakas av – luddiga krav som få förstår sig på vad de innebär. Ett typexempel är från Transportstyrelsen (rekommenderad läsning: näringsdepartementets utredning), där en informationssäkerhetsansvarig sa att något som uppfattades som luddigt skulle göras. Men när denne sedan inte gav tillräcklig vägledning om hur, så tog det stopp.
Enligt min erfarenhet är problemet oftare att det saknas tydlighet och know-how än att det saknas vilja eller pengar. För en beslutsfattare i verksamheten är tiden en oerhört knapp resurs. Enkla beslut ges (rättfärdigt) företräde. Om beslutsfattarna ställs inför den stora förvirringen av att det inte är klart vad som ska göras, hur eller av vem. Ja, låt oss säga att det uppstår ett rätt stort motstånd då. Vilket kan få en beslutsfattare att undra om det alls verkligen är nödvändigt att göra någonting, och i så fall till när? - I vilken utsträckning är kraven granskningsbara, hur sannolik är granskning och vilka påföljder blir det om kraven inte efterlevs? Många säkerhetskrav är icke-funktionella och kräver en granskning (eller incident) för att det ska upptäckas om de har implementerats eller inte.
Tänk situationen då man inte upplever det vara tydligt vad som ska göras, hur eller av vem. Om valet står mellan att å ena sidan lägga sina egna resurser på något besvärligt och konfliktfyllt som man inte förstår sig på särskilt väl och som man inte heller tror att någon kommer märka av, eller att å andra sidan lägga resurser på att implementera funktioner som man själv förstår sig på, som många efterfrågar och märker ifall det finns eller inte och som kan ge omedelbar utdelning så kommer valet oftast (alltid?) hamna på det funktionella.
Det kan många gånger vara så att det både är enklare och billigare att ta en eventuell granskning, vessla sig igenom granskningen och sedan hantera det konkreta utfallet från den än att försöka efterleva ett svävande rörligt mål från början som man ändå inte vet om en eventuell granskning ens skulle upptäcka och om den då skulle säga bu eller bä om det.
Skulle en sådan uppföljning eller granskning ändå göras - och i synnerhet om den är intern - finns en dragning åt att det längs rapporteringsvägen uppåt görs tolkningar enligt punkt 1, där en tolkning lätt landar i att man uppfyller ett krav. Har vi utformat vår säkerhet ”enligt behov”? Ja, det har vi. Gör vi säkerhetsuppdateringar utan onödigt dröjsmål? Så klart! (Det tar fyra månader, men det är skäligt). Gör man riskbedömningar? Jadå (men inget dokumenteras, det är inte kravställt). Har vi med krav på säkerhet i upphandling? Jajamen, vi skriver in att säkerheten ska vara på ”lämplig nivå” och att leverantören ska ”följa relevanta lagar och föreskrifter”. Och det finns då ingen som med tillräckligt god trovärdighet kan säga att kraven inte efterlevs eftersom det just handlar om tolkningar och tyckanden. - I vilken utsträckning upplevs kraven som rimliga? Krav som inte upplevs som rimliga kommer man inte vilja genomföra. Och saknas vilja blir det ofta inte gjort. Så enkelt är det. Ju orimligare kraven upplevs, desto mer tvångsmekanismer enligt punkt 3 behöver vara på plats för att det ska bli gjort.
Nu är det ju inte hela världen om orimliga krav inte efterlevs. Men, vad värre är, är att om ett eller flera krav upplevs som orimliga smittar det här av sig både på resten av kraven och på kravställaren i sig. Plötsligt tror man att kravställaren inte menar allvar och att kraven bara ställs för syns skull eller för att ha möjligheter att klandra någon i efterhand. En uppfattning som kan växa till sig och härja fritt om inte granskning enligt punkt 3 är tillräckligt frekvent eller ger kännbara påföljder.
Bakgrunden till att MSB nu kommer med nya föreskrifter och allmänna råd om it-säkerhet för statliga myndigheter är att MSB korrekt identifierat att deras föreskrifter om informationssäkerhet inte har gett avsedd effekt. De har också korrekt identifierat att det finns förutsättningar att gå längre i kravställningen då mycket handlar om säkerhetsåtgärder som i princip är gemensamma och grundläggande för alla organisationer.
Frågan är då – kommer de nya föreskrifterna ha avsedd effekt?
Svar: Till viss del – ja, men i stort sett nej.
När jag går igenom kraven ser jag att MSB i vissa paragrafer kommer med lättolkade, rimliga krav som kommer landa hos individer som vet hur de ska genomföras. Några av dessa kommer resultera i en högre skyddsnivå då kraven inte uppfylls idag men förmodligen kommer göra det vid någon tidpunkt framöver tack vare MSB:s föreskrift. En majoritet av kraven har dock fortfarande någon del av vaghet som ger ett stort tolkningsutrymme. Vissa krav ser jag som orimliga.
Lägg till det att när det kommer till granskning och påföljder så är det enligt historiken inte sannolikt att granskning sker och om det sker är det utan kännbara påföljder. Transportstyrelsens f.d. generaldirektör uttryckte det som att "staten accepterade en avstegskultur", som även gällde efterlevnad av lagar och föreskrifter.
Med allt det sagt är jag tacksam för att det de senaste åren äntligen visat sig finnas krafter inne hos MSB som insett att en alltför vag kravställning inte ger avsedd effekt. En ökad tydlighet från myndighetens sida är en bra väg framåt. Jag hoppas de krafterna fortsätter ges mer utrymme och att dagen kommer då andra myndigheter ser det som givet att föreskrifterna (på riktigt) både kan och ska efterlevas.
* = Visst,
man kan ha problem med för hög skyddsnivå också, men generellt ser jag det inte
som ett problem där man använder säkerhetskrav för att sänka den.
Inga kommentarer:
Skicka en kommentar