Vill vi ha efterlevnad av lagar och förordningar?

I en krönika i Altinget skriver Fia Ewald om hur offentliga organisationer - främst kommuner - har en it-verksamhet som inte uppfyller kraven i lagstiftningen. I blickfånget den här gången är det offentligas användning av amerikanska molntjänster. Något som dömts ut av allt tyngre instanser ju längre tiden gått, utan att det för den sakens skull kommit någon reaktion eller kursändring från särskilt många myndigheter. Så trots att allt fler insatta experter kravställt och dömt ut, får kraven på många håll inget genomslag. Hur kommer det sig?

Expertens situation

Oavsett ifall vi pratar på samhällsnivå mellan myndigheterna eller inom respektive organisation så har vi länge haft en situation där den "expert" som formulerar kraven inte behöver ta ansvar för implementationen. Just den som skriver kraven vill nog gärna se att de efterlevs, men detta ligger nästan alltid utanför dennes kontroll. Expertens främsta intresse riskerar då att bli att man har krav skrivna att peka på när något inträffar, som visar att experten i egenskap av kravställare ändå hade gjort sitt för att förhindra den inträffade skadan. Krav som inte nödvändigtvis är särskilt kostnadseffektiva eller rimliga.

Experten jobbar däremot på någons uppdrag, och den uppdragsgivaren borde ju ha intresse av att kraven även ska efterlevas, eller? Tja, uppdragsgivaren har förvisso det i sin intressebild, men det är en långt mer mångsidig agenda för uppdragsgivaren och en blind efterlevnad av kraven oaktat konsekvenserna i övrigt är sällan önskvärd. 

Uppdragsgivarens situation

Ser man till uppdragsgivaren kanske vardagen rentav blir enklare om man stannar vid att "förutsätta" att kraven efterlevs. Att ta reda på om så faktiskt är fallet är ett omak och man har nog på känn att skulle man fråga skulle svaret vara både nekande samt komma med en lång radda svårbegripliga "rekommendationer". Att få en efterlevnad tycks vara komplext och det är sällan så rättframt att åtgärda de påstådda bristerna som man skulle önska. Dessutom är det oklart vad man egentligen skulle få för det. Inte undra på att den utförande delen av organisationen hellre vill leverera annat än att åtgärda "brister". Brister som faktiskt inte upplevs som något egentligt problem av många.

Nej, i det läget är det enklare för uppdragsgivaren att luta sig tillbaka och låta tiden lösa ut problemet. För vem har egentligen rätt? Är det experten med sina krav som den inte behöver ta ansvar för, eller är det utföraren som hellre vill prioritera det synliga här och nu? Upp till dem att reda ut. Som uppdragsgivare har man väl ändå gjort sitt när man faktiskt anlitat en expert?

Status quo - när utföraren väljer annat

Kanske ligger lösningen lite mittemellan. En sak vet jag - när den utförande delen inte tar diskussionen om kraven är rimliga utan bara lägger dem åt sidan så hamnar organisationen i ett status quo där alla parter sitter på sitt håll och väldigt lite uppnås. Både kostnad och risk kvarstår och man har helt plötsligt det sämsta av båda världar. Samtidigt som man befäster kulturen att krav är till för syns skull - inte för att uppfyllas.

Och det är precis här stora delar av myndighetsvärlden är idag när det kommer till cybersäkerhet. Kanske nådde vi höjdpunkten när Transportstyrelsens generaldirektör valde att formellt kringgå säkerhetsskyddslagen. Hennes försvarstal i Arbetsdomstolen och i media byggde mycket på att staten accepterade en avstegskultur. 

I dagsläget är det svårt att veta ifall ett krav är ett krav som på allvar förväntas efterlevas av uppdragsgivaren eller om det bara är ett krav för syns skull, i upprätthållandet av ett status quo. Ett status quo där varje part när det väl smäller - för det kommer smälla på sina håll - ändå kan säga att de ju faktiskt hade gjort vad som förväntades av dem. Och åtminstone till del ha rätt i det.

Behöver vi då bli förvånade när nya lagar och krav inte efterlevs? Nej. Det borde kanske tvärtom vara det förväntade vid det här laget. Kanske har vi som samhälle redan gått så långt att vi tappat förmågan att skilja på om ett krav finns där för syns skull eller om det faktiskt finns en riktig förväntan om att det ska efterlevas. 

Om någon vill bryta status quo

För egen del tycker jag inte det är ett särskilt bra status quo. Det tar för mycket kraft och skapar för mycket förvirring, samtidigt som det inte löser det verkliga problemet. Mina personliga rekommendationer till de som tycker vi borde arbeta bort den här situationen är:

• Kravställare: Ställ bara krav som är begripliga, granskningsbara och kostnadseffektiva. Använd exempel från verkligheten för att visa varför kraven finns. Tillgängliggör hur man på ett objektivt sätt granskar och avgör ifall ett krav är uppfyllt. Visa exempel på hur man gör för att uppfylla dem på enklaste sätt.
• Utförare: Om krav upplevs som otydliga, be om konkretisering utifrån samma parametrar som ovan. Om krav upplevs som orimliga, berätta och förklara varför! Har ni inte tid? Kostar det för mycket? Visa beräkningar på hur mycket det skulle kosta i form av tid och pengar. Det är inte ovanligt att kravställare och utförare i början ligger långt ifrån varandra i uppfattning här.
• Uppdragsgivare: Följ upp efterlevnad av kraven. När underlag finns - inled dialog med  kravställaren och utförare. Ställ frågor till dem enligt ovan. Förmedla att du förväntar dig att de ska fortsätta stämma av återkommande och att ni med något längre intervall alla kommer ses och prata om det här igen.

Dataintrång eller inte - Öppna skolplattformen

Stockholm stad meddelar att de avser polisanmäla utvecklarna bakom "Öppna skolplattformen". De säger sig även ha lämnat in en anmälan om personuppgiftsincident till IMY. Den allmänna responsen bland teknikintresserade tycks vara att man knappt vet vart man ska ta vägen när denna hårresande inkompetens som omgivit Skolplattformen fortsätter galoppera vidare i nya riktningar.

Stockholms stad har dock ägnat åtminstone seriöst menad uppmärksamhet till frågan. En juridisk utredning är gjord där författaren kommit fram till att det kan handla om dataintrång. Och är man en chef som inte har djupare insikt så kan det vara svårt att då ställa rätt motfrågor för att luckra upp och nyansera den inställningen.  

De frågor jag skulle vilja föreslå att berörda chefer ställer är:

1. Vilken data är det man menar utsatts för intrång?


2. Är det verkligen vi som är personuppgiftsansvariga när personuppgifter på ett säkert sätt lämnat våra servrar till en autentiserad, behörig mottagare? Om vi har ansvar för klienterna, var går i så fall gränsen där? Webbläsare? Operativsystem? Hårdvara?


3. Finns det skäl att anta att uppsåt till brott funnits enligt BrB 1 kap. 2 §?

Analys

Första frågan som måste besvaras innan vidare analys kan ske är vilken data är det som Stockholms stad menar utsatts för intrång?

Det tycks vara lite olika resonemang i olika sammanhang. 

• Å ena sidan tycks staden förfärad över att det är programkod som inte är deras som behandlar personuppgifter. Staden kan därför inte garantera att personuppgifterna längre är skyddade i enlighet med GDPR och därför ska detta anmälas till IMY som en personuppgiftsincident.
• Å andra sidan så tycks de mena att just dataintrånget har skett när utvecklarna "tillskansa[t] sig automatiserad tillgång till information genom stadens API".

Det ger upphov till två olika spår.

Spår 1: 

Stockholms stad har inte kontroll över personuppgifterna när automatiserad behandling sker i annans kod.

Analys: 

Nej, och det är inte heller stadens ansvar. Om någon skickar mig ett brev på ett säkert sätt och jag tar emot det oöppnat så är det inte längre avsändarens ansvar vad jag sedan gör med det. Precis samma situation här. När uppgiften lämnat API:et på ett säkert sätt är det inte längre stadens ansvar. Vill Don Quijote fortsätta slåss mot jättar här så följer det logiskt att staden också ger sig på Google, Apple och Microsoft som nog står för störst andel "incidenter" i det här fallet. Det är ju oftast deras kod som  gör anrop mot API:erna när man som medborgare går till webbsidan som Stockholm stad vill att man ska använda. 

Spår 2: 

Apputvecklarna har tillskansat sig [otillåten] automatiserad tillgång till information genom stadens API.

Analys: 

Det här är en lite mer komplicerad historia. Två frågor behöver redas ut. 

1. Vilken information är det som avses?
2. Vem står för intrånget? 

Efter att ha läst den juridiska utredning tror jag att Stockholms stad primärt avser samma personuppgifter som i spår 1, men utredningen lägger också in att "Utvecklarna har därmed offentliggjort stadens API:er till allmänheten, vilket innebär att vem som helst som tar del av dessa kan anropa databaserna och ha möjlighet att ta del av informationen.". 

Jag ser därför tre olika scenarion:

Scenario A: Utvecklarna har begått dataintrång när de tillskansat sig information om stadens API. De begår ytterligare brott när de sedan publicerar denna för alla att ta del av.

Analys A: Staden publicerar redan API:et själva. Stadens ordinarie gränssnitt ger varje besökare som besöker sidan med webbläsare instruktioner om var API:et finns och vilken information som finns att hämta var. Att personer bakom öppna skolplattformen har läst den informationen som faktiskt skickats till dem och sedan återger den kan knappast anses vara brottsligt.

Scenario B: Utvecklarna har begått dataintrång när de genom sin app använder API:erna för att komma åt uppgifter de i övrigt är behöriga till inom Stockholms stad.

Analys B: TL;DR - Förefaller vara Don Quijote, sannolikt inte brottsligt, Om det anses brottsligt väcks frågan om det bara varit brottsligt för utvecklarna eller om det varit brottsligt för samtliga som använt appen.

Här skulle det då handla om sättet som utvecklarna kommer åt information som de i övrigt är behöriga till. Brott sker om någon "olovligen bereder sig tillgång till en uppgift". I det här scenariot så har utvecklarna lov att komma åt uppgifterna, men inte på det sättet.  Kan sättet vara brottsligt? Det är väl det som åklagaren då behöver rikta in sig på om det ska gå vidare. Jag tror man kan argumentera för att det är brottsligt. Men jag tror också att det går att argumentera ännu starkare för att det inte är brottsligt i det här fallet.

Jag undrar också om utgångspunkten är att användning av API:er är tillåtet och att det bara är otillåtet för de fall där Stockholms stad pekar ut att det är otillåtet, eller om utgångspunkten är att det är otillåtet förutom de fall där Stockholms stad meddelat att det är tillåtet   Båda vägarna kommer med otroliga problem när det kommer till specificitet. För en lekman kanske det tycks enkelt att säga att man ska använda webbsidan som staden har lagt upp, men i praktiken är det en teknisk situation där olika klientprogramvaror gör olika tolkningar av hur den ska bete sig när den får koden från webbsidan. Det är så pass klurigt att det till och med finns en utmärkt bok skriven om hur de här olika tolkningar ger effekter i säkerhetssammanhang. Och tolkningen varierar mellan olika versioner av samma webbläsare.

Jag kan konstatera att oavsett vad så är min uppfattning att normen på Internet är att om man publicerar ett API som används av klientkod i webbläsaren och det API:et är åtkomligt från Internet, så är det underförstått inte bara tillåtet utan även i många fall avsett att tredjepartsprogram ska kunna använda det. Det kan vara förenat med användningsvillkor, i vilket fall det brukar regleras genom avtal och autentisering när respektive app gör sin åtkomst. Vad som är unikt här är att Stockholms stad i någon form meddelat en part om att viss åtkomst inte är tillåten, men ändå har den åtkomsten fortsatt. Den exakta formuleringen är viktig, för OM det är så att det här varit olagligt, så kan det vara så att alla användare av appen också begått dataintrång. Stockholms stad borde då rimligen polisanmäla samtliga personer som har använt appen.  

Scenario C: Utvecklarna har begått dataintrång när andra personer har använt deras app att komma åt information som endast appanvändarna - men inte utvecklarna - har behörighet till.

Analys C: Det verkar faktiskt vara det här som Stockholms stad menar är huvudscenariot, åtminstone är det här huvudscenariot avseende personuppgiftsincidenten. Och ja, det är så man häpnar. Hur är det möjligt att någon landar i en sådan här tolkning? Samtliga programvaruleverantörer och datortillverkare skulle enligt den här tolkningen begå dataintrång eftersom deras utrustning och program används för att  komma åt information som de företagen inte har behörighet till. 

Det här fallet innebär att någon har gjort ett verktyg. Staden vill få det till att skapandet av det verktyget innebär dataintrång. Detta eftersom trots att verktygstillverkaren inte har tagit del av information har denne ändå berett sig åtkomst till den. Utvecklaren skulle kunna ha lagt in kod som tankade ut informationen och laddade upp den någon annanstans. Och även om man då inte gjort det, så har en mening från en lagproposition här tolkats som att det därför ska vara brottsligt. 

Hur mycket det än tar emot får man säga att det finns logik i det resonemanget. Vad som saknas är ett kompletterande resonemang om varför det INTE skulle vara brottsligt. Rapporten skjuter ensidigt in sig på en vinkel utan att ens överväga om det finns andra rimliga vinklar.

Jag vill därför föreslå att berörda chefer inom Stockholms stad kommer med den här motfrågan till rapportförfattaren: Finns det skäl att anta att uppsåt till brott funnits enligt BrB 1 kap. 2 §?