Snart blir det incidentrapportering!
Vintermånaderna 2015-2016 var händelserika för cybersäkerheten. Den här texten behandlar det incidentrapporteringskrav som gäller alla statliga myndigheter från och med april 2016.
Incidentrapporter berättar om saker som inte har gått till som det är tänkt i cybervärlden: att någon kommit åt uppgifter som den inte borde ha kommit åt, att det har skett en olycka, slarv, en hackattack eller något annat som gör att situationen frångår ”det normala”. Jag vill sätta förslaget i en europeisk och i en individuell kontext. Ämnet kan verkar tekniskt torrt, men rör hur staten ska förhålla sig till sig själv, företag och individer.
Incidentrapportering finns med i EU:s direktiv om nätverks- och informationssäkerhet (NIS-direktivet), i EU:s dataskyddsförordning (GDPR), och i EU:s direktiv om skydd av personuppgifter i elektroniska kommunikationsnät (ePrivacy-direktivet). I det först nämnda direktivet är syftet med rapporterna att en ska få statistik över tillfällen då sakernas tillstånd frångått det förväntade (”fler IT-incidenter orsakas av snö än av hackare”). I de sistnämnda direktiven ligger emfasen mer på konsumenters behov av att kunna lita på tjänsteleverantörer.
Rapporterna ska stärka individens möjligheter att skydda sig själv, byta leverantör och åtgärda problem. Liknande lagar finns i flera amerikanska delstater, till exempel Kaliforniens Security Breach Notification Act of 2002, som också var USA:s första.
PTS är idag ansvariga för incidentrapportering under ePrivacy. Ett utfall kan skönjas i PTS granskning av säkerhetsbrister i kundplacerad utrustning från december 2015. Flera operatörer har vidtagit åtgärder för att routrar och modem inte ska ha sådana säkerhetsbrister som Dagens nyheter beskrev 2014. I PTS-besluten står information till privatpersoner centralt.
Vad gäller GDPR återstår att tolka orden ”hög risk” i artikeln som beskriver privatpersoners rätt att få reda på när någonting gått fel. Privatpersoner ska själva informeras bara i fall av ”hög risk”, och det är Datainspektionen som kommer kunna besluta vilken grad av konsumentinflytande och medborgarinsyn orden medför. I min mening bör ”hög risk” få en bred tolkning, för att stärka individens möjlighet att själv agera i en så stor mängd situationer som möjligt.
Transparens och konsumentinformation låter både naturligt och bra, men motståndet är hårt. Kommer en undan med det är det lättare att vara tyst. Slarv och bristande initiativ till att åtgärda problem kan ge förödande förtroendetapp. Att den franske militärstrategen Kerckhoffs redan i slutet av 1800-talet etablerade att insyn är en bättre måttstock för kvalitet i säkerhetssystem än fördunkling har inte hindrat att fördunkling, eller rent av förnekelse, blivit ledande säkerhetsprinciper i både näringsliv och offentlig sektor.
Vi kan använda Sverige som exempel: här har incidentrapportering utretts av Myndigheten för samhällsskydd och beredskap (MSB) sedan 2010. I MSB:s första rapport från 2011 står att myndigheten själv bör samla in rapporterna på grund av ”det utvidgade mandat som [vi] fått genom ändring i [vår] instruktion”. Kunskap om incidenter kan antas vara viktigt, men det finns inget som säger att MSB bäst förvaltar kunskapen.
Det andra argumentet MSB anför för sin egen huvudroll är att CERT-SE flyttades från Post- och telestyrelsen (PTS) till MSB år 2009. Redan 2006 hade PTS emellertid den ambitiösare målsättningen att få sårbarheter (dvs kända fel) rapporterade. En fördel med PTS förslag var att fel hade kunnat åtgärdas innan de blev incidenter. Idag är PTS, som vi såg ovan, begränsade till att syna incidenter som redan ägt rum.
I nästa utredning från 2012 klargör MSB att rapporterna ”inte [ska] ersätta anmälningar om brottslig verksamhet till Polisen.” De har satt upp en ”arbetsgrupp bestående av /…/ MSB, Säkerhetspolisen och Rikskriminalpolisen” för att förfina sina förslag. Dessa rader speglar polisens och säkerhetspolisens historiskt obekväma förhållande till IT, och går igen i nationella IT-brottsgruppens kommentarer på NIS-direktivet (se ovan): de är bekymrade för att de ska lämnas utanför.
Redan 2001 skrev IT-kommissionen en manual för incidenthantering. Där står, på sidan 32 i versaler och ett typsnitt som liknar Comic Sans, att ”[a]lla åtgärder i samband med en IT-incident ska utgå ifrån att incidenten ska polisanmälas”. Den vänliga gula rutan kan tolkas i kontrast till manualens goda råd (t ex de tio budorden på sidan 15) som snarare handlar om hur en kan stärka sin framtida säkerhet baserat på tidigare erfarenheter.
Manualens brist. förutom att den aldrig implementerats eller följts upp, är att privatpersoner som finns i systemen helt utelämnas från dess incidenthantering. Vad gör en om en som konsument eller privatperson inte själv äger systemet utan bara påverkas av dess brister? IT-historien är full av massor som reduceras till datapunkter i system som antas angå någon annan.
Det obehag som polisen och Justitiedepartementet har inför cybervärlden har idag fått utmanare i form av MSB och Försvarsdepartementet. Privatpersoners egna möjlighet att tillse sina rättigheter försvinner i bråket mellan myndigheter om vem som ska få domdera systemägare. Tanken att samhället istället borde betrakta privatpersonen som närvarande konsument och deltagande medborgare förefaller långt borta.
Vi har idag flera utmärkta möjligheter att stärka privatpersoners rättigheter. Genomförandet av dataskyddsförordningen är det starkast uttalade. För det krävs dock att vi alla skaffar tillräcklig kännedom om sandlådestriderna mellan de olika delarna av våldsmonopolet för att kunna avfärda dem.