Egentligen hade jag tänkt att undvika publicering av åsiktsartiklar, men samtidigt så kanske det kan driva igång några diskussioner och i värsta fall (vilket ändå är ett bra fall) behöver jag ändra åsikt i något eller några sammanhang.
I den här artikeln skriver jag några rader om lagstiftningars syfte och effekter, branschregelverk och hur pengar och perversa incitament många gånger styr kravställningen av säkerhet.
Nyckelinsikter
- Lagstiftning på cyberområdet är en medvetandehöjande åtgärd OM säkerhet, inte en åtgärd FÖR säkerhet
- Lagstiftning på cyberområdet är varken deskriptiv (bör) eller preskriptiv; sällan får du svaren på vad du behöver göra.
- Branschregelverk kan ha en pervers incitamentsstruktur och således en tendens att leda till många, detaljerade säkerhetskrav utan respekt för kostnaden att uppnå den kravställda nivån av säkerhet
- Branschregelverk är inte fria från bieffekter och säkerhetseffekterna
Lagstiftning och branschregelverk
Sverige får allt fler lagar, förordningar eller andra bestämmande regelverk och riktlinjer som tvingar företag, organisationer och myndigheter (FOM) att beakta cybersäkerhet. Många ser det som en seger att vi äntligen får lagstiftning som tvingar FOMs, att tänka på säkerhet. Jag måste nog erkänna att jag ser det som ett misslyckande. Säkerhet tas inte på tillräckligt stort allvar, och nu har vi lagar som säger att du måste tänka på det.
Är problemet verkligen så stort? Men… det var inte det här jag ville ha sagt eftersom det blir lite väl mycket spekulation. Istället… lagstiftningens effekter och syfte.
Först och främst upplever jag att många är av uppfattningen att lagar och förordningar är deskriptiva avseende informationsteknologi. Du har kanske hört den här förut:
“Enligt lagen måste vi göra så här.”
Alltså att de beskriver exakt hur något ska vara för att uppnå säkerhet. Jag skulle vilja påstå att lagstiftning lutar åt att vara preskriptiv, men egentligen avseende specifikt IT är den varken preskriptiv eller deskriptiv. Det finns få lagar som ger dig ett bör-läge eller “är”-läge avseende säkerhetsåtgärder.
Oftast är lagstiftning vad som tvingar dig att påbörja och genomföra en behovsanalys avseende säkerhet. Sedan är det, mer eller mindre, upp till dig att avgöra vad som är lämpligt. De brukar använda ord som att dina åtgärder ska vara ekonomiskt försvarbara, tekniskt möjliga eller lämpliga med hänsyn till risk.
Lagstiftning är inte idag, och kommer inte heller imorgon, vara vad som ger oss säkerhet. Framavlandet av ny lagstiftning tar enormt mycket tid och resurser och kommer således ALLTID att släpa efter om den försökte beskriva vad som ska göras. Den kommer således av förklarliga skäl behöva vara generell och övergripande, inriktande.
Stöter du på en kollega, kund eller annan som med någon slags handviftning försöker trolla fram en relevant paragraf i en aktuell lagstiftning som argument för att de gör X eller Y. Ifrågasätt. Och be dem om en exakt referens till den här magiska paragrafen. Det är ungefär som när din motpart vidlyftigt hänvisar till att “… enligt vetenskaplig forskning” utan att samtidigt redogöra för vilken forskning som åsyftas. På engelska heter det blanket statements.
Jag tror, men jag är inte övertygad om, att lagstiftning på området är nödvändigt. Någon slags nationell, kollektiv upplysningstid kanske är precis vad vi behöver. Aktuella lagstiftningar är tämligen milda och tjänar troligen det här syftet att upplysa. Lyfta uppfattningen och vikten av cybersäkerhet utan att nödvändigtvis säga något om vad som behöver göras.
Så lagstiftning är nödvändigt, men inte som medel för att uppnå säkerhet utan för att nå förståelse för BEHOVET av säkerhet.
Branschinriktade regelverk
Och så har vi den andra skolan, branschen. Här finns det gott om regelverk och jag tänker inte försöka ge mig på att rabbla upp alla som finns, för jag känner inte till dom. Men de flesta känner antagligen till PCI-DSS som utan större tvekan skulle kunna beskrivas som preskriptiv, så här ska du göra för att betraktas som säker.
Å ena sidan är det väldigt lätt att ställa krav, det råder nämligen en enorm asymmetri mellan kravställare och kravmottagare. Kravställaren i sammanhang av lagstiftning eller andra typer av bestämmande regelverk har sällan incitament att nå rimlig säkerhet eftersom kostnaden för att uppfylla kraven inte faller på kravställaren utan istället hos den vilken säkerhetsbehovet finns.
Tillåt mig att illustrera hur jag tänker (och det är med inspiration från min gode vän Stefan Pettersson jag skriver det här!)
För att uppnå säkerhet finns det fyra sätt att spendera pengar för att uppnå säkerhet:
- Egna pengar för egen säkerhet
- Egna pengar för andras säkerhet
- Andras pengar för egen säkerhet
- Andras pengar för andras säkerhet
Lagstiftning faller exempelvis in under (4), det som skulle kunna argumenteras för att vara absolut sämst för säkerhet. Du spenderar andras pengar för att någon annan ska uppnå säkerhet. Lyckligtvis är få lagstiftningar på cybersäkerhetsområdet preskriptiva och innehåller således ganska lite som säger vad du måste göra och genom det kostar inte särskilt mycket.
Och branschregelverk hamnar också definitivt under (4) och där blir det också värre eftersom det inte finns samma rigorösa process för att bestämma innehåll. Branschregelverk drivs gärna av ett fåtal organisationer med diverse agendor och intressen. Det är inte särskilt bra för säkerheten. Och PCI-DSS passar väldigt väl in i det här.
Intressant ur perspektivet PCI-DSS är att organisationerna bakom PCI-DSS inte behöver betala ett jota för säkerheten som kravställs för att få hantera betalkort och betalningar. Men de har allt att tjäna på att säkerheten höjs. De får högre vinster, samtidigt som kostnaden för att få detta betalas av någon annan. Så dessa organisationer (VISA, Mastercard et. al) hamnar under kategori (3) och där vill egentligen alla vara. DU får säkerhet, men någon annan betalar för det. Sällan möjligt.
Med allt det här sagt vill jag inte nödvändigtvis avfärda branschregelverk som nödvändiga, men jag oroar mig för följande potentiella bi-effekter. Ansvaret för säkerhet placeras hos den organisationer som utfärdar regelverket istället för företaget hos vilken den är tillämplig. Företaget tänker, uppfyll regelverket bli säker. Och sedan behöver man inte göra något mer. Se till att klara av en granskning, fortsätt vara säker. Nu är det en förenkling givetvis och alla företag tänker inte så här. Särskilt inte om hela deras affärsmodell hänger på att acceptera och hantera betalningar. Ja, du förstår kanske vad jag är ute efter.
En annan bi-effekt är att säkerhet blir tämligen statiskt och riskerar att bli något som man tror kan klara sig utan analyser eller förståelse för problembilden. Det finns ju en checklista, vad mer behöver jag veta?! Checklistor är grymma och räddar liv, men bakom finns det troligen år av forskning, empiriska studier, erfarenheter. Jag är rädd för att branscheregelverken som en evolution av checklistor betraktas som slutgiltiga, färdiga. Att ingenting mer behöver göras.
Sammanfattning
Lagstiftningsmässigt måste jag helt enkelt ha inställningen och åsikten att lagar inte kommer till helt utan att det finns ett reellt och nödvändigt behov. Cyberområdet är troligen särskilt lämpligt med viss nivå av lagstiftning. Och processen för lagstiftning är omfattande och det finns ett värde i hur lagstiftningen går till och hur åsikter, erfarenheter och kunskap kan vävas in i detta.
Däremot är jag inte lika övertygad om påtvingade branschspecifika regelverk. Jag tror att de först och främst behöver vara frivilliga. Kanske med inslag av någon typ av subvention om regelverket uppfylls. Det vore bättre att belöna istället för att bestraffa. Uppmuntra god säkerhetssed istället för att slå ner på dålig.
Jag är helt enkelt tveksam till nyttan av branschspecifika regelverk och huruvida kostnaden de innebär står i paritet med den säkerhet de eventuellt ger.