2019-06-14

Är riskanalysen den största risken i ett systematiskt informationssäkerhetsarbete?

Ett systematiskt informationssäkerhetsarbete är i de flesta verksamheter ett önskemål eller krav. Ofta benämns det som ett LIS, Ledningssystem för Informationssäkerhet och bygger på en standard, vanligtvis baserat på ISO-standarden för LIS; ISO/IEC 27000-serien. Syftet med LIS är att minimera risken för oönskade händelser eller incidenter i verksamhetens information med ett brett perspektiv.
En central del i arbetet med att bygga upp och underhålla LIS är riskanalyser. Att förstå och prioritera vad man vill skydda och mot vad.
Jag har genom åren deltagit i och lett ett större antal riskanalyser men sällan varit nöjd. Det format för riskanalyser som normal används inom informationssäkerhet (“Scenario-based risk identification”) börjar ofta med ett seminarium om en halv till en dag med upp till 10 deltagare från olika roller i verksamheten. Till detta en seminarieledare som kanske saknar verksamhetskunnande.
Gruppen får inledningsvis uppmaningen att lista risker de ser i verksamheten, dessa grupperas sedan och man går igenom listade risker, värderar med vilken sannolikhet de slår in och då vilken konsekvens som de kan orsaka. Seminarieledaren dokumenterar vad som kommit fram och levererar efter några dagar en riskanalys som rapporteras inför beställaren som i sin tur beslutar om ev. åtgärder för att minska skaderisker.

Men...
Hur är det med kvalitén på analysen. Den kan svårligen bli bättre än de "indata" som redovisats vid seminariet. Jag ser följande problem:

  1. Historik, incidenter som skett tidigare i samma domän i den egna verksamheten eller hos andra kommer bara med om någon deltagare har minnen av något sådant.
  2. Vilka risker som kommer med är i huvudsak beroende på deltagarnas fantasi utöver den historik som redovisas.
  3. Värdering av sannolikheten att någon oönskat och kanske okänt kan inträffa blir ofta vilda gissningar som i analysen läses som fakta.
  4. Beskrivningen av konsekvenser och kostnader för en incident blir ofta mer realistiska, framförallt om man orkar inkludera de följdfel en incident skapar så här är problemen mindre men även här finns osäkerhet.
  5. Formatet på analysen är ofta detsamma för perifera delar av verksamheten som för dess kärna. Att belysa risker som kan påverka verksamhetens existens skall också klaras av på en dag.
Så...
För ett framgångsrikt informationssäkerhetsarbete behövs oftast bättre riskanalyser än vad som görs idag. Men det kan vara svårt att motivera kostnaden för detta. Redan att avsätta tid för kanske 10 anställda under en dag och dessutom betala för någon som leder och dokumenterar analysen kan uppfattas som dyrt. Men vad är dyrt om det kan förebygga att verksamheten i värsta fall går under?
Jag har sett analyser som sannolikt uppskattar risker som hundrafaldigt fel eller överhuvud inte tagits upp. 
Jag ser att vi behöver kanske bättre och mer genomarbetade riskanalysmetoder med vetenskapligt stöd i metodportföljen för informationssäkerhet. Att en riskanalys som kan medverka till att förbygga verksamhetens hädanfärd faktiskt får kosta mer en de enkla vi gör idag.
Jag ser riskanalyser inom flyg, kärnkraft och medtech som föredöme i kvalitet. Där rör det sig direkt om människors liv och hälsa men informationssäkerhet kan indirekt beröra detsamma. Förutsättningar, historik m.m. är annorlunda i nämna branscher men man tillåter också att riskanalyserna får kosta.

Kan vi förändra synen på nyttan med riskanalyser och vad de får kosta så att vi kan göra bättre?


2019-03-11

1177 och ansvar

Vi i Sverige har möjlighet att få kvalificerad rådgivning om sjukvård dygnet runt genom att ringa telefonnummer 1177 oavsett var i landet vi befinner oss. Beroende på var så kopplas vi till den rådgivning som varje av de 21 sjukvårdsregioner valt. 18 regioner hanterar det i egen regi och med egna journalsystem och köper telefonitjänsterna från Inera AB. Inera ägs av Sveriges Kommuner och Landsting (SKL) vilket är en medlemsorganisation för landets samtliga regioner och kommuner.
Tre av landets regioner har dock valt att upphandla rådgivning av MedHelp AB. Det är dessa tre regioner, Stockholm, Sörmland och Värmland som drabbats av läckande patientuppgifter. Hur stort läckaget är kan inte sägas för dagen men någonstans mellan 55 och 2,7milj rådgivningssamtal har läckt, den lägre siffran är vad MedHelp medger, den högre vad som fanns tillgängligt på internet.

MedHelp AB är av Inspektionen för vård och omsorg (IVO) registrerad vårdgivare och här därmed rätt att ge råd för häls- och sjukvård. IVO är också tillsynsmyndighet vad gäller vårdkvalitet och dess förmåga att leva upp till del lagar och förordningar som reglerar sjukvård. Vad gäller person- och patientinformation gäller dataskyddslagen, den svenska anpassningen av GDPR/dataskyddsförordningen och patientdatalagen (PDL). För GDPR och PDL är Datainspektionen (DI) tillsynsmyndighet och skall bevaka efterlevnaden av båda dessa lagar. Tillsyn görs dock normalt bara efter misstanke eller anmälan om brott mot lagarna.

Eftersom MedHelp är av IVO godkänd vårdgivare så kunde regionerna, om det föregåtts av en korrekt upphandling, tryggt teckna avtal med MedHelp. Som vårdgivare är MedHelp både enligt PDL och GDPR fullt ansvariga för hantering och skydd av person- och patientuppgifter. MedHelp har också fullt ansvar  för hanteringen de uppgifter som ev. underleverantörer behandlar.  Regionerna har inte rätt att få insyn i en vårdgivares patientdokumentation och kan därmed inte heller granska hanteringen. Det kan bara tillsynsmyndigheterna göra.

Men har då inte regionerna något ansvar för att läckaget kunde hända? Jo det har man vid upphandling, kravställning på informationssäkerhet och uppföljning av denna bör göras mycket tydlig. Något som uppenbart inte gjorts i de ursprungliga upphandlingarna 2013. Man kan ställa detaljkrav på säkerhet och t.ex. krav på riskanalyser där beställaren är involverad. Men man bör också ställa krav på systematiskt säkerhetsarbete i form av ledningssystem för informationssäkerhet (LIS) där även regelbunden uppföljning ingår och där beställaren också kan ta del av uppföljningarnas resultat. Hade ett fungerande LIS funnits på plats så hade sannolikt läckaget inte hänt.

Vilket ansvar har då SKL/Inera för det som hänt? Inledningsvis så drabbades Inera av misstankar om att de medverkat till informationsläckaget vilket inte var korrekt i att de 18 regionerna som använde Ineras telefonilösning inte var drabbade.

Men... Inera äger varumärket "1177" och är därmed, i varje fall moraliskt, ansvarig för hur varumärket används. Varje region har uppenbart varit fri att använda varumärket för sin rådgivning även om de haft olika lösningar för detta. Den som ringer 1177 förväntar sig nog samma kvalitet och säkerhet på tjänsten oavsett var i landet man befinner sig.
När läckaget blev känt så smutsades varumärket och förtroendet för detta ner även för regioner som skött sig väl p.g.a. av att en leverantör till tre av de 21 regionerna hade misskött sitt uppdrag. Här har Inera ett ansvar för hur varumärket 1177 hanterats. Jämför man med starka varumärken som på franchisebasis låter andra utnyttja det så brukar franchisegivarna ställa mycket detaljerade krav på de man låter använda varumärket. Detta bl.a. för att en franchisetagare som inte sköter sig kan orsaka mycket stor skada för varumärket. Tänk tanken att en McDonaldsresturang skulle välja en underleverantör med dåligt kött och att kunder blir sjuka. Det får bara inte hända.
Här har Inera missat, de har ett ansvar för hur varumärket används och kan inte avsvära sig den badwill de nu råkat ut för.