Det är ofta det enkla som krånglar till det. Vanans makt håller oss fast i gamla sätt att tänka. Det gäller även säkerhet. För när vi pratar hemligheter, tänker vi gärna i dokument eller i system, helst innanför den egna organisationen. Men modern kommunikation ser inte ut så. Olika organisationer behöver kunna prata med varandra och system behöver vara kostnadseffektiva. Budgetar har inte blivit mindre styrande, eller ökat i omfattning bara för att vi blivit mer medvetna om hoten från vår omvärld. Lagstiftning och praxis har lett till att vi bygger separata system för olika säkerhetsklasser, trots att regelverken inte tvingar oss. Men i alla led från leverantör till användare har enkla lösningar och genvägar lett till att just det är det enda sättet vi klarar att hantera problemet på.
Jag menar inte att vi ska sänka kraven på hur vi hanterar information. Krävs fysisk separation, som för klassificerad hemlig information, så krävs det. Jag menar istället att vi måste höja kraven på hur vi bygger system, lösa det som är svårt, speciellt om vi är experter, så att kunder och användare får det lättare och kan fokusera på sitt expertisområde och göra rätt på säkerhetssidan för att vi hjälpt dem.
Enkelhet skapar också säkerhet
En it-stack måste när det kommer till kritan, vara hanterbar för en normalt funtad it-avdelning. Det innebär vanligen att it-avdelningen skaffar så få system som möjligt, och helst efter en enhetlig arkitektur, så kunskapskrav och förvaltning minimeras. Det är lösningen i sin helhet som behöver möta kraven på säkerhet, att kunna hålla isär information och säkra att bara de som ska komma åt informationen gör det. Det borde inte kräva separata lösningsstackar för varje isolerat segment av information, som ofta hur man löser problemet när andra alternativ är stängda. Men för att hålla nere antalet delar i våra systembyggen behöver vi som löser problem med hjälp av it börja tänka annorlunda, och ställa krav på de byggstenar vi använder.
Djävulen hittar vägen i detaljerna
Kanske är det till och med så att vi måste tänka annorlunda kring hur vi klassificerar information? Det mesta i ett hemligt dokument kanske inte är hemligt? Borde vi i så fall inte bryta ner dokument i delar av olika informationsklassning? Det i sig, isolerat från sitt sammanhang, leder också till problem. Vi har ju till exempel det motsatta scenariot att ta hänsyn till, det vill säga att många små delar av öppen och tillgänglig information tillsammans blir skyddsvärd information. Och med AI:s intåg ökar dessutom förmågan att extrahera något intelligent ur en stor mängd harmlös data. Verkligheten är komplex och kommer fortsätta att vara det. Men experter på sina områden behöver förstå hur de bidrar till att lösa problemen med en allt mer komplex verklighet.
Ett exempel är regelverken som utgått från koncept med hela handlingar och dokument, och inte direkt gör saker lättare. Visserligen pratar man numera snarare om skyddsvärda uppgifter, och det finns utrymme i regelverk som KSF för att titta på delsystem separat från andra delsystem, men arbetssätt och strukturer är fortfarande fast i de där dokumenten med röda stämplar.
Vi är med andra ord strukturellt fast i att hela dokument och hela system är det som ska skyddas, och våra it-system inklusive säkerheten i dessa är utformade därefter. Antingen är man inne i systemet eller inte. Är man till exempel administratör har man tillgång till allt och därmed åker kravet på isolering upp på systemnivå. När separationen mellan delar i ett system inte är tillräckligt stark – för att man inte behövt bry sig om det när det byggdes – tvingas man till att skapa isolering genom separata instanser av systemet.
Riv pyramiderna!
Separata silos för olika delningar blir i längden ohållbart. En modern organisation har behov av att kunna dela sin information kontrollerat, lagra den tryggt och göra det på ett sätt som vanliga människor förstår – eller ännu hellre, inte ens behöver bry sig om.
De krav vi har för att skydda vår information borde egentligen vara självklarheter för alla mjukvaruleverantörer, där det mest uppenbara kravet är separation av administrativa uppgifter och läsning av verksamhetens information i systemen. I många system finns förmågor att koppla samman vissa rättigheter med vissa användare, men ofta på en nivå där ett samarbete över någon gräns innebär att långt mer än nödvändigt öppnas upp.
Ett detaljerat stöd för roller med behörighet till olika delar av information lyser ofta med sin frånvaro. Visst pratar man rollbaserad åtkomst, men utan att egentligen tänka till på vad det innebär. Att klara fysisk separation är inte ens på kartan för de flesta. Istället tänker man i hierarkier, där toppen på pyramiden kommer åt allt.
Det här synsättet tvingar oss till separata installationer av samma system och, i värsta fall olika, infrastruktur. Allt till priset av ökad komplexitet, som riskerar att leda till mänskliga handhavandefel eller att system inte uppdateras, vilket skapar svårkontrollerade problem, inte bara med säkerheten.