Sju viktiga myndigheters planerade säkerhetsåtgärder i en offentlig handling

Tuesday, July 17, 2018

ÖvrigtÅsikt

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Morgan Johansson (S) har på regeringens vägnar lämnat ett nytt uppdrag till MSB och övriga myndigheter inom SAMFI (Samverkansgruppen för informationssäkerhet). Tillsammans, under ledning av MSB, ska de producera en handlingsplan avseende planerade åtgärder inom arbetet med informations- och cybersäkerhet.

“Av handlingsplanen ska framgå planerade åtgärder som myndigheterna enskilt eller i samverkan med andra aktörer avser att vidta för att höja informations- och cybersäkerheten i samhället.”

Vidare kan vi läsa att det även ska komma specifika uppdrag till myndigheterna, men ingen vidare precisering om vad detta skulle kunna innebära. Däremot kan vi läsa om ett prioriterat uppdrag som är ett uppdrag…

“Ett prioriterat uppdrag är ett uppdrag om framtagandet av en nationell modell för systematiskt informationssäkerhetsarbete som utgör en av målsättningarna i den nationella strategin för samhällets informations- och cybersäkerhet.”

Denna nationella modell innebär att regeringen vill ta fram någon slags plattform för arbetet med informations- och cybersäkerhet.

“Den nationella modellen syftar till att utgöra en gemensam plattform för det systematiska informationssäkerhetsarbetet genom att samordna och samla regelverk, metoder, verktyg, utbildningar med mera på ett lättillgängligt sätt.”

Vad är det som inte redan finns under exempelvis https://www.informationssäkerhet.se ? Säga vad man vill om ramverket på informationssäkerhet.se men det är ändock ett ramverk för systematiskt informationssäkerhetsarbete, eller? Vad mer specifikt tycker de saknas? Antar att vi får lov att vänta på ytterligare en uppdragsbeskrivning för uppdraget innan vi kan besvara den frågan. Synd.

Smått och gott från dokumentet

Som det nästan alltid gör finns det små textmässiga godbitar jag inte kunde låta bli att skratta lite åt. Ta det här t.ex:

“Regeringen har vidtagit en rad åtgärder för att stärka informations- och cybersäkerheten i samhället.”

Har dom verkligen det? Har dom vidtagit åtgärder för att stärka samhällets informations- och cybersäkerheten? Vore det inte mer precist att säga att de har vidtagit åtgärder som möjliggör ett stärkande av informations- och cybersäkerheten i samhället? Är det tramsigt av mig att reagera på sådant? Eller tänker jag fel? Kan vi säga att regeringen vidtagit åtgärder som stärker samhället när de beslutar om fluffi-fluff-saker? Är det att stärka?

Sammanfattningen

Det ska alltså produceras ett nytt dokument. Ett dokument som beskriver ett antal viktiga myndigheters planerade åtgärder för att stärka informations- och cybersäkerheten i samhället. Går det verkligen att producera en sådan handlingsplan? Skulle en sådan inte indirekt säga vad myndigheterna har för svagheter? Vilka åtgärder kan rimligen inkluderas i en sådan handlingsplan? Utgångspunkten är trots allt att det kommer att bli en offentlig handling.

Vad tror ni, tänker jag lite fel här?

ÖvrigtÅsikt

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Har du läst dom här?

NIST Cyber Security Framework - Del 1 - Grunderna

Har du hört begreppet kvalitativ riskanalys?