Sluta raljera, börja samarbeta

Utan att gå in i detalj om IT-skandalerna hos Transportstyrelsen och nu senast Rikspolisstyrelsen kan jag konstatera att något har hänt med debatten inom säkerhetsbranschen. Helt plötsligt finns många experter på stora IT-projekt som raljerar över hur incidenter som dessa kunde hända.

För att få lite perspektiv på saken kan vi hoppa tillbaka ett antal år, till en tid då säkerhetschefens ord var lag. Ville du implementera en ny lösning eller IT-funktion fick du gå med mössan i hand till honom (för det var nästan alltid en man). Om inte alla, ofta väldigt långa, checklistor var ifyllda och allt var 100% korrekt, blev svaret NEJ. Anledningen var oftast att det var för farligt och att man inte vågade släppa information till någon annan än sig själva.

När utvecklingen tog fart blev detta arbetssätt omöjligt. Helt plötsligt var den traditionella perimetern inte lika relevant längre. Vi jobbade mer tillsammans med andra och integrerade lösningar med varandra för att i slutändan skapa kundvärde. Det ledde till att många säkerhetsexperter blev förbisprungna då verksamheten ägde risken. De smarta började istället försöka hjälpa till att göra detta på bästa sätt utifrån ett säkerhetsperspektiv.

Det är här den rådande debatten blir konstig. Har vi glömt bort att informationssäkerhet faktiskt innebär att göra information tillgänglig för rätt personer? Just nu tycker jag att det börjar likna diskussioner från förr, när sekretessen var det viktigaste. Om informationen inte är tillgänglig för rätt person i rätt tid på grund av rädslan att den ska avslöjas verkar inte spela någon roll.

Vi i branschen måste fortsätta att vara en del av lösningen. Inte hoppa tillbaka tio år i tiden och säga nej till allt med hänvisning till någon av den senaste tidens IT-incidenter.

Jag vill till och med hävda att det inte ens är möjligt att spola tillbaka bandet, eftersom tillgängligheten och riktigheten av informationen redan är i centrum – oavsett var den befinner sig. Detta är en utveckling som kommer att fortsätta i takt med integrationen av olika system på internet. Något som ställer riktigt tuffa krav på oss som säkerhetsexperter. För ofta finns det inte en uppenbar lösning, utan något måste uppfinnas för att lösa problemet.

Att i dessa lägen luta sig tillbaka och säga att ”det går aldrig” eller ”vad var det jag sa?” är inte bara osmart. Det ger också branschen ett dåligt rykte om att återigen vara olyckskorpar som har som främsta uppgift att skrämma folk.

Jag tror att vi alla måste fortsätta jobba ihop, inte säkerhetsteamen för sig själva, för att tillsammans lösa de utmaningar vi har framför oss. I detta arbete måste vi ta de risker som är värda att ta, annars kommer vi ingenstans. Samtidigt ska vi så klart undvika eller eliminera de risker som är för stora.