2022-11-16

Svensk digitalisering – kejsarens nya kläder

Eller hur vi borde anamma barnets oskyldiga perspektiv då vi digitaliserar.

Samuel Taub
Samuel Taub
Informationssäkerhetskonsult

Många har på olika sätt beskrivit och försökt förklara det samhällsomvälvande skede vi precis just nu befinner oss i - den intensiva och ständigt ökande digitaliseringen av samhällets alla dimensioner.

Det som när vi växte upp (vi som uppnått en viss vördnadsfull ålder) på åttiotalet var analogt; linjär tv, dags- och kvällstidningar, telefonkataloger, kartor har alla blivit digitala och får bekvämt plats i våra smarta telefoner. Men det som omdanar och omdanat samhället mer i grunden är digitaliseringen av samhällets själva grundfunktioner, läkarbesök, deklaration, utbildning, ansökande om, och tilldelning av diverse tillstånd från kommuner med mera. Denna digitalisering är mer än bara förflyttning från analogt till ett nytt format. Nya möjligheter öppnas, och jakten på effektiviseringar och ”hållbar tillväxt” har exploderat sedan digitaliseringens kraft blev uppenbar. Detta ser ut att accelerera i takt med att det ekonomiska läget blir mer bekymmersamt, det säkerhetspolitiska läget kraftigt försvagat och den precis ”avklarade” pandemin.

MEN, vad är det egentligen vi har skapat?

Har vi byggt ett nytt digitalt samhälle som i all akt och mening ersätter det vi kommer ifrån, eller har vi ströslat på ettor och nollor på befintliga processer, modeller och arbetssätt utan att kritiskt fråga oss, varför? Vilka risker finns med detta? Överväger nyttorna/vinsterna de eventuella riskerna?

Hur hänger då detta ihop med den olämpligt klädde kejsaren som jag nämnde i rubriken?

Jo, kejsaren var så mån om att ha det senaste modet och ligga i framkant när det gällde hur han klädde sig (Sverige ska vara världsledande på digitalisering), han var så dedikerad att han lät sig luras av två bedragare som övertygade kejsaren om att deras tyger och mönster skulle säkerställa att kejsaren var bäst klädd av alla (överflödet av system, säkerhetslösningar med mera). Bedragarna vävde inga tyger och lät kejsaren klä sig i det (icke befintliga) tyget. Bedragarna hade varit så skickliga på att förklara deras egen förträfflighet att ingen ville erkänna att kejsaren de facto var naken, kostnaden för att påpeka detta uppenbara faktum var för högt för hovets medlemmar, de anställda och stadens invånare, alla köpte premissen att de var de som inte kunde se det vackra tyget som kejsaren bevisligen hade. Resultatet blev en olämpligt klädd monark och ett helt samhälle som levde med illusionen att kläderna var så exklusiva och komplexa att det i själva verket var omöjligt för dom att se kläderna. Precis som det faktum att de digitala processerna är så invecklade och samtidigt självklara att de i princip är omöjliga att ifrågasätta eller stå utanför (kontantfritt samhälle, krav på bank-id för viss samhällsservice, begränsande av analogt tv-nät med mera.).

Vi har ju köpt det mest exklusiva tyget

Detta menar jag kan beskriva vår verklighet i dag med digitaliseringen av samhället. De digitala systemen är mer och mer komplexa och har fler och fler beroenden. Det omöjliggör för en ”vanlig” medborgare eller anställd att fullt ut överblicka hur dennes information behandlas, än mindre att kunna styra över hur denna information delas, berikas, eller används av företag, andra nationer, eller andra individer för att skapa nya produkter, generera annonsintäkter eller dylikt.

Samtidigt är monarken (det svenska samhället, ditt företag, eller du som person) övertygad om sin egen förträfflighet gällande säkerhet, vi har ju köpt det mest exklusiva tyget (de senaste säkerhetslösningarna från de dyraste leverantörerna) så det är klart att vi är säkra, och att vi kan skörda nyttan av digitaliseringen! Men precis som kejsaren så har vi förblindats av jakten på digitaliseringens vinster vilket har lett till att vi inte ser de uppenbara problem som en ogenomtänkt och stressad digitalisering för med sig. Exemplen på detta är många, havererade skolplattformar, uppskjutna digitala nationella prov, trygghetslarm som inte fungerar utan mobiltäckning och en allt större risk för extremväder som riskerar att slå ut samhällsviktig digital infrastruktur.

Dessa symptom pekar på ett underliggande sjukdomstillstånd, nämligen att vi som samhälle, företag och individer inte har fullt ut förstått vilken information vi skapar, äger och använder i vårt dagliga värv. När vi sedan ska digitalisera uppstår helt andra möjligheter för denna information att delas, dupliceras eller korrumperas, möjligheter som är förknippande med enorma potentiella vinster, men även väldigt stora risker. Dessa risker anser jag inte har fått ta de utrymme som behövs, de har snarare ansetts vara bakåtsträvande och omodernt att påtala riskerna med digitalisering, detta har gällt alla, inklusive Atea. Dessa risker har oftast motats i grind med valfri förkortningslösning, SIEM, SOC, EDR, XDR, PAM, MS Defender for endpoint, eller den som är mest i ropet för dagen, som ett alibi för att påvisa att det finns någon form av säkerhet. Dessa förkortningslösningar är dock helt verkningslösa om de inte implementeras i en väl dokumenterad och mogen organisation med kontroll över sin information och förståelse för vilka risker den utsätt för.

Vad är då lösningen på detta? Ska vi sluta digitalisera?

Absolut inte, det är att gå alldeles för många steg bakåt i utvecklingen, men vi ska nog beväpna oss med lite källkritisk ansats till ryggmärgsreflexen som många har – att digitalisera.

Varje nytt initiativ behöver kunna tåla motfrågor som:

  • Varför?
  • Vilken information behövs, är den känslig, i så fall hur?
  • Vad är alternativet?
  • Vilka risker finns med just denna digitalisering?
  • Behöver tjänsten kunna levereras på andra sätt?

Är svaren på dessa frågor; Därför, för att alla andra gör det, för att spara pengar, eller vi har en magisk förkortningslösning som säkerställer allt, SIEM, SOC, EDR, XDR, PAM, IAM, med flera… så finns fog att tänka ett, eller flera varv till. 

Idag prioriteras dessa motfrågor ned, beställningarna är tydliga från början, det ska effektiviseras, digitaliseras och moderniseras, motstånd mot detta är teknikfientligt och reaktionärt. Jag föreslår att vi slår ett slag för eftertänksamhet, konsekvensanalys och modet att ifrågasätta etablerade sanningar, allt för att undvika att det är vi (Sverige, ditt företag eller organisation, eller du) som står utan kläder, men med ett uppblåst självförtroende och exponerar oss mot omvärlden. I sagan är det ett barn som till slut ser och uppmärksammar alla på att kejsaren faktiskt saknar kläder, och det är ju som det ofta sägs, av barn och fyllon får man höra sanningen, jag avråder starkt från att digitalisera påverkad av alkohol, men att ha kvar barnets ifrågasättande är en väldig styrka.

Känner du att detta stämmer, helt eller delvis, för dig eller för din organisation, hör av dig så pratar vi mer om hur vi kan hjälpa er att hitta rätt fokus i säkerhetsarbetet, hur vi kan hjälpa till att ställa rätt motfrågor. Känner du att detta är helt uppåt väggarna?

Hör av dig så diskuterar vi det mer!