Amerikansk statlig säkerhetsledning i fritt fall

”Styrning av säkerheten vid det amerikanska försvarsdepartementet är osammanhängande, inkonsekvent, överlappande, fragmentarisk och okoordinerad”, så kan en rapport från dess generalinspektionen sammanfattas. En annan aktuell rapport om IT-säkerhet vid det amerikanska utrikesdepartementet visar på svåra missförhållanden.

dod_state_infosec_reports

Amerikanska försvarsdepartementet

Utredarna vid det amerikanska försvarsdepartementets generalinspektion bedömde hur effektiv säkerhetsregelverket var i förhållande till behovet. Utredningen kom bl a fram till att:

  • Säkerhetsfrågor är uppdelade i 23 funktionella områden (säkerhetsdiscipliner). Varje område med egna säkerhetsregler. Mängden säkerhetsregler som inte samordnas gör det svårt för dem på fältet att säkerställa ett konsekvent och heltäckande genomförande.
  • Säkerhetsdisciplinerna är osammanhängande (t ex fysiskt skydd och informationssäkerhet). Inom varje säkerhetsdisciplin är det svårt, om inte omöjligt, att förvalta säkerhetsreglerna.
  • Olika områden har etablerat egna säkerhetsstrategier, vägledningar och rapporteringsvägar. Dessa är inte koordinerade med varandra.
  • Försvarsdepartementet och underlydande försvarsmyndigheter måste följa säkerhetsregelverk som kan vara överflödiga och föråldrade.
  • Förutom för vissa delar av IT-säkerheten saknas enhetliga begrepp för säkerhetsområdet.
  • Det är svårt för någon högre chef att veta om säkerheten är adekvat.
  • Det finns inga klart definierade ansvarsområden och befogenheter för informationssäkerhet och fysisk säkerhet i fråga om skydd för information.
  • Flera säkerhetsregelverk om informationssäkerhet och fysisk säkerhet överlappar varandra.
  • Det finns säkerhetsregelverk som är fragmentariska, dvs inte innehåller alla relevanta delar som behöver finnas med.
  • Det finns säkerhetsregelverk som är inkonsekventa.
  • Utredarna genomförde en enkätundersökning till 48 säkerhetschefer (17 svarade). Mer än en fjärdedel av respondenterna uttryckte allvarliga oro för avsaknaden av en enhetlig standard för märkning av sekretessbelagd information.

Rapporten: Inspector General United States Departement of Defense – Assessment of Security Within the Department of Defense – Security Policy. Publicerad juli 2012. http://www.dodig.mil/Ir/reports/DODIG-2012-114.pdf

Amerikanska utrikesdepartementet

Generalinspektionen vid det amerikanska utrikesdepartementet undersökte styrkor och svagheter vid the Bureau of Information Resource Management, Office of Information Assurance (IRM/IA). IRM/IA vid utrikesdepartementet ansvarar för departementets IT-säkerhet, bl a säkerhetsregelverk och att departementet följer direktiv för den nationella säkerheten. En av avdelningens uppgifter är att godkänna IT-system ur säkerhetssynpunkt (certification and accreditation [C&A] process). Utredarna kom bl a fram till att:

  • Säkerhetsregelverk är inkonsekventa och ineffektiva. IRM/IA uppdaterar inte interna regelverk för departementet (Foreign Affairs Manual [FAM] och Foreign Affairs Handbook [FAH]). Dessa avspeglar inte personalens aktuella ansvar för informationssäkerhet och är inte anpassade till lagstadgade krav.
  • Som en följd av att interna regelverk inte har uppdaterats sker säkerhetsrapportering som rör informationssäkerhet mot inaktuella krav.
  • De ändringar av interna regelverk som IRM/IA genomför sker utan remisser till andra enheter inom departementet som berörs.
  • Rutiner för att hantera avsteg från godkänd IT-säkerhet är otydliga.
  • IRM/IA ska ha en ledande roll i departementets hantering av ackrediteringsfrågor. Men för det mesta sammanställer man bara information som andra har tagit fram.
  • Det saknas tydliga kopplingar mellan arbetet vid IRM/IA och de strategiska mål som departementets CIO har tagit fram. Interna prioriteringar saknas. En följd av detta är att personalen inte är proaktiva i att uppfylla krav på informationssäkerhet.
  • IRM/IA är inte delaktig i den strategiska planeringen av IT-verksamhet vid departementet. Den nuvarande strategiska planen för IT-verksamhet innehåller få hänvisningar till informationssäkerhet.
  • IRM/IA har plats i olika arbetsgrupper inom departementet men deltar sällan i möten.
  • Ingen enhet vid departementet har ansvar för att hantera lokala IT-säkerhetsansvariga (information systems security officer [ISSO]). Olika delar av departementet styr direkt och indirekt lokala IT-säkerhetsansvariga vilket resulterar i förvirring bland personalen om vilka krav som gäller.
  • För rapportering inför ackreditering använder systemägare IT-system tillhandahållna av IRM/IA som beskrivs vara svåra att använda och inte vara användarvänliga. Bl a fryses användargränssnittet och man måste mata in information på nytt.
  • IRM/IA ändrar ad hoc-mässigt ofta i dokumentmallar som systemägare ska använda. Ändringar i sådana dokumentmallar genomförs utan att de kommuniceras och utan övervägande av konsekvenser för ackrediteringsprocessen. På grund av ändringarna var 90 procent av ackrediteringsunderlagen vid granskningstillfället antingen ofullständiga eller oanvändbara.
  • Granskningen av ackrediteringsunderlag genomförs av konsulter. Nivån av interaktion och granskning varierar med varje bedömare.
  • Gemensamma IT-säkerhetskrav saknas.
  • 52 av 309 IT-system vid utrikesdepartementet saknade aktuella drifttillstånd. Vissa IT-system har saknat drifttillstånd i mer än två år.
  • IRM/IA webbplats innehåller information som inte längre gäller. Publicerade dokumentmallar för systemägare är inte de versioner som ska användas (se ovan). Webbplatsen har ingen bakgrundsinformation till besökarna som förklarar organisationens roll i departementet. Inte heller finns någon beskrivning av den interna organisationen.

Rapporten: Office of Inspector General (OIG)/U.S. Department of State and the Broadcasting Board of Governors – Inspection of the Bureau of Information Resource Management, Office of Information Assurance (ISP-I-13-38). Publicerad juli 2013.
http://oig.state.gov/documents/organization/212277.pdf

≈ ≈ ≈

Representanter från svenska myndigheter besöker ibland amerikanska myndigheter. Jag tror inte de egna tillkortakommandena visas upp vid sådana besök. Offentliga granskningsrapporter ger inblick i verksamheter man aldrig skulle få inblick i. När det kommer till frågor om informationssäkerhet visar dessa att det är på sin plats att vara kritisk. Punkterna ovan visar att USA inte kan hantera ledningen av informationssäkerhet vid sina departement som är viktiga för den egna nationella säkerheten och det internationella samarbetet.

För svensk del har USA bl a gett stöd till Chief Information Assurance Officer-utbildningen (CIAO) vid FHS. Även om vi ur ett nationellt perspektiv har brister i vårt informationssäkerhetsarbete (vem har inte det?) gäller det att vara kritisk till de amerikanska influenserna som ofta går under benämningen ”cybersecurity”. Vi måste, enligt min mening, på alla nivåer undvika att kopiera en sådan säkerhetsbyråkrati. Något är fel over there.

/Kim Hakkarainen

3 kommentarer

Publicerad i Säkerhetsledning

3 kommentarer till Amerikansk statlig säkerhetsledning i fritt fall

  1. Marcus

    Tycker man kan ta det bredare än så..

    Det känns ofta som att man är villig att kopiera ideér, förfarande, och system från USA, just för att de är från USA, utan att göra egna utvärderingar.

    USA har *stora* problem med IT system, och har en blandad kultur av å ena sidan de som anser att det är bra med homogena regelverk och infrastruktur, och en lika stor sida som anser att ingen annan ska blanda sig i *deras* del av vad de nu jobbar med.

    Jag tycker att vi har en tendens att glorifiera USA och vad de pysslar med.

    Kanske för att det är enklare att säga ”Äh, de har redan gjort utvärderingar och det visade att allt funkade bra, då kör vi på det!” i stället för att lägga egna pengar och resurser.

    Sverige är ett byråkratins land, vore ju ytterst trevligt om våra politiker kunde låta experter få arbeta utan politisk press, och med enkla men starka ambitioner.

    En enhetlig IT-säkerhetspolicy med utbildning för all myndighetspersonal vore ju en trevlig start.

    Vad var det jag läste… ”I could fix all their problems, if they would just read my facebook feed..”

    Jag är medveten om att det är lätt att sitta här och göra uttalanden och skriva av sig, men vad kan man som vanlig dödlig annars göra?

    Rent ut sagt; Hur tar man tag i skiten och får ändring?

  2. Den CIAO-utbildning du själv gick här på FHS – nu omgjord till en helt svensk kurs – pekar på behovet av en viktig systematik i IA-arbetet och att det finns en sammanhållen policy förankrad och förstådd på högsta nivå i ett företag/myndighet. Den har inget att göra med amerikanska strukturer.

    • Jag är glad att den nuvarande CIAO-kursen kan genomföras utan stöd från våra amerikanska vänner och att den inte har något att göra med amerikanska strukturer. Sverige behöver CIAO-kursen.

      FHS webbplats står det att kursen i huvudsak genomförs på svenska. Trots det beskrivs kursens innehåll på engelska

      • Fyra övergripande ämnesområden: Management, Planning and architecture, Compliance samt Outreach.
      • Femton delämnen: Management, Threats, Architecture, Technology, Operational Security, Legal, Industrial Control, Defence, Governance, CNO, Forensic, Compliance and CIIP, Exercise and Study visit.

      Bakgrundsinformation för kursen innehåller referenser till de mycket goda erfarenheter som FHS har av det fleråriga samarbetet med amerikanska National Defense University (NDU) och deras Information Resources Management College (IRMC). Även om det står att kurskonceptet har modifierats för att passa såväl svenska som europeiska krav, står det ingenting som talar om för mig att FHS inte genomför utbildning som skulle kunna leda till den ineffektiva säkerhetsbyråkrati som granskningsrapporterna handlar om.

      /Kim Hakkarainen

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *