Amerikansk statlig säkerhets­ledning i fritt fall

”Styrning av säkerheten vid det amerikanska försvarsdepartementet är osammanhängande, inkonsekvent, överlappande, fragmentarisk och okoordinerad”, så kan en rapport från dess generalinspektionen sammanfattas. En annan aktuell rapport om IT-säkerhet vid det amerikanska utrikesdepartementet visar på svåra missförhållanden.

Amerikanska försvarsdepartementet

Utredarna vid det amerikanska försvarsdepartementets generalinspektion bedömde hur effektiv säkerhetsregelverket var i förhållande till behovet.1 Utredningen kom bl a fram till att:

  • Säkerhetsfrågor är uppdelade i 23 funktionella områden (säkerhetsdiscipliner). Varje område med egna säkerhetsregler. Mängden säkerhetsregler som inte samordnas gör det svårt för dem på fältet att säkerställa ett konsekvent och heltäckande genomförande.
  • Säkerhetsdisciplinerna är osammanhängande (t ex fysiskt skydd och informationssäkerhet). Inom varje säkerhetsdisciplin är det svårt, om inte omöjligt, att förvalta säkerhetsreglerna.
  • Olika områden har etablerat egna säkerhetsstrategier, vägledningar och rapporteringsvägar. Dessa är inte koordinerade med varandra.
  • Försvarsdepartementet och underlydande försvarsmyndigheter måste följa säkerhetsregelverk som kan vara överflödiga och föråldrade.
  • Förutom för vissa delar av IT-säkerheten saknas enhetliga begrepp för säkerhetsområdet.
  • Det är svårt för någon högre chef att veta om säkerheten är adekvat.
  • Det finns inga klart definierade ansvarsområden och befogenheter för informationssäkerhet och fysisk säkerhet i fråga om skydd för information.
  • Flera säkerhetsregelverk om informationssäkerhet och fysisk säkerhet överlappar varandra.
  • Det finns säkerhetsregelverk som är fragmentariska, dvs inte innehåller alla relevanta delar som behöver finnas med.
  • Det finns säkerhetsregelverk som är inkonsekventa.
  • Utredarna genomförde en enkätundersökning till 48 säkerhetschefer (17 svarade). Mer än en fjärdedel av respondenterna uttryckte allvarliga oro för avsaknaden av en enhetlig standard för märkning av sekretessbelagd information.

Amerikanska utrikesdepartementet

Generalinspektionen vid det amerikanska utrikesdepartementet undersökte styrkor och svagheter vid the Bureau of Information Resource Management, Office of Information Assurance (IRM/IA).2 IRM/IA vid utrikesdepartementet ansvarar för departementets IT-säkerhet, bl a säkerhetsregelverk och att departementet följer direktiv för den nationella säkerheten. En av avdelningens uppgifter är att godkänna IT-system ur säkerhetssynpunkt (certification and accreditation [C&A] process). Utredarna kom bl a fram till att:

  • Säkerhetsregelverk är inkonsekventa och ineffektiva. IRM/IA uppdaterar inte interna regelverk för departementet (Foreign Affairs Manual [FAM] och Foreign Affairs Handbook [FAH]). Dessa avspeglar inte personalens aktuella ansvar för informationssäkerhet och är inte anpassade till lagstadgade krav.
  • Som en följd av att interna regelverk inte har uppdaterats sker säkerhetsrapportering som rör informationssäkerhet mot inaktuella krav.
  • De ändringar av interna regelverk som IRM/IA genomför sker utan remisser till andra enheter inom departementet som berörs.
  • Rutiner för att hantera avsteg från godkänd IT-säkerhet är otydliga.
  • IRM/IA ska ha en ledande roll i departementets hantering av ackrediteringsfrågor. Men för det mesta sammanställer man bara information som andra har tagit fram.
  • Det saknas tydliga kopplingar mellan arbetet vid IRM/IA och de strategiska mål som departementets CIO har tagit fram. Interna prioriteringar saknas. En följd av detta är att personalen inte är proaktiva i att uppfylla krav på informationssäkerhet.
  • IRM/IA är inte delaktig i den strategiska planeringen av IT-verksamhet vid departementet. Den nuvarande strategiska planen för IT-verksamhet innehåller få hänvisningar till informationssäkerhet.
  • IRM/IA har plats i olika arbetsgrupper inom departementet men deltar sällan i möten.
  • Ingen enhet vid departementet har ansvar för att hantera lokala IT-säkerhetsansvariga (information systems security officer [ISSO]). Olika delar av departementet styr direkt och indirekt lokala IT-säkerhetsansvariga vilket resulterar i förvirring bland personalen om vilka krav som gäller.
  • För rapportering inför ackreditering använder systemägare IT-system tillhandahållna av IRM/IA som beskrivs vara svåra att använda och inte vara användarvänliga. Bl a fryses användargränssnittet och man måste mata in information på nytt.
  • IRM/IA ändrar ad hoc-mässigt ofta i dokumentmallar som systemägare ska använda. Ändringar i sådana dokumentmallar genomförs utan att de kommuniceras och utan övervägande av konsekvenser för ackrediteringsprocessen. På grund av ändringarna var 90 procent av ackrediteringsunderlagen vid granskningstillfället antingen ofullständiga eller oanvändbara.
  • Granskningen av ackrediteringsunderlag genomförs av konsulter. Nivån av interaktion och granskning varierar med varje bedömare.
  • Gemensamma IT-säkerhetskrav saknas.
  • 52 av 309 IT-system vid utrikesdepartementet saknade aktuella drifttillstånd. Vissa IT-system har saknat drifttillstånd i mer än två år.
  • IRM/IA webbplats innehåller information som inte längre gäller. Publicerade dokumentmallar för systemägare är inte de versioner som ska användas (se ovan). Webbplatsen har ingen bakgrundsinformation till besökarna som förklarar organisationens roll i departementet. Inte heller finns någon beskrivning av den interna organisationen.

≈ ≈ ≈

Representanter från svenska myndigheter besöker ibland amerikanska myndigheter. Jag tror inte de egna tillkortakommandena visas upp vid sådana besök. Offentliga granskningsrapporter ger inblick i verksamheter man aldrig skulle få inblick i. När det kommer till frågor om informationssäkerhet visar dessa att det är på sin plats att vara kritisk. Punkterna ovan visar att USA inte kan hantera ledningen av informationssäkerhet vid sina departement som är viktiga för den egna nationella säkerheten och det internationella samarbetet.

För svensk del har USA bl a gett stöd till Chief Information Assurance Officer-utbildningen (CIAO) vid FHS. Även om vi ur ett nationellt perspektiv har brister i vårt informationssäkerhetsarbete (vem har inte det?) gäller det att vara kritisk till de amerikanska influenserna som ofta går under benämningen ”cybersecurity”. Vi måste, enligt min mening, på alla nivåer undvika att kopiera en sådan säkerhetsbyråkrati. Något är fel over there.

/Kim Hakkarainen


  1. Rapporten: Inspector General United States Departement of Defense – Assessment of Security Within the Department of Defense – Security Policy. Publicerad juli 2012. PDF ↩︎

  2. Rapporten: Office of Inspector General (OIG)/U.S. Department of State and the Broadcasting Board of Governors – Inspection of the Bureau of Information Resource Management, Office of Information Assurance (ISP-I-13-38). Publicerad juli 2013. PDF ↩︎