About this blog…

I am employed by Netnod as head of engineering, research and development and am among other things chair of the Security and Stability Advisory Committee at ICANN. You can find CV and photos of me at this page.

As I wear so many hats, I find it being necessary to somewhere express my personal view on things. This is the location where that happens. Postings on this blog, or at Facebook, Twitter etc, falls under this policy.

The views expressed on this post are mine and do not necessarily reflect the views of Netnod or any other of the organisations I have connections to.

Felaktigt beslut om incidentrapportering?

Idag beskrivs i Svenska Dagbladet i en artikel det beslut som förväntas i Riksdagen relaterat till incidentrapportering.

Låt mig vara tydlig: Jag tycker med min nu 30-åriga erfarenhet av att driva Internet operativt att Regeringen inte tänkt riktigt rätt.

Först måste man bestämma och förklara VAD man vill ska hända, vad ska göras av “den centrala organisationen som ska hjälpa till”.

Sedan kan man förklara varför man behöver viss information för att göra det man ska göra.

Här har man inte gjort någondera. Förutom att berätta att “allt ska bli bra bara det rapporteras saker”. Jasså, hurdå?

Vad gäller den första frågan är svaret inte så svårt. Vi behöver olika typer av hjälp före, under och efter en incident. Och det av olika organisationer. I Sverige, pga hur små vi är, behövs framför allt hjälp efter och före incidenter, och där har jag sedan 1997 argumenterat för en IT-Haverikommission. Denna måste dock vara helt oberoende och separerad från alla organisationer som har någon typ av tillsynsansvar eller regler, och aldrig utpeka skuld. Bara beskriva vad som hände, varför och vad som bör göras för att minska risk upprepning sker. Deras rapport kan användas av andra myndigheter som grund för deras bedömning av ändring av verktyg som styr, inklusive men inte begränsat till upphandling och tillsyn.

Under en incident krävs framför allt snabb enkel kommunikation mellan de som behöver utbyta information under en incident, och där är naturligtvis polis och privat sektor inblandade. Detta sitter hårt fast i de idag trasiga avtal för MLAT och (naturligtvis) Datalagringsdirektivet. Denna skrivbordsprodukt som visst hjälper i vissa fall, men är att använda icke-optimala verktyg för mycket speciella operationer.

Nej, jag är besviken. Framför allt på avsaknad av att lyssna på de som arbetar operativt i privat sektor.

Uppdatering: Jag tycker f.ö. man ska läsa det remissvar som IIS skickade in på utredningen. Den utredning där IIS Säkerhetschef Anne-Marie Eklund Lövinder satt med som expert. Dock fick inte experter lämna in särskilt yttrande, vilket är märkligt, varför just IIS svar är så viktigt att beakta.

Comments are closed.