Sökformulär

Möten i Stockholm #3: Myndigheten för samhällsskydd och beredskap*

Tillsammans med min dåvarande praktikant Elin Andersson besökte jag första veckan i april myndigheten för samhällsskydd och beredskap (MSB). Deras verksamhet och anställda kan bäst beskrivas med en kommentar jag hörde om MSB på tåget:

Jag frågade vad det var för koordinering de egentligen skulle göra, och då liksom fick tjänstemannen någonting olyckligt och flackigt i blicken. Sen sa hen "jag har bara jobbat här ett år."

Deras uppdrag är enligt mina anteckningar att koordinera olika aktörer i samhället samtidigt som samtliga aktörer tar eget ansvar, enligt en gammal svensk modell som tydligen är välbeprövad. De hanterar kriser och beredskap för kriser, men har ingen definition på kris och de vet inte hur eller när kriser uppstår. Kriser kan till exempel vara när Domstolsverkets hemsida ligger nere i fyra timmar på en onsdag, eller att hela svenska elnätet går ned - för att ge en illustration av vidden på den krisberedskap de försöker hantera. Krisberedskap kan emellertid också vara att producera videofilmer om internet för femte- och sjätteklasser, men det är inte alls tydligt om vad dessa videofilmer borde vara: myndigheten vet nämligen inte om de har en skyldighet att hantera kriser som uppstår för medborgare, eller om deras beredskapsuppdrag utsträcker sig bara till sånt som ankommer offentliga institutioner. För mig verkar det politiskt alldeles uppenbart att man vill veta vem som ska skyddas från vad och varför. Därför upplever jag det som oerhört olyckligt att den myndighet som har ansvar för detta koordineringsarbete i myndighetssverige inte vet varken vem eller vad som är målet för deras verksamhet. Det enda säkra för MSB verkar vara att alla ska ta sitt ansvar, och att det ansvaret vanligtvis inte faller på någon från MSB.

Men med detta är inte sagt att MSB inte har något mandat eller någon makt: tvärtom har de fått uppdraget att ge regeringen "råd om förebyggande åtgärder" inom bland annat IT-säkerhetsområdet. Men MSB har i frågan om IT-säkerhetsincidenter i offentliga agerat antingen försiktighet eller inkompetens. Jag ska försöka förklara den här ståndpunkten och har givit förslag på lösningar längst ned.

Incidentrapportering är någonting som i Bryssel hanterats i flera vändor de senaste två åren: dels inom ePrivacy-direktivet, inom dataskyddsförordningen, dels inom direktivet för nätverkssäkerhet. Tidigare erfarenheter av incidentrapportering finns från ett antal olika platser, som identifierats av MSB i deras utredning om IT-säkerhet från 2010. Där har man dock missat det kanske mest lyckade projektet med incidentrapportering som härrör från Kalifornien år 2002, och hänvisar istället till en ganska urvattnad och tam amerikansk federal lag.

Den kalifornska lagen har egenheten att den ålägger privata aktörer att skicka incidentrapporter till de som drabbas av en säkerhetsbrist eller dataläcka, så vida inte datan var krypterad. Det finns olika problem med det systemet: man skapar starka incitament för kryptering, men kanske inte lika starka incitament för bra IT-system. Kryptering kan vara mer eller mindre säker, och det finns inga särskilda krav på krypteringen. Men å andra sidan blir det väldigt dyrt att lida av säkerhetsbrister om man inte krypterar på ett bra sätt, och skulle man själv vara en av de drabbade av en säkerhetsincident, så får man i alla fall rätten att veta. Ett sådant system ska vi emellertid inte få i Sverige, där man istället valt en onödigt byråkratisk och centraliserad lösning utan möjlighet att påverka faktisk utveckling av säkrare IT-produkter och -tjänster på något sätt.

I april 2012 föreslog MSB ett incidentrapporteringssystem för offentlig sektor i Sveriges alla kommuner och landsting - någon tjänsteman i kommunen kommer framledes vara ansvarig för att skicka incidentrapporter till MSB. Det kommer att ge MSB gott om data som de sedan kan använda för att producera grafer över IT-incidenter i svensk offentlig sektor. När jag frågade MSB varför de valt att göra på det här sättet - det finns i stort sett ingen i Sverige som kommer vara intresserad av MSB:s infografik, och de som är intresserade kommer ändå inte vara i ställning att åtgärda några av de problem som graferna illustrerar - berättade de att regeringen givit dem i uppdrag att göra så.

Problemet för MSB är bara att det är de som rekommenderat för regeringen att ge dem det uppdraget i sin utredning från 2010. Regeringen kan ju heller inte rimligtvis förväntas vilja invända mot den samlade expertisen i en myndighet de skapade just för att utveckla sådan expertis - i värsta fall anklagas de då för ministerstyre, vilket inte alls är särskilt positivt för regeringen. Så vem bär institutionellt ansvar för att det införts ett troligtvis ineffektivt och överbyråkratiserat incidentrapporteringssystem som kommer stjäla kommunernas resurser från saker de faktiskt behöver göra till att göra det möjligt för MSB att framställa infografik som ingen bryr sig om?[1] Förmodligen MSB, som gjorde en kass grundutredningen 2009 och sedan förvillade regeringen att tro att det fanns mycket färre och mindre effektiva åtgärder att välja mellan än vad som egentligen var fallet.

Det finns två huvudsakliga förklaringsmodeller för varför det blir så här, tror jag:

Den ena är inkompetens. MSB har inte anställt någon ekonom och har därför inte haft koll på att den privata sektorn - som äger och/eller driftar merparten av all offentlig informationsinfrastruktur - verkar under andra incitament än den offentliga sektorn. Medan den offentliga sektorn har ett huvudsakligen moraliskt imperativ att göra rätt, har den privata sektorn ett ekonomiskt imperativ att göra rätt. Man behöver alltså göra det dyrt och jobbigt, ekonomiskt sett, att lida av säkerhetsfel om man ska komma åt IT-säkerhetsbrister. Detta har MSB inte identifierat, och därför har inte heller regeringen kunnat känna till att det förhåller sig så - regeringen är ju nämligen på något sätt bunden att lita på sina egna experter.

Den andra är försiktighet. Det kan vara så att MSB mycket väl varit medvetna om ovanstående imperativ men valt att inte ta upp det med regeringen eftersom de är för osäkra på sin uppdragsbeskrivning. De har givits mandat att ge "råd om förebyggande åtgärder". En förebyggande åtgärd skulle givetvis kunna tolkas som "en lag som skapar rätt incitament för den privata sektorn att åtgärda problem som uppstår", men verkar i MSB:s fall tolkats som att "inte i en enda mening på flera hundra sidors utredningar på ett klart sätt formulera huruvida förebyggande åtgärder ens är möjliga" samt att "det bästa för hela Sverige är om kommunerna hålls upptagna med att hjälpa MSB:s grafikavdelning, som har ett tydligt uppdrag att skapa piecharts".

En mer illvilligt sinnad människa än jag själv skulle nog tolka även försiktigheten som en form av inkompetens. Mitt intryck är att myndigheten har det handlingsutrymme de behöver. Däremot är de vilse och institutionellt oerfarna, och därför oförmögna att agera på de uppdrag som antingen de själva eller politikerna tror att de fått. Precis som många andra människor och institutioner med egentlig makt och inflytande har de inte förstått eller vill inte ta ansvar för det inflytande och den makt de har, och det är därför blickarna flackar olyckligt på de anställda när man frågar vad de egentligen gör. Om riksdagen hade besuttit kompetens på området hade riksdagen eventuellt kunnat ställt myndigheten till svars för brister i deras utredningsarbete, men för detta syfte saknar Sverige både kompetenta riksdagsledamöter och civilsamhälleliga ansträngningar.

Man kan lösa problemet genom att förtydliga problemställning för myndigheten, men det lär inte vara tillräckligt. De kommer också behöva driftiga och institutionellt erfarna chefer som kan manövrera inte bara myndighetens arbetsområde utan kanske främst institutionella ramverk utan tydliga beslutsfattarkedjor. En sådan förändring förefaller osannolik under försvarsdepartementet, vars själva berättigande ju vilar på en institution (militären) vars beslutsfattarkedjor är oerhört vertikala och dessutom enormt effektiva - motsatsen till demokratiska och inkluderande system - eftersom de främst är utformade för att guida stridande trupper över slagfält, snarare än konstruktiv samexistens.

* Fotnot: Det här är tredje delen i en serie på kanske sju delar. Det har bara tagit tid att producera dem.

[1] En orelaterad observation som rör centraliseringsbiten snarare än incidentrapportering är en konversation jag åminner mig från tidigare under året då någon poängterade att det är svårt att samla ihop tillräcklig expertis i landet för att få alla kommuner att göra rätt alltid. Det kan förvisso vara sant att MSB har bättre medel att hantera incidentrapporter än många svenska kommuner, men incitamentsmodellen är fortfarande fel med avseende på syftet att få bättre och säkrare IT-system (dessa utvecklas och underhålls varken av MSB eller kommunerna). Det hjälper alltså inte att straffa kommuner för system de inte själva designar, utvecklar eller underhåller.

2 kommentarer

Jag har sedan något år prenumererat på MSB's tidning "tjugofyra7". Det är alltid intressant läsning. En kollega har också suttit med i ett "råd" hos MSB. Så jag har fått höra en hel del om hur det egentligen fungerar där.

Rekommenderar "tjugofyra7" för alla som är intresserade av att känna bakgrundsdetaljerna om och hur samhället fungerar.

I senaste nummret kan man läsa bl.a en "insändare" där skribenten anser att "militären skall samarbeta med polisen". Detta är hårresande, har skribenten redan glömt bort Almedalen?

Håller med i "för detta syfte saknar Sverige både kompetenta riksdagsledamöter och civilsamhälleliga ansträngningar".

Men man måste ju börja någonstans. Demokratin och ytterst beslutsfattandet blir inte bättre eller sämre än de engagerade/oengagerade invånare som verkar i landet.

Det behövs flera människor som känner att de har tid och lust i att deltaga i hur man organiserar samhället på bästa sätt.

Visst. Jag tycker absolut att vi behöver bättre och mer engagerade riksdagsledamöter, och jag tycker heller inte illa om MSB eller deras utredningar. Jag tycker precis som jag skriver ovan: de verkar institutionellt oerfarna och har absolut varken politisk styrka eller list att utnyttja sin roll på det sätt de skulle behöva göra för att faktiskt åstadkomma konkret nytta för det svenska samhället.

Det tror jag delvis har att göra med att de hamnat under Försvarsdepartementet som inte är ett departement rustat för civila operationer. Vi har ju två problem i Sverige: vi ogillar försvaret och vill skära ned på det, så då behöver vi hitta något annat för försvaret att göra vilket blivit krishantering. Samtidigt är militären (alltså den institution man försöker konvertera) en väldigt gammal institution med väl invanda mönster som inte nödvändigtvis lämpar sig för den sortens krishantering man givit i uppdrag åt MSB att hantera. Det är för vi på departements- och regeringsnivå i Sverige saknar en analys av organisationer och system av organisationer och hur de relaterar till sig själva och varandra - man skulle kunna säga en i huvudsak ideologilös styrning, alltså, som inte alls klarar av att relativisera statens egen makt över sig själv (däremot kan man hävda att de har en tydligare bild av hur den privata sektorn bör ges inflytande, blabla).

Kan vara jag som är fast i Bogdanov, Weber, Canetti och Foucault, också.

Lägg till ny kommentar