Från finansministeriet till biblioteket - reflexioner kring begreppen informationssäkerhet och -frihet
I Finland har finansministeriet till uppgift att "leda och samordna informationssäkerheten inom statsförvaltningen". Betyder informationssäkerhet helt enkelt säkra finanser? Vad är informationssäkerhet?
Finansministeriet föreslår följande definition:
"Med informationssäkerhet avses: - Ett tillstånd, där hoten mot informationens, informationssystemens och datatrafikens konfidentialitet, integritet och brukbarhet inte utgör någon betydande risk. - Administrativa, tekniska och övriga åtgärder varmed man skyddar och säkerställer information, tjänster, system och datatrafik i avsikt att kontrollera risker som dessa utsätts för såväl under normala förhållanden som i undantagsfall". 1
En forskare vill för sin del bestämma begreppets innebörd - och samtidigt informationssäkerhetens grundval - så här:
"Informationssäkerheten är en av informationssamhällets grundstenar. Finansiella transaktioners integritet, elektroniska underskrifters pålitlighet, förtroendet inom det virtuella företaget, personernas integritet, den vitala infrastrukturens tillförlitlighet - allt detta är beroende av att vi har tillgång till starka och pålitliga säkerhetsmekanismer. För att säkerställa tillgången till sådana mekanismer krävs det många betydande forsknings- och utvecklingsinsatser" 2
Definitioner av informationssäkerhet kunde också hämtas från olika företag och organisationer. En viktig aspekt lyfts fram i följande citat: "Kan man inte med säkerhet säga exakt hur många exemplar innehållande viss information som framställts, kan man heller inte med säkerhet avgöra om informationen är skyddad som en företagshemlighet".3
Sammanfattningsvis konstaterar jag att informationssäkerhet täcker tjänster, transaktioner, offentlig infrastruktur, privatliv och affärshemligheter! Informationssäkerheten (InfoSec) innefattar såväl statens och företagens kommunikationssäkerhet (ComSec) som den enskilda medborgarens privacy, alltså skyddet av den personliga integriteten (data protection).
En svensk expert på informationssäkerhet skriver att "informationssäkerhet handlar om att skydda informationstillgångar".4 Det är ett intressant och klargörande tillägg. Notera också den nya yrkesbeteckningen säkerhetsinformatiker. Vad gör en sådan? Uppenbarligen förväntas han eller hon "skydda informationsstillgångarna" i en organisation, på ett företag eller i ett ministerium.
"Informationstillgångar" är definitivt någonting mer påtagligt än "information". Det låter nästan som bibliotek!
Läcker som ett såll
"Det är omöjligt för staten att samla in all information centralt och fatta kloka beslut i enlighet med den." 5
Ovanstående är en beskrivning av ett drag i den berömde nationalekonomen Friedrich A. Hayeks tänkande. I det sammanhang, varur citatet hämtats, avser ordet information priserna på varor och tjänster på "den fria marknaden". Priserna ger enligt Hayek m fl information om vad som bör produceras, under förutsättning att prisbildningen får ske spontant, utan politisk (statlig) inblandning. Här, som känt, finns en av den ekonomiska politikens stora stridsfrågor.
Det känns frestande att också tillämpa de liberala ekonomernas tankegång om prisbildningen som en "spontan process" på begreppet infomationssäkerhet. Det verkar med andra ord rimligt att anta (åtminstone lika rimligt som i fallet med prisbildningen!), att informationssäkerhet är ett tillstånd, som endast kan uppnås som en följd av en spontan - eller ytterst decentraliserad - process. Hur fåfäng måste inte maktens strävan efter att "säkra informationen" vara? Begreppet informationssäkerhet tycks vid närmare påseende inrymma krav om allvetande och fullständig kontroll, som helt enkelt är omöjliga att uppfylla. Vilka möjligheter har staten att samla in all information om all information? Å andra sidan: Vad betyder informationssäkerhet ifall en mängd (en hur stor mängd?) information förblir okänd för staten och sålunda undandrar sig statens kontroll?
Den inledande satsen är förvisso även ett argument för frihet från statlig inblandning i samhällslivet i "säkerhetens" namn? För att gå rakt på sak: Vem ska vakta väktarna?
Denna fråga - Juvenalis: "Sed quis custodiet ipsos custodes?" - står som motto för Europaparlamentets rapport om Echelon, ett av historiens största spionageprojekt. Echelon är ett av många exempel på hur informationssamhällets regeringar försöker bita sig själva i svansen. Vem inbillar sig att regeringar, som aktivt undergräver varandras informationssäkerhet, ska lyckas uppnå ett tillstånd "där hoten mot informationens, informationssystemens och datatrafikens konfidentialitet, integritet och brukbarhet inte utgör någon betydande risk"? Jag tror kort sagt att vi får ta EU-kommissionens förslag (i februari 2003) till upprättande av en gemensam europeisk "nät- och informationssäkerhetsbyrå" med en stor nypa salt.
Insikten om att informationssäkerheten måste läcka som ett såll är oroväckande men samtidigt befriande.
Sonera-skandalen
Förmodligen är vi nödda och tvungna till att diskutera "informationssäkerheten" i det så kallade informationssamhället och p g a den digitala informationsteknologins genombrott. Men informationssäkerhet borde inte uppfattas som en teknisk eller professionell fråga utan som ett politiskt begrepp. En av utgångspunkterna för diskussionen om informationssäkerhet borde vara, att värderingsgrund och politisk åsikt bestämmer, inte bara vad vilka åtgärder man anser vara kloka och önskvärda, utan också vad diskussionen ska handla om och vad man överhuvudtaget menar med informationssäkerhet. "Informationssäkerheten" är en fråga för generalister. Det behövs inte minst historiska perspektiv, eftersom frågorna i långt ifrån alla avseenden är nya.
Sommaren 2002 förlorade finländarna definitivt sin politiska oskuld beträffande "informationssäkerheten". Sonera-skandalen, som då drabbade landet, är en härva av betydande ekonomiska misstag samt misstankar om oegentligheter i affärsverksamheten och grov kränkning av personalens och utomståendes integritet. Brottsundersökningar pågår och rättegångar stundar.
Soneras (numera Telia-Soneras) ansamlingar av data om användningen av bolagets mobiltelefontjänster är mycket omfattande eftersom tjänsterna används av miljoner människor. För att se tilll skyddet av bl a dessa "informationstillgångar" hade bolaget en säkerhetschef vid namn Juha E. Miettinen. Juha E. Miettinen har författat gängse läroböcker om informationssäkerhet. Han tillhör Finlands informationssäkerhetsetablissemang. Men sedan senaste höst misstänks Miettinen, jämte några andra fd Soneraschefer för att ha utnyttjat ovannämnda data för att spionera på personalen och på journalister, som förmedlar nyheter om Sonera till allmänheten.
Detta är alltså en av historierna om hur informationssäkerheten fallerade. En viktig bit handlar också om hur personers integritet kränktes. Men paradoxalt nog är Sonera-skandalen också - och kanske i synnerhet - ett exempel på hur vissa personers integritet omgärdas med ett övermått av skydd.
Sonera gjorde under Kaj-Erik Relanders tid som VD den dyraste missen i finländsk företagshistoria: köpet av - som det senare visade sig - totalt värdelösa UMTS-licenser i Tyskland för 4,3 miljarder euro. På något sätt, som ingen tillsvidare har förklarat, lyckades Relander emellertid skrapa ihop tiotals (kanske hundratals) miljoner euro åt sig själv varmed han skaffade sig delägarskap och ett nytt jobb i det multinationella investeringsbolaget Accel Partners. Också Relander hör till de som misstänks för grov kränkning av kommunikationshemligheten.
På grund av ovannämnda och ytterligare några andra misstag och misstankar ledde Sonera-skandalen (av vilken endast några huvuddrag har kunnat antydas här) till att det restes krav på en specialrevision av bolagets ekonomiska och juridiska situation, förrättad av utomstående, oberoende revisorer och utredningsmän. Detta krav stöddes (stöds?) explicit av bl a justitieminister Koskinen, professor Jarmo Leppikangas (som är bokföringsexpert och ordförande i aktiespararnas centralförbund), dåvarande oppositionsledaren (nuvarande statsministern) Anneli Jäätteenmäki och den globaliseringskritiska organisationen Attac.
Men här visade sig "informationssäkerheten" plötsligt vara stenhård. Statsminister Lipponen, som kortsiktigt valde att prioritera genomförandet av fusionen av Telia och Sonera i stället för att verka för demokrati i informationssamhället, avvisade helt sonika kravet om en specialrevision och kallade det för "populism". På vilken grund?
Grunden består i att Sonera privatiserades på 1990-talet. Regeringen anser sig därmed ha rätt att vägra ta ansvar för oegentligheterna i det som numera är ett privat börsbolag, trots att finska staten kvarstår som bolagets största enskilda ägare. Relander, för sin del, uppfattas som en privatperson vars integritet inte får kränkas. Frågan om hur Relander samlade det kapital, som han behövde för att bli delägare i Accel Partners, är onekligen pinsam för honom. Men hur mycket mer pinsam är den inte för medborgarna i "informationssamhället"? En specialrevision är när allt kommer omkring bara ett slags ... säkerhetsåtgärd med syftet att ta fram tillförlitlig information, i första hand för bolagets ägare och - särskilt när det gäller ett så stort och för samhällets funktioner viktigt bolag som Sonera - även för allmänhetens insyn och granskning.
När det kom till kritan visade det sig att den verkställande makten, regeringen, ensam bestämmer om vad vi får och inte får veta. Under dessa omständigheter bör medborgarna bestämt avvisa begreppet "inrformationssäkerhet" som lögn och propaganda. För att bli acceptabelt som politiskt begrepp borde "informationssäkerhet" också inbegripa principen om transparens och rentav en ny myndighet eller makt, vars uppgift skulle bestå i att skydda offentligheten. Informationssäkerheten måste med andra ord betraktas som en integrerad del av informationsfriheten.
Om bibliotekets roll
Skulle biblioteket kunna axla rollen som informationstillgångarnas beskyddare och allmän garant för informationssäkerheten och -friheten i informationssamhället? Mycket ska givetvis till innan denna tanke börjar likna en verklighet. Den är dock tänkvärd.
Med biblioteket avser jag den organisation som vi i Norden kallar folkbiblioteket eller det allmänna biblioteket. Jag vet egentligen ingen annan organsation som vore mer kvalificerad för uppdraget som informationstillgångarnas och informationsfrihetens beskyddare än folkbiblioteket. Men detta är ett uppdrag som förutsätter politisk makt, något som biblioteket tillsvidare saknar. Som medborgare i informationssamhället kräver jag följaktligen en ny maktfördelning. Mitt krav innebär att biblioteket bör utrustas med politiska maktbefogenheter och att en av dessa bör vara "att leda och samordna informationssäkerheten".
Som avslutning på den här artikeln ska jag kort skissera tre argument till stöd för ovanstående slutsats.
1. Biblioteket är sedan länge välbekant för alla grupper av befolkningen som en allmännyttig, offentlig informationstjänst. Bibliotekspersonalen är de facto en professionell kår av specialister på information. De kan anses vara kallade att utöva "informationsmakten" (eller ska vi kalla det för biblioteksmakten?) ungefär såsom domare och jurister är den "dömande maktens" yrkesutövare. Bibliotekets geografiska spridning och bibliotekspersonalens lokalkännedom (biblioteken är ju närvarande i alla städer och kommuner) skapar goda förutsättningar för att undvika centralbyråkraters och statliga planeringsbyråers misstag.
2. Mellan biblioteket och IT-samhällets viktigaste nya inrättning, alltså internet, råder en viktig artlikhet. Detta bekräftas för övrigt också i hur mänskorna spontant upplever internet. I en färsk amerikansk enkätundersökning valde 51% av de tillfrågade "Library" när de ombads svara på frågan "What do you think the Internet is like?" . På andra plats kom "Meeting place" (10%); tredje var "Shopping Mall"(10%). 6
Internets utveckling innehåller flera drag av en spontan process i den hayekska meningen. Men internet är inget kaos, det påminner som sagt starkt om ett bibliotek. Vi bör bejaka bibliotekets och internets artlikhet och tänka oss deras framtid som ett harmoniskt äktenskap där bägge parter ges tillfälle att växa, utvecklas och påverka varandra. För många bibliotekarier och bibliotekskunder (m a o för den läsande allmänheten) är det nyss sagda redan självklart. I Finland och Sverige kan så att säga giftermålet mellan bibliotek och internet redan anses ha ägt rum. Nu gäller det att gå vidare. Bibliotekets roll borde stärkas t ex genom medbestämmande i de lokala, nationella och internationella organ som har inflytande över internetutvecklingen. Kommunens internetservers bör placeras i kommunbiblioteket och IFLA bör ha säte i ICANN.
3. Biblioteket är har bättre förutsättningar än finansministeriet att stå politiskt neutralt i den mening som vi förväntar oss av t ex domstolarna. Biblioteket är väl förankrat både i medborgarsamhället och i staten. Det befinner sig någonstans mellan dessa två poler i samhället.
Upprättandet av biblioteksmakten kommer antagligen ta flera år eller årtionden i anspråk. Mycket beror givetvis på lokala förhållanden i olika länder och på politiska och ekonomiska konjunkturer. Det är också uppenbart, att den nya maktfördelningen måste inbegripa en omfördelning av ekonomiska resurser (här är vi tillbaka i finansministeriet!) så att biblioteket förfogar över de medel som behövs för att sköta både sina gamla och sina nya uppgifter. Till de nya uppgifterna skulle som sagt höra att ta hand om informationssäkerheten.
Vad sedan informationsfriheten beträffar spelar biblioteket redan idag naturligtvis en betydande roll redan idag. När medborgarnas förtroende för massmedia sviktar, vilket är ett faktum, ökar bibliotekets betydelse ytterligare som ett slags offentlighetens ryggrad. Därför har alla försök att köra ner folkbiblioteken åtminstone i Finland mötts av ett kompakt och ilsket motstånd från de sk vanliga mänskornas sida. Informationsfriheten kan inte säkras genom tillsättandet av en ny myndighet eller ombudsman i stil med Kanadas "Freedom of Information Commissioner".7 Men om en sådan ombudsman tillsätts och placeras i biblioteket kan det i alla bli ett första steg i rätt riktning. På sikt behövs dock en större förskjutning i makten över informationen till förmån för medborgarna. Denna grundläggande reform av statsmakten kan inte genomföras utan ett aktivt och massivt stöd från medborgarnas sida. Jag vill gärna uppmana biblioteketsfolket att gå med i, påverka och få stöd från nutidens globala och globaliseringskritiska medborgarorganisationer av typ Attac, Jordens Vänner, Greenpeace och Amnesty International.
Mikael Böök
Noter:
Artikeln är publicerad i BiS Biblioteket i samhället nr 2/20031 Källa: http://www.vm.fi/ , övers fr fi MB. Här är citatet på originalspråket: "Tietoturvallisuudella tarkoitetaan: - Asiaintilaa, jossa tietojen, tietojärjestelmien ja tietoliikenteen luottamuksellisuuteen, eheyteen ja käytettävyyteen kohdistuvat uhkat eivät aiheuta merkittävää riskiä. - Tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista ja varmistamista niihin kohdistuvien riskien hallitsemiseksi sekä normaali- että poikkeusoloissa hallinnollisilla,teknisillä ja muilla toimenpiteillä."
2 Cit enl ERCIM News 49/2002. Special Theme: Information Security, s 8: "!nformation security is one of the cornerstones of the information society. Integrity of financial transactions, accountability for electronic signatures, confidentiality within a virtual enterprise, privacy of personal information, dependability of critical infrastructure, all depend on the availability of strong, thrustworthy security mechanisms. Ensuring the availability of these mechanisms requires solving several substantial R&D problems".
3 Jonasson, F.: "Företagshemligheter i en digital miljö. Diskussionsunderlag till det IT-rättsliga observatoriets seminarium Ensamrätter i ny miljö", Källa: http://www.itkommissionen.se/
4 Fredrik Björcks begreppsutredning finns att tillgå på sajten http://www.bjorck.com/
5 Cit ur Norberg, Johan: "F A Hayek - den spontana ordningens uttolkare" , http://www.liberalismen.com/hayek.shtml
6 Se Greenspan, Robyn: The Internet Not For Everyone, http://cyberatlas.internet.com/big_picture/demographics/article/0,,5901_2192251,00.html
7 Jfr Anders R Olsson: It och det fria ordet - myten om storebror, 1996, s 94.