Informationssäkerhet stärks av öppna data av Eric Hjelmestam
Arbete med att klassificera data som möjliga att publicera som öppna ger många fördelar. Klassificeringen är ett lämpligt första steg i arbetet med informations- och datasäkerhet, något som det ofta slarvas med. MetaSolutions Eric Hjelmestam förklarar hur det fungerar.
Cybersäkerhet, IT-säkerhet, datasäkerhet, informationssäkerhet. Det är områden med många beröringspunkter sinsemellan. Intresset för samtliga härstammar i hög grad från rädsla för att information, speciellt känslig sådan, ska komma på villovägar. Därför kan det kanske tyckas finnas en fara med att hantera, publicera och dela öppna data. ”Varför göra det lätt för utomstående att komma åt våra data, när vi vill skydda dem?”, kan man undra.
Det är synd om säkerhetsbryderier ska sätta stopp för delning av öppna data. Det innebär att man missar effektivitetsvinster i offentlig sektor, transparens för medborgare, bättre förutsättningar för näringslivet och andra fördelar som fås med öppna och delade data.
Syftet med den här texten är att förklara varför användning och publicering av öppna data inte medför sämre informationssäkerhet, utan tvärtom bidrar till ökad säkerhet. Innan vi sätter i gång är det på plats med en definition: I den här texten är begreppen information och data likvärdiga. Vilken benämning som än används handlar det om uppgifter om platser, objekt, individer, med mera, som hanteras maskinellt.
Nödvändig inventering
Det första steget i allt säkerhetsarbete som har att göra med data bör vara att ta reda på vad som behöver skyddas. Det är också det steg som det, med största säkerhet (ursäkta), slarvas mest med. De flesta organisationer har dålig koll på vilka datamängder (informationsmängder) de har, var de finns, hur känsliga de är, vem som ”äger” dem, och så vidare.
För att skydda sina data på bästa sätt behöver man veta de här sakerna. Det är, som av en händelse, också saker man behöver ta reda på för att jobba med öppna data. Det arbetet brukar benämns ”klassificering av data”. Vi kanske skulle kunna säga ”inventering av data” i stället. Hur som helst bidrar klassificering av data till att säkerhetsarbetet förenklas.
Om en datamängd en gång klassificerats som lämplig för publicering som öppna data så gäller den klassificeringen tills datamängden förändras på något avgörande sätt. Man behöver inte lägga tid och energi på att undersöka datamängden på nytt. Och man missar inte tillfällen att publicera öppna data på grund av bristande kunskap om hur datamängder är beskaffade.
Klassificering av data kan så klart låta jobbigt och komplicerat. Så kan det vara, men det behöver långt ifrån alltid vara det. Och du kan välja själv hur jobbigt och komplicerat det ska vara. Här följer ett tips för att komma i gång med klassificering av data på ett enkelt sätt.
En enda fråga
Klassificeringsarbetet börjar med att identifiera vilka datamängder som finns. Om du har tur finns det dokumenterat. Om inte kan du utgå från att medarbetare helt enkelt känner till många databaser, dokumentsamlingar och andra typer av datamängder. I vissa fall får du ägna dig åt lite teknisk arkeologi. Helt enkelt leta efter datamängder, kanske med hjälp av IT-personal.
Låt oss säga att du har tagit reda på att datamängd A finns. Nu är det dags att klassificera den. Ställ då följande fråga:
Finns det något hinder som gör att datamängd A inte kan publiceras?
Om svaret är ja lägger du datamängd A åt sidan, för vidare analys när du blivit varm i kläderna med klassificering av data. Om svaret är nej, för att du inte hittar några hinder mot publicering av datamängd A som öppna data, kan du sätta i gång med en fullständig klassificering.
Det här angreppssättet innebär att du inte behöver lägga ner en massa hårt jobb till ingen nytta när du börjar jobba med klassificering av data. Du vet att de datamängder som du lägger ner mest tid på kommer att kunna komma till användning. Tänk på att analysera en datamängd i taget. Att ge sig på samtliga identifierade datamängder på en gång kan göra att uppgiften med klassificering, i onödan, känns överväldigande.
Den vakne läsaren undrar säkert över två saker just nu:
- Vad finns det för hinder mot publicering av öppna data?
- Hur går fullständig klassificering av data till?
Låt oss besvara de frågorna, en i taget.
Tre vanliga hinder
Det kan finnas många olika hinder mot publicering av öppna data och du får lägga ner lite tid på att lära dig vilka de är. Men det är inte särskilt krångligt eller tidsödande att få grepp om det. De här tre vanliga hindren ger en uppfattning om vad det handlar om.
- En datamängd innehåller personuppgifter. Det gör i princip att det inte går att publicera en datamängd som öppen. Om det finns personuppgifter i en datamängd som du verkligen vill publicera så kan du undersöka om det går att ta bort personuppgifterna på något sätt, och publicera de data som blir kvar.
- Det är oklart hur det står till med licenser och ägandeskap för en datamängd. Vissa mjukvaruleverantörer skriver till exempel in en massa förbud mot användning av data som genereras i deras applikationer. Det finns därför all anledning att ställa krav på fri användning av data när applikationer och tjänster upphandlas.
- Det är oklart vilka personer, avdelningar och organisationer som hanterar, använder, och även äger, en datamängd. Detta bör redas ut för att undvika att någon intressent har invändningar mot publicering av data.
Om något av följande hinder manifesterar sig så vet du att du inte kan publicera en datamängd som öppna data rakt av. Du vet också att det är värt att undersöka om det finns anledning att lägga ner extra energi på att säkra datamängden.
Om du har följt processen som beskrivs ovan så har du identifierat många enklare datamängder som utan vidare analys kan publiceras som öppna data. Kvar blir de känsliga datamängderna.
De flesta organisationer har dålig koll på vilka datamängder (informationsmängder) de har, var de finns, hur känsliga de är, vem som ”äger” dem, och så vidare.
De kan kräva specialister
Så här långt har vi tittat på arbetsmoment som i princip vem som helst kan utföra. När det kommer till fullständig klassificering av data kan det krävas medverkan av specialister. I vilket fall ger SKR:s webbtjänst Klassa en bra uppfattning om vad det handlar om.
Tjänsten Klassa är uppbyggd i tre delar:
- Konfidentialitet – att informationen kan åtkomstbegränsas. De här aspekterna är de juridiskt sett mest intressanta, vad gäller att avgöra om en datamängd kan publiceras och delas som öppen.
- Riktighet – att informationen ska vara tillförlitlig, korrekt och fullständig. De här aspekterna är i praktiken lika viktiga som de juridiska. Ingen vill, eller bör, publicera och dela felaktiga data.
- Tillgänglighet – att informationen ska kunna nyttjas efter behov, i förväntad utsträckning, samt av rätt person med rätt behörighet. De här aspekterna är de som förändras när en datamängd publiceras som öppen. Tillgängligheten ökar då rejält. Vad gäller behörighet innebär publicering av öppna data att alla har behörighet till en datamängd. Krav på särskild behörighet är ett hinder mot publicering av öppna data.
Samtliga tre delar klassificeras i en av fem nivåer (nivå 0–4). Här är ett exempel:
- Nivå 0 för konfidentialitet innebär i korthet att okontrollerad tillgång till en datamängd inte medför några risker att tala om för samhällsviktiga funktioner eller personlig integritet. Enkelt uttryckt är det fritt fram att publicera och dela som öppna data.
- Nivå 4 för konfidentialitet innebär att okontrollerad tillgång till en datamängd medför ”skada för rikets säkerhet som inte endast är ringa”. Glöm publicering och delning som öppna data.
Det varierar naturligtvis hur enkelt det är att genomföra en sådan här klassificering. I vissa fall är det uppenbart hur det ligger till. I andra fall krävs det avancerade analyser som utförs av experter.
Datamognad på köpet
Att jobba med klassificering av data är inte bara ett sätt att möjliggöra publicering och delning av öppna data, och att öka informationssäkerheten. Det är också en nödvändig del av den digitala transformation som präglar hela samhället just nu.
Du har säkert hört att ”data är den nya oljan”, eller liknande liknelser. Du skulle väl inte tanka vad som helst i en bil? Du lär ta reda på att det är rätt bensin, diesel eller vad som kan tänkas behövas. Samma princip gäller för data. De digitala tjänster som byggs för högtryck behöver tillgång till rätt datamängder. Att avgöra vilka som är de rätta kräver datamognad, vilken stärks med arbete med klassificering av data.
Eric Hjelmestam är VD på MetaSolutions. Deras uppdrag är att få arbeta med ökad öppenhet och samtidigt digitalisera offentlig sektor. För alla som börjar arbeta med data/ informationshantering/ informationssäkerhetsfrågor så är säker delning av data var en central.