Tankar kring informationssäkerhet i allmänhet och Teams i synnerlighet av Leif ”Peppe” Pettersson

Microsoft Teams en mardröm ur ett informationsstyrningsperspektiv . Efter att länge ha upparbetat kunskap och kompetens   för att säkerställa organisationers informationshantering slås allt detta sönder på några månader under 2020 – och det händer globalt och utan eftertanke. 

När jag tänker på informationssäkerhet med de lärdomar jag har fått efter snart 30 års arbetslivserfarenhet inom informationshantering, har jag en något annorlunda syn på informationssäkerhet. När jag talar med personer som har huvudfokus på informationssäkerhet inom sin roll i olika organisationer har de väldigt ofta en rimlig helhetssyn gällande den så kallade CIA-triaden.  

Så snart jag sedan rör mig inom själva verksamheterna förändras den synen radikalt inom dessa. Enligt min erfarenhet får de tre delar som kallas CIA-triaden (confiditiality/konfidentialitet, integrity/riktighet, availability/tillgänglighet) inte samma tyngd eller fokus. Inom verksamheterna ligger fokus till nästan 100 % på en del av tre delarna – konfidentialitet.  

Riktighet kan i vissa fall eller i vissa typer av verksamheter diskuteras och ses som ett hot eller en risk, medan tillgänglighet är den del av triaden som får minst uppmärksamhet. Jag skulle vilja hävda att inom de dagliga verksamheterna är det absolut vanligaste klagomålet gällande informationshanteringen att informationen inte kan hittas. Det är dock mycket få som utifrån detta faktum kommer till slutsatsen att det är en risk eller ett hot att information inte kan hittas – det ses främst som något besvärligt.  Informationens konfidentialitet spelar då inte så stor roll. Om information inte är tillgänglig spelar det ingen roll hur känslig den är eller om den är riktig eller inte. 

Att bara ha fokus på konfidentialitet  är lite som att sitta på en trebent pall som saknar två ben. Det blir väldigt jobbigt att hålla balansen om inte rent av omöjligt. Med ett starkt fokus på vem som ska få eller inte ska få se informationen glöms själva tillgången till informationen bort. Jag tror exempelvis att många känner igen att när du väl har gjort en sökning i en implementation av Sharepoint, eller motsvarande systemlösning, får ni flera träffar på ett dokument med samma namn, eller nästan samma namn. Det är i de fallen vanligtvis svårt att kunna bedöma vilket av dessa dokument som är den senaste versionen eller om de är arbetshandlingar respektive godkända/tillgängliggjorda handlingar. Hela den här problematiken har sin grund i bristande informationsstyrning. 


Så varför ta upp detta i samband med att vi talar om informationssäkerhet? För att ur ett informationsstyrningsperspektiv är Microsoft Teams en mardröm. 


Vi som arbetar med informationsstyrning, informationssäkerhet och långsiktig informationshantering har brottats med dessa frågor i många år utan att det på det stora hela har blivit bättre. Medan vi ägnat oss åt att brottas med de ”traditionella” utmaningarna som av vissa fortfarande ses som nya, har något väldigt omvälvande hänt. Jag skulle vilja säga att det är ett paradigmskifte i dess sanna mening. Drivkraften bakom paradigmskiftet var den pandemi som drog fram och som snabbt krävde nya lösningar. Lösningen blev det här fallet Microsoft Teams. 

Att det var Teams som fick bli motorn beror till stora delar på slumpen. Vi blev tvingade att i så hög grad som möjligt arbeta hemifrån, och med den dominanta ställningen som Microsoft har var det helt enkelt lättast att börja använda det verktyg som organisationerna redan hade inbäddat i programsviten M365. 

Microsofts tjänstebaserade programsvit M365 med Teams fick ett mycket stort och hastigt genomslag. Utan att egentligen sätta sig in i vad det innebär att använda Teams skapas snabbt så kallade teams och kanaler. I början ofta helt fritt utan strategi eller plan. Interna och externa möten började hållas. Det chattades, och chattar sparades ibland när något viktigt hade behandlats, det delades dokumentfiler och ibland spelades möten in och blev videofiler. Praktiskt och relativt smidigt.  

Så varför ta upp detta i samband med att vi talar om informationssäkerhet? För att ur ett informationsstyrningsperspektiv är Microsoft Teams en mardröm. Efter att under många år upparbetat kunskap och kompetens kring hur information på bästa och säkraste sättet bör hanteras samt mer eller mindre systematiskt försökt att implementera dessa kunskaper för att säkerställa organisationers informationshantering slås allt detta sönder på några månader under 2020 och det händer globalt

En av Teams stora fördelar är att det är enkelt och relativt smidigt att komma i gång med. En person startar ett team, bjuder in ett antal personer och skapar kanske också några kanaler inom teamet för att få ordning. Så vad är problemet? Här kommer några exempel.1 

Var hanteras informationen – det beror på. Varje team som skapas får automatiskt ett eget “bibliotek” i Sharepoint. Om kanaler läggs till skapar dessa automatiskt underbibliotek i Sharepoint. Här kan informationshanteringen till vissa delar styras. Du kan till exempel skapa en direktlänk i Teams till Sharepoint-biblioteket. Du kan sedan ha ett arbetssätt som säger att alla dokument som delas ska ligga där. Då är väl den frågan löst? Nja … Om du sedan bokar ett möte i Teams via Outlook och under det mötet delar dokument, skriver en chatt som sparas eller spelar in mötet – då kommer det du sparar att läggas i din personliga OneDrive for business. Om du i stället bokar mötet via kalendern i teamet så läggs det som sparas i biblioteket. Stor skillnad! Detta blir desto mer allvarligt när en person slutar och den längsta tid dennes konto sparas i M365 är 90 dagar. 

Vi har vissa handlingar med sekretess i teamet – det får ni inte, säger kanske verksamheten. Nu är det dock människor vi har att göra med och det är onekligen smidigt att dela information via teamet. Vi lägger då en behörighet så att endast vissa inom teamet kan få tillgång till informationen. Nix, samtliga medlemmar i ett team har tillgång till all information som hanteras i teamet (om det inte finns privata kanaler) och har dessutom behörighet att ändra, flytta och radera informationen.  

Vi behöver dela det här styrande dokumentet mellan olika teams – det går inte. Om det behöver delas i flera teams måste dokumentet läggas till i varje team och läggs då in i respektive Sharepoint-bibliotek (om det inte delas i ett möte bokat i Outlook). Nu finns samma version av styrande dokument utspritt i ett okänt antal kopior och endast medlemmar i respektive team kan söka dokumentet, inte den centrala administratören av systemlösningen. Eventuellt kan denna göra en sökning via Sharepoint, men det är mer än vad jag vet. 

Vad en central administratör vanligen kan se är antal teams, antal kanaler, vilka som är medlemmar i teamen, vilka som är ägare av teamen samt hur många gäster som finns i teamen. Det enda en organisation i bästa fall styr centralt är hur många teams respektive kanaler som får finnas i varje team, vilka som ska kunna skapa teams, hur många som får vara medlemmar i respektive team och så vidare. Varje team fungerar normalt, ur ett informationssäkerhetsperspektiv, som en helt isolerad silo. Det går att göra sökningar och det ska, enligt Microsoft, vara möjligt att exportera sökresultat men hur det ska gå till är i varje fall för mig lite luddigt. Framför allt undrar jag vad som menas med “exportera sökresultat”? Är det bara filerna eller kommer även metadata med?2 

Dokumenthanteringsfunktionen är sekundär i Teams. Meddelandefunktionen är det primära syftet med Teams och den går inte att styra. Om du är medlem i ett team får du alla meddelanden vilket gör att medlemmarna tenderar att använda chatten mer, och inom vissa organisationer har chatten i Teams börjat ersätta intern e-post.  

Det har nu påbörjats arbete med en slags retrospektiv styrning av Teams. Jag vill hävda att det arbetet kommer att i hög grad likna de försök till styrning av gruppdiskar med mappstrukturer som uppstod under 1990-talet och omkring 20 år framåt.  Vi har nog alla, över viss ålder, varit med om när det ska “städas och ordnas” i de organiskt framväxta mappsturkturerna på en gruppdisk och hur bra det brukade gå. Hur svårt det är att i efterhand försöka styra upp och besluta hur olika mappar ska användas och vilka informationstyper som ska ligga var. Det ska bli mycket intressant att följa arbetet med att få en styrning av verktyg som Teams och att se vilka konsekvenser användandet av dessa kommer att få för organisationerna. Jag ser också som arkivarie fram emot den dag en organisation säger: “Goddag, vi vill arkivera Teams.” Förhoppningsvis har jag då gått i pension. 


Leif ”Peppe” Pettersson är arkivarie på ArkivIT. Har arbetat som arkivarie i drygt 25 år och har genom åren haft fokus på informationshantering inom organisationer och hur vi använder informationen i vårt dagliga
arbete. De senaste åren har Peppe främst arbetat med olika aspekter av digitalt bevarande.