Hemma bra men borta bäst?

När man känner sig så där lagom präktig som svensk och tycker att allt fungerar bra här hemma, då är det nyttigt att se sig om i världen för att få lite nya intryck. Jag har varit på studieresa till bland annat Japan för att titta närmare på hur de organiserar sitt arbete med informationssäkerhet på den nationella nivån.

I Japan har den nationella informationssäkerhetspolicyn vuxit fram genom att man dragit lärdom av och tagit vara på erfarenheter från omfattande incidenter, som till exempel attacker på myndigheters webbsidor runt år 2000, omfattande skador orsakade av Blastermasken 2003, informationsläckage orsakat av infekterad programvara 2006 samt DDoS-attacker på Korea och USA 2009 har lett fram till att Japans National Information Security Center, NISC, i maj 2010 har formulerat en nationell informationssäkerhetsstrategi. Fyra områden har identifierats som angelägna för att vidta åtgärder:

• Centrala och lokala myndigheter
• Kritisk infrastruktur
• Näringsliv
• Individer

På den horisontella nivån har man indelat åtgärderna i fyra olika domäner:

• Informationssäkerhetsstrategi
• Kompetensutveckling
• Internationellt samarbete och samverkan
• Brottsbekämpning – skydd av rättigheter och intressen.

Det är också uppenbart att informationssäkerhet har hamnat på den politiska agendan i Japan. Koordineringen av den nationella informationssäkerhetspolicyn hanteras av ett råd som består av ministrar från berörda departement och experter från akademi och näringsliv. Rådet formulerar och rekommenderar policydokument som är generella och sträcker sig över departementsgränserna.

NISC agerar sekretariat åt rådet och är också det organ som ska hjälpa till att underlätta ansträngningarna på informationssäkerhetsområdet inom den offentliga sektorn, de koordinerar PPP-initiativ (Public-Private-Partnership) och utgör kontaktpunkt för internationella samarbeten. Tonvikten på arbetet ligger på fyra områden:

• Public-private-partnership: Heltäckande ansats och samarbete sker med såväl den privata sektorn som universitets- och högskolevärlden.
• Ledarskap: Samordnad utveckling av relevanta policyer, starkt engagemang på ministernivå och en PDCA-ansats för att utveckla, sprida och införa alla policyer.
• Cybersäkerhet betraktas som nationell säkerhetsfråga.
• Stort intresse för internationellt samarbete och samverkan.

Alla är överens om att det är viktigt att skapa balans mellan de fyra pelarna:

1. Övervakning, varning och motåtgärder
2. Medvetande, träning och utbildning
3. Ledningssystem
4. Tekniska åtgärder

Så här i valtider hade det varit kul om NÅGON svensk politiker ändå haft något att säga om den politiska nivåns strategier på informationssäkerhetsområdet, men den mognadsnivån verkar Sverige ännu inte ha kommit till.

Anne-Marie Eklund Löwinder är kvalitets- och säkerhetschef på .SE. Anne-Marie har rankats som en av Sveriges främsta IT-säkerhetsexperter av CS och har även mottagit Kjell Hultman-stipendiet av Dataföreningen för sina insatser inom området. Hon har många uppdrag inom området och är bland annat ledamot i MSB:s Informationssäkerhetsråd, utvald av ICANN/IANA att vara Trusted Community Representative och Crypto Officer för hantering av DNSSEC i rotzonen samt ledamot i styrelsen för SNUS, Swedish Network Users' Society.

Ann-Marie satt också med i de första arbets- och referensgrupperna för informations- säkerhetsstandarden LIS inom standardisteringsorganen SIS och myndigheten Swedac. Hon läser och besvarar flitigt remisser på statens offentliga utredningar inom allt som berör Internet och säkerhet. Bland tidigare arbetsgivare finns Statskontoret och IT-kommissionen. Ann-Marie har en systemvetenskaplig utbildning från Stockholms universitet.

Ser du någon kommentar som du tycker är kränkande eller olaglig? Då kan du anmäla den här >>