Balans nr 2 1978

Precisera och samordna kraven på ADB-säkerhet!

Behovet av en samordning och precisering av kraven på ADB-säkerhet diskuteras i denna artikel av Christer Lindén, datasäkerhetschef vid Försvarets datacentral. Enligt Christer Lindén är olika skyddsmetoder och tekniker relativt välutvecklade medan detsamma ej gäller kravsidan där angelägna krav kan komma bort och detaljkrav ibland blir uppförstorade.

Intresset för säkerhetsfrågor i samband med ADB är glädjande nog stort. Säkerhetsfrågornas betydelse ökar vartefter samhällets beroende av en väl fungerande ADB-verksamhet ökar.

Tiden börjar nu bli mogen för att övergå ”from sounds to things”. Krav och önskemål på säkerhet framförs också från olika myndigheter, organisationer och intressegrupper (t ex datainspektionen, revisorer, fackföreningar m fl). Den sammantagna kravbilden är dock splittrad med risk för motstridiga krav och förbiseenden. Vidare saknas en entydig uppfattning om vad som skall förstås med begreppet ADB-säkerhet.

De investeringar som görs i dag (och i morgon) i maskin- och programvara är av väsentligt större omfattning (realtidssystem, databaser) och kan förutses ha betydligt längre ekonomisk livslängd än tidigare utvecklade (satsvisa) system. Säkerhetsfrågorna kan bäst tillgodoses, både funktionellt och ekonomiskt, om kraven beaktas redan vid utveckling och upphandling av ADB-produkter. Efterhandskonstruktioner blir allt dyrbarare.

Beslutsfattare och handläggare upplever i dag ställda krav på säkerhet som delvis oprecisa och dåligt samordnade. Risk finns för att en ojämn, ”godtycklig” säkerhetsbarriär byggs upp med fara för onödigt stränga säkerhetsåtgärder, oavsiktliga blottor samt bristande respekt för ställda krav som följd. Situationen medför också att kontrollerande institutioners (datainspektion, revisorer m fl) bedömningar kan innehålla ett besvärande stort inslag av subjektivt tyckande.

I det följande diskuteras grovt möjligheten till och behovet av en samordning och precisering av kraven på ADB-säkerhet.

1 ADB-SÄKERHETEN I MASSMEDIA

Vi kan se hur intresset för säkerhetsfrågor i samband med ADB väckts och inriktats genom att göra en snabb tillbakablick på hur debatten förts i massmedia, främst tidningarna.

I samband med folk- och bostadsräkningen 1970 avkrävdes svenska folket uppgifter om innehav av färg-TV, kylskåp m m. Därvid uppstod en mer eller mindre välgrundad oro för hur uppgifterna skulle användas (bl a rädsla för skatterevision). I pressen togs farhågorna upp till debatt varvid hotet mot den personliga ”integriteten” vid användning av ADB diskuterades.

Vid denna tid började även den datorbaserade selektiva direktreklamen (”skitposten”) att snabbt växa i omfattning. Denna företeelse satte ytterligare FARt på debatten. Dagstidningarna grundar sin ekonomi till stor del på annonsintäkter. Partiska personer med knytning till direktreklambranschen antydde att tidningsledningarnas intresse för debatten delvis utgick från egoistiska motiv. Direktreklam och uppbyggnaden av stora offentliga personregister kopplades ofta ihop.

Datalagen, som antogs 1973, tillkom bl a under intryck av nämnda debatt. Lagen syftar till skydd av personlig integritet vid ADB. Under lång tid därefter sattes, i den allmänna debatten, mer eller mindre likhetstecken mellan ADB-säkerhet och skydd av personlig integritet vid ADB.

Debatten har således främst uppmärksammat ett ostridigt viktigt skyddsobjekt. Men den har också banat väg för ett vidare säkerhetstänkande hos organisationer och enskilda. Befattningar som datasäkerhetschefer och ADB-revisorer har inrättats. Utredningar och utbildning inom säkerhetsområdet har initierats och utförts av olika organisationer som Statskontoret, Servi-Data, FAR, IBM m fl.

2 VAD ÄR DÅ ADB-SÄKERHET?

Som tidigare nämnts saknas en entydig definition av begreppet ADB-säkerhet. En praktisk avgränsning, som varken gör anspråk på att vara heltäckande eller invändningsfri, fås genom att se säkerhetskraven ur ADB-användarnas synvinkel. Ytterst är det ju användarnas krav på villighet att betala för ADB-information som skall beaktas. Externa krav (datalag, revisionskrav m fl) styr i sin tur vissa användarkrav. Ur följande allmänna användarfrågor kan flertalet säkerhetskrav härledas:

  • Är min ADB-information riktig? (Kvalitet)

  • Får jag min information i tid? (Tillgänglighet)

  • Är min information skyddad för obehörig insyn? (Sekretess)

Svaren på frågorna måste naturligtvis detaljeras och ”klädas på” med kvalitativa och kvantitativa uppgifter för olika typer av störningar.

Ovan har påståtts att säkerhetsfrågornas betydelse ökar. Några huvudmotiv härför ges i följande punkter:

  • ADB blir ett allt mer utnyttjat hjälpmedel. Beroendet är redan stort och ökar ytterligare. Återgång till manuella rutiner i krissituationer är ofta ogenomförbart.

  • Kraven på snabb tillgång till data har ökat enormt. Tyngdpunkten i ADB-verksamheten förskjuts i rask takt från lokal satsvis bearbetning mot olika former av terminalbaserad bearbetning.

  • Ödesdigrare följdverkningar av felaktiga data bl a beroende på ökat datautbyte mellan ADB-system.

  • Allt fler personer får direkt tillgång till dator via terminal. Ökade krav på behörighetskontroller ställs.

ADB-användarnas ökade intresse för säkerhetsfrågor kommer säkert även att medföra högre krav på en täckande, klar säkerhetsredovisning. Ledningar för ADB-avdelningar, servicebyråer m fl skall dokumenterat kunnat redovisa vidtagna säkerhetsåtgärder samt uppföljning över dessas effekt inför olika intressenter såsom användare, företagsledning, revisorer, datainspektion.

3 VILKA KRAVSTÄLLARE FINNS?

Nedanstående uppräkning gör inte anspråk på att vara vare sig fullständig eller korrekt. Den vill endast visa på mångfalden av reella och potentiella kravställare:

  1. ADB-användare

  2. Fackliga representanter

  3. Datainspektionen

  4. Statskontoret

  5. Riksrevisionsverket

  6. Föreningen Auktoriserade Revisorer FAR

  7. Bokföringsnämnden

  8. Servi-Data

  9. Riksarkivet

  10. Dataarkiveringskommittén

  11. Sveriges Standardiseringskommission

  12. Överstyrelsen för ekonomiskt försvar

  13. Riksskatteverket

  14. Bankinspektionen

  15. Försäkringsbolag

  16. Svenska Brandförsvarsföreningen m fl

4 SAMORDNING AV KRAV

Som framgår av ovanstående uppräkning är intressenterna på säkerhetsområdet många. En snar prövning av möjligheterna till samordning är därför önskvärd.

En översyn av datalagen pågår sedan maj 1976. Vid översynen skall bl a prövas hur datalagens skydd av den enskildes integritet skall kunna förstärkas. Övriga säkerhetsfrågor behandlas av datasamordningskommittén (DASK). Samordningsansvaret torde ligga inom DASKs uppdragsområde.

Visar det sig vara möjligt att ta fram gemensamma övergripande krav (riktlinjer, rekommendationer) torde datainspektionen kunna utnyttjas för praktisk rådgivning och uppföljning. Inspektionens goda överblick över ADB-verksamheten i Sverige borde borga för enhetlighet i bedömningarna.

5 PRECISERING AV KRAV

Man kan tycka att det är självklart att precisera och gärna också kvantifiera krav på säkerhet där så är möjligt. Ändå sker det i mycket liten omfattning. Varför? Förmodligen därför att preciseringar sällan begärts. Man har nöjt sig med uttryck som ”god säkerhet”, ”god intern kontroll”. Det har ofta lett till missuppfattningar om vad det svävande uttrycket ”god” innebär.

Enligt en känd politisk slogan ”om bara viljan finns” kan många säkerhetskrav uttryckas i precisare termer (antal, frekvenser, tider m m). Där kvantifieringar ej låter sig göras kan ofta en distinkt verbal målsättning uppställas.

Säkerhetskraven skall, om möjligt, vara så utformade att det är slutresultatet (effekten) som räknas. Härigenom undvikes utvecklingshämmande fixeringar till vissa metoder och tekniker. Jämförelse kan göras mellan bygganvisningar som anger viss tjocklek på isoleringsmaterialet och föreskrifter som i stället talar om maximala temperaturskillnader (resultatet) inomhus.

Underlättar preciserade krav säkerhetsarbetet? Ja – främst av två skäl:

  • Preciserade resultatinriktade krav underlättar kommunikationen mellan olika grupper av intressenter/experter.

  • Redovisning och tolkning av verkligt utfall mot uppställda mål underlättas.

6 SYNPUNKTER PÅ SÄKERHETSMÅL

Nedan redovisas kortfattat några synpunkter utifrån begreppen tillgänglighet, kvalitet, sekretess och uppföljning.

6.1 Tillgänglighet

Begreppet anger i vilken utsträckning tillgång till ADB-resurser kan tillhandahållas. Faktorer som påverkar tillgängligheten är av skilda slag såsom datorfel, personalbrist, programfel, kommunikationsfel, elfel, luftkonditioneringsfel, naturkatastrofer, krig.

Ledningen för ADB-verksamheten fastställer i samråd med sina användare och övriga intressenter kvantifierade tillgänglighetsmått. Hur ofta får oplanerade avbrott av olika tidslängd (inkl nedbrunnen dator) inträffa? Planerade dito? Utifrån dessa mått undersöks vilka åtgärder som erfordras och kostnader härför. En iterativ jämkning av krav och kostnader blir troligen följden.

6.2 Kvalitet

Begreppet anger i vilken utsträckning behandlad information är komplett och felfri. Det kan vara av intresse att ange riktvärden för några vanliga felkällor:

Kodning

Fel i ett fält 5–30 % före kontroll. 1–10% efter kontroll

Dataregistrering

Fel i ett fält 1 % före kontroll. 1 o/oo efter kontroll

Kvarvarande programfel i produktion

Antal fel = antal instruktioner (mycket grov uppskattning)

Kvalitetsbegreppet kan till större delen anges i kvantifierade termer. Kostnaden för kontroller och uttestning får vägas mot effekten av ”oupptäckta” felaktigheter. Även här blir det en iterativ process mellan användare, systemutvecklare, revisorer m fl.

6.3 Sekretess

Begreppet anger i vilken utsträckning obehörig åtkomst till information förhindras. Här är det mycket svårt att ge några siffror av typ antal förhindrade försök/totalt antal försök. Åtgärder får istället sättas in i enlighet med befintliga föreskrifter och gjorda rimlighetsbedömningar.

6.4 Uppföljning

Det är viktigt att ADB-verksamhetens olika behöriga intressenter har möjlighet att i praktiken verifiera uppfyllelsen av uppställda mål och effekten av vidtagna åtgärder inom säkerhetsområdet. Härvid ställs krav på dokumenterade rutin- och befattningsbeskrivningar samt mot målen avpassad uppföljningsinformation (driftstörningsinformation m m).

7 KAN SÄKERHETSKRAVEN STRUKTURERAS?

Ser vi på under punkt 3 uppräknade kravställare och deras olika utgångspunkter känns behovet av någon form av kravstrukturering starkt.

En förutsättning för att kraven skall kunna struktureras torde vara att ADB-systemen klassas i grupper efter någon huvudegenskap. På basis av denna klassificering kan säkerhetskraven bättre preciseras för varje grupp.

7.1 Klassificering

En mycket grov skiss ger bl a följande indelningspunkter:

  1. Huvudegenskap

    Redovisnings-, löne-, produktions-, statistiksystem m fl.

  2. Bearbetningsteknik

    Lokal satsvis bearbetning, olika former av terminalbearbetning.

  3. Känslighet

    Sekretessvärde avseende ekonomi-, person- och försvarsinformation. Tillgänglighetsbehov (inkl beredskap och krig). Behov av korrekt och komplett information.

7.2 Strukturering

Förhoppningsvis leder klassningen av ADB-system till ett relativt litet antal grupper och undergrupper. Av gruppindelningen framgår indirekt vilka de aktuella kravställarna är (punkt 3). Det borde vara möjligt att för varje grupp kunna ange säkerhetskrav i form av generella riktlinjer som fastställts av berörda myndigheter/organisationer.

Med utgångspunkt från nämnda riktlinjer kan sedan användarna i samråd med ADB-ansvariga utforma och fastställa preciserade säkerhetskrav för utveckling och drift av varje enskilt ADB-system.

Säkerhetsaspekterna torde kunna tillgodoses på ett rationellare sätt om skisserad kravstruktur kan realiseras.

7.3 Auktorisering av standardpaket

Inom AFIPS, USAs motsvarighet till Svenska Dataföreningen, pågår en diskussion om behovet av och möjligheterna till att auktorisera ADB-system. Diskussionen aktualiserades p g a bristande funktioner hos vissa system som utnyttjades av delstaten Kalifornien.

Auktorisationstanken bygger på att minimikrav (standards) finns specificerade för vissa applikationsområden. System som befinnes uppfylla kraven kan auktoriseras av lämpligt organ. (Jfr typbesiktning av bilar.)

I Sverige torde ev behov av auktorisation närmast vara aktuellt för standardpaket inom ekonomiområdet. Sådan auktorisation förutsätter dock att riktlinjer enligt punkt 7.2 finns framtagna.

8 SUMMERING

Vi har mycket att vinna på en klarare strukturering av kraven inom ADB-säkerhetsområdet:

  • Allmänheten bör kunna få en allsidigare syn på säkerhetsfrågorna.

  • Användarna kan formulera sina säkerhetskrav i resultattermer.

  • Systemutvecklare och driftansvariga får en bättre vägledning för utformning av erforderliga tekniska och administrativa åtgärder.

  • Det blir lättare att i efterhand följa upp huruvida säkerhetskrav i realiteten uppfylls.

  • Sammantaget ökar möjligheterna till en förbättrad rationell hantering av olika ADB-säkerhetsfrågor.

Christer Lindén, datasäkerhetschef vid Försvarets datacentral.

För erfarna

Välkommen! Hos oss hittar du alla ekonomiska regelverk du behöver samlat på en enda digital plats. Fördjupa dig i allt från EU-rätt till självreglering, tidskrifter eller använd Rättserien där experter guidar dig till snabba svar.
  • Regler

    Här hittar du uppdaterat rättsligt material inom EU-rätt, svenska lagar och myndighetsföreskrifter. Du kan även hitta historik från 2008 och framåt.

  • Avancerad sök

    Filtrera dina sökningar och hitta rätt dokument snabbare. Vet du att det är en lag du söker efter kan du välja att visa bara de träffarna.

  • Markera & Anteckna

    Här kan du smidigt markera, anteckna och dela de avsnitt av texterna som är viktigast för dig och dina kollegor.

  • Rättserien

    Här kan du bekräfta dina kunskaper och enkelt hitta nya vägar till andra områden.

  • Jag vill veta mer

och oerfarna

Välkommen! Det kan vara svårt att hitta rätt ibland, så därför har vi samlat allt inom ekonomiska regler på ett och samma ställe. Navigera, sök eller använd Rättserien för att få svar på dina frågor.
  • Rättserien

    Här hittar du tydliga förklaringar till tusentals termer och information om var och hur du kan fördjupa dig. Till Rättserien

  • Navigering

    Allt relevant material hittar du samlat inom respektive ämnesområde.

  • Anteckna

    Skapa egna anteckningar för hur du ska gå till väga vid komplicerade regeltolkningar. Dela gärna med dig eller spara tips från dina kollegor!

  • Markera

    Använd överstrykningspennan och hitta tillbaka till det viktigaste nästa gång.

  • Jag vill veta mer

Sifferkollen

Belopp

Basbelopp
År 2020 2021 2022
Prisbasbelopp 47 300 47 600 48 300
Förhöjt pbb. 48 300 48 600 49 300
Inkomstbasbelopp 66 800 68 200  
Utdelning fåmansföretag
År 2019 2020 2021
Schablonbelopp 171 875 177 100 183 700

Räntesatser

Periodiseringsfond
År 2019 2020 2021
Räntesats 0,51 0,50 0,50
Referensränta
År 2016-07-01 2019-07-01 - 
Räntesats -0,5 0,0
Ränta på skattekontot
Period 2013-2016 2017 -
Intäkt 0,5625 0
Kostnad Låg 1,25 1,25
Kostnad Hög 16,25 16,25
Räntefördelning
Inkomstår 2019 2020 2021
Positiv 6,51 6,50 6,50
Negativ 1,51 1,50 1,50
Statslåneränta
År 2019 2020 2021
31 maj 0,05 -0,01 0,28
30 nov -0,09 -0,10  

Traktamenten

Bilresor
Inkomstår 2019 2020 2021
Egen bil 18,50 18,50 18,50
Förmånsbil, diesel 6,50 6,50 6,50
Förmånsbil, bensin 9,50 9,50 9,50
Kostförmån
År 2019 2020 2021
Frukost, lunch och middag 245 245 250
Lunch eller middag 98 98 100
Frukost 49 49 50
Skattefria gåvor
År 2019 2020 2021
Julgåva 450 450 500
Jubileumsgåva 1 350 1 350 1 500
Minnesgåva 15 000 15 000 15 000

Skattesatser

Bolagsskatt
År 2019 2020 2021
Skattesats 21,4% 21,4% 20,6%
Mervärdesskatt
År 2019 2020 2021
Normal 25 % 25 % 25 %
Livsmedel, krog m.m. 12 % 12 % 12 %
Persontransport, böcker m.m. 6 % 6 % 6 %
Arbetsgivaravgifter/egenaavgifter
Födda -1937 1938 - 1955 1956 - 1998
Arb. avgifter 0 % 10,21% 31,42%
Egenavgifter 0 % 10,21% 28,97%

 

Visa mer...