Informationssäkerhet stärks med Öppna data

Grunden för god informationssäkerhet är att veta vilka datamängder som finns och hur de är beskaffade. Det är precis samma saker som behöver utredas när öppna data ska publiceras. Det finns en stark synergieffekt mellan att jobba med säkerhet och med öppna data. Dessutom görs data tillgängliga på enkla sätt för effektiv digitalisering.

Cybersäkerhet, IT-säkerhet, datasäkerhet, informationssäkerhet. Det är områden med många beröringspunkter sinsemellan. Intresset för samtliga härstammar i hög grad från rädsla för att information, speciellt känslig sådan, ska komma på villovägar. Därför kan det kanske tyckas finnas en fara med att hantera, publicera och dela öppna data. ”Varför göra det lätt för utomstående att komma åt våra data, när vi vill skydda dem?”, kan man undra.

Givetvis är det synd om säkerhetsbryderier ska sätta stopp för publicering av öppna data. Det innebär att man missar effektivitetsvinster i offentlig sektor, transparens för medborgare, bättre förutsättningar för näringsliv och civilsamhälle, samt andra fördelar med öppna data och delade data.

Faktum är att användning och publicering av öppna data inte medför sämre informationssäkerhet, utan tvärtom bidrar till ökad säkerhet. Innan vi sätter i gång med att titta på hur det åstadkoms är det på plats med en definition. I den här texten är begreppen information och data likvärdiga. Vilken benämning som än används handlar det om uppgifter om platser, objekt, individer, med mera, som hanteras maskinellt.

Inventering är nödvändig för säkerheten

Det första steget i allt säkerhetsarbete som har att göra med data bör vara att ta reda på vad som behöver skyddas. Det är också det steg som det, med största säkerhet (ursäkta), slarvas mest med. De flesta organisationer har dålig koll på vilka datamängder (informationsmängder) de har, var de finns, hur känsliga de är, vem som ”äger” dem, använder dem, och så vidare.

De här sakerna behöver man veta för att skydda sina data på bästa sätt och också ta reda på för att jobba med öppna data. Det arbetet brukar benämnas ”klassificering av data”. Vi kanske skulle kunna säga ”inventering av data” i stället. Hur som helst bidrar klassificering av data till att säkerhetsarbetet förenklas.

Därtill kommer, att om en datamängd en gång klassificerats som lämplig för publicering som öppna data, så gäller den klassificeringen tills datamängden förändras på något avgörande sätt. Man behöver alltså inte lägga tid och energi på att undersöka datamängden på nytt. Eller lägga ner energi på att analysera vilka säkerhetslösningar som behövs för att skydda öppna data. I alla fall inte mer än att de inte ska vara inkörsportar för kriminella till känsliga data.

Grund för god informationssäkerhet

Om data är öppna ska de vara tillgängliga. Det är själva definitionen av ”öppna”. Det innebär att de inte behöver skyddas eller krypteras på samma sätt som data som ska vara konfidentiella. Missade tillfällen att publicera öppna data på grund av bristande kunskap om hur datamängder är beskaffade undviks.

Klassificeringsarbetet är ett ämne i sig och en detaljerad beskrivning av det ryms inte i den här texten. Men vi kan slå fast två saker:

• Klassificeringsarbetet börjar med att identifiera vilka datamängder som finns.
• Följande fråga är avgörande för klassificeringen: finns det något hinder för att en datamängd ska kunna publiceras som öppen?

Öppna data är säkra data

I inledningen av texten hävdas det att hantering av öppna data bidrar till bättre säkerhet. Hur då?

Det enkla svaret på frågan är att det inte går att jobba med cyber-, IT-, data- och informationssäkerhet på ett rationellt sätt utan att veta vilka datamängder som finns, var de finns, hur känsliga de är och vem som ansvarar för dem. Sådana frågor besvaras, en gång för alla, när öppna data ska publiceras. Det finns en stark synergieffekt mellan att jobba med säkerhet och att jobba med öppna data.

Ett exempel på det här är en organisation som gör en säkerhetsgranskning och söker av sina webbplatser och hittar, som alltid, ett antal länkar till olika resurser. Om det finns en källa till data som listar vad som ska vara öppet kan alla länkar till öppna data lämnas därhän och fokus kan läggas på att undersöka andra resurser, som filer och API:er som av misstag lämnats öppna.

Kort sagt: inventering, hantering och publicering av öppna data ger den ordning och reda som krävs för att jobba på ett bra sätt med cyber-, IT-, data- och informationssäkerhet.

Katalogfunktionen i en plattform, som MetaSolutions EntryScape, erbjuder också en lösning för en stor utmaning vad gäller att ha ordning på data, inte minst för att kunna säkra dem. Det tillkommer ständigt nya datamängder i organisationer. Existerande datamängder förändras och ibland försvinner de. Om förteckningar sköts med verktyg som Excel är det lätt hänt att de blir inaktuella, med alla negativa konsekvenser det får, till exempel för säkerhet.

Värdefull kunskap för datasäkerhet

Det är tydligt att det är en utmaning att hålla information om datamängders status levande. Vilket i sin tur medför att medarbetare som får förfrågningar om att lämna ut data, ofta behöver undersöka statusen på nytt, trots att den fastställts en gång. Ett sätt att slippa merarbetet är att klassificera en datamängd som öppen, om det är lämpligt. En gång öppen – alltid öppen, tills något ändras avsevärt eller annat beslutas. Om en datamängd är öppen kan dess data lämnas ut. Den kunskapen är även värdefull för säkerhetsarbetet.

I takt med att digitaliseringen sveper fram i arbetslivet och i samhället i stort blir det allt tydligare att metadata och strukturerade data är det bränsle som behövs för att driva utvecklingen framåt. För att kunna dra nytta av den viktiga resurs som data utgör så krävs det ordning och reda vad gäller data. Det gäller alltså inte enbart för de ovan nämnda satsningarna på publicering av öppna data och säkerhet, utan för digitalisering i allmänhet.

Kontentan av alla beskrivningar ovan är att det finns flera olika, viktiga, skäl att ta hantering av data på största allvar. God säkerhet och effektiv digitalisering är allmängiltiga skäl. Det allra mest skriande behovet i dagens läge är troligtvis bättre förutsättningar för cyber-, IT-, data- och informationssäkerhet. Om du vill kan du se det som att du får enkel publicering av öppna data på köpet.