Information vill vara fri

Informationssäkerhet , Nyhet , Verksamhetsskydd
måndag 17 oktober 2022

För nästan fyrtio år sedan myntade den amerikanske författaren Stewart Brand (foto nedan) uttrycket ”Information vill vara fri”, enligt uppgift under en diskussion på den allra första så kallade Hacker-konferensen i Marin County, Kalifornien. Inte helt oväntat snappades uttrycket ganska fort upp som ett slags stridsrop av olika typer av teknikaktivister, exempelvis den så kallade cypherpunk-rörelsen (inte att förväxla med den litterära subgenren cyberpunk, som också influerades av detta numera anrika citat).

Stewart Brand. Foto: TED / Marla Aufmuth

Ja, jag vet vad ni tänker: ”Vänta lite…vad är det här för flummigt hippie-nonsens? Inom informationssäkerhetsområdet vill vi ju kontrollera informationen, inte släppa den fri, för guds skull!”

Sant. Men om vi backar tillbaka bandet en aning så skulle jag vilja börja med att förtydliga att Stewart Brand egentligen inte uttryckte sig på det här sättet – ovanstående citat representerar nämligen bara en del av vad han faktiskt sa.

Vad han egentligen sa var följande (fritt översatt):

”Å ena sidan vill information vara kostsam, eftersom den är så värdefull. Rätt information på rätt plats kan förändra ditt liv. Å andra sidan så vill information vara fri, eftersom kostnaden för att distribuera information hela tiden blir lägre och lägre. Så dessa två storheter för en ständig kamp mot varandra”.

Med andra ord bör citatet från Brand inte uppfattas som en smått anarkistisk uppmaning att helt sonika ignorera lagen om upphovsrätt och börja distribuera information i form av filmer, musik eller mjukvara illegalt. Snarare utgör citatet – i sin helhet – en filosofisk reflektion kring förhållandet mellan två motstridiga informationsaspekter: och desto högre värdet på information är, desto högre blir också kostnaden för att kontrollera – eller skydda – informationen.

Vad gör information värdefull?

Från ett informationssäkerhetsperspektiv framstår detta förstås som ganska självklart, åtminstone i teorin; när vi implementerar våra skyddsåtgärder, oavsett om dessa huvudsakligen är tekniska eller organisatoriska, så är det de högst värderade informationstillgångarna som är kostnadsdrivande.

Men vad är det då som egentligen gör information värdefull? I praktiken är detta alltid beroende av det specifika sammanhanget, så ur det perspektivet kan det kanske kan vara relevant att tydligare definiera vad vi egentligen menar när vi talar om värde. I grund och botten vet vi ju alla att det finns många olika typer av värde, men fokus hamnar ändå ofta på den mest uppenbara formen: det allestädes närvarande monetära värdet. Av förklarliga skäl är det monetära värdet naturligtvis alltid centralt ur ett affärsperspektiv, men det är samtidigt viktigt att komma ihåg att det finns andra sätt att prata om och definiera värde.

I exempelvis sammanhang där man vill skydda information som berör Sveriges säkerhet så ligger inte fokus primärt på kostnadsaspekten, utan på de negativa konsekvenser som kan uppstå i händelse av att olika typer av säkerhetsskyddsklassificerad information röjs för obehöriga. Och för organisationer som samordnar och levererar humanitära hjälpinsatser kan korrekt geografisk information i praktiken betyda skillnaden mellan liv och död.

Personligen brukar jag ofta tänka på värde i termer av användbarhet. Ur mitt perspektiv har värde – av ekonomisk eller annan karaktär – vanligtvis en mer eller mindre direkt koppling just till informationens användbarhet; ju mer användbar en specifik informationstillgång är i ett specifikt sammanhang, desto högre är vanligtvis också värdet på informationen.

Ur ett informationssäkerhetsperspektiv leder detta resonemang oss direkt till den klassiska CIA-triaden. Även om vi använder oss av dimensionerna konfidentialitet, integritet och tillgänglighet för att bedöma olika aspekter av vår information i samband med klassificering, så är det i praktiken informationens användbarhet som vi utvärderar. Och när allvarliga brister uppstår hos någon av dessa dimensioner blir konsekvensen i regel också att informationens användbarhet påverkas negativt. Ni kommer väl ihåg ”Operation Pathway”?

Varför håller jag då på och resonerar kring begrepp som fri information, värde och användbarhet på det här sättet? För att vara helt ärlig är detta primärt en sorts post-it-lapp till mig själv – en vänlig påminnelse om vad kärnan i informationssäkerhetsarbetet i grund och botten handlar om, och varför jag anser att det är så viktigt att lägga tid och kraft på. När man är mitt uppe i det dagliga, löpande arbetet är det dessutom alldeles för lätt att fokus i alltför hög grad hamnar på de enskilda pusselbitarna – istället för att med jämna mellanrum ta ett steg tillbaka för att byta perspektiv och påminna sig själv om hur de olika delarna passar in i och bidrar till helheten.

Författare

Per Nyberg
CISO

Kontakta oss

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning

Information vill vara fri

Vad gör information värdefull?

Författare

More news