Illustrationen visar personer som utför olika uppgifter med digitala verktyg visualiserade i en cirkulär form. I mitten av bilden ser man ett lås på en sköld.
Informationssäkerhet handlar om hur vi skyddar information och det blir extra relevant när allt ska digitaliseras. Foto: (CC BY)

Informationssäkert kulturarv i en digital värld

Vilka är de interna och externa hoten mot ett långsiktigt bevarande av kulturarvsdata? Hur undviker man att känslig data hamnar i fel händer, samtidigt som behöriga användare enkelt kan hitta vad de söker?

I vårens sista digitala samtal pratade Riksantikvarieämbetets Björn Sundberg med Caroline Svahn, informationssäkerhetskonsult, och Julia Schulte Koskinen, GIS-konsult på Sweco.

– Mycket av det som händer nu, såsom fler och mer omfattande cyberattacker, beror dels på säkerhetsläget, men också på att digitaliseringen leder till fler dörrar som går att öppna, säger Julia Schulte Koskinen.

Hon är arkeolog och GIS-konsult på konsultföretaget Sweco som också är medlemmar i det nationella nätverket för digitalt kulturarv.

– Sweco är Europas ledande konsultbolag i teknik, miljö och arkitektur, och finns i hela samhällsbyggnadsprocessen. Kulturarvssektorn är förstås en del av den, och vi vill vara med och bidra med den kunskap vi har.

Börja med att skydda ”guldäggen”

Ett fågelbo med guldfärgade ägg får illustrera den information som är viktigast att skydda. Verksamheten behöver plocka ut dessa guldägg, menar Caroline Svahn, som är konsult i informationssäkerhet på Sweco.

– Det kan göras i etapper. Man kanske börjar med enstaka informationsdelar eller dokument som är extra viktiga och sedan kan man gå vidare. Om man börjar med allt samtidigt kan det upplevas som ett väldigt stort och svårt arbete, säger Caroline Svahn.

Hon understryker att informationssäkerhet inte bara är ett område för ledningen, utan för hela verksamheten. Det hjälper organisationen att uppfylla lagkrav, till exempel arkivlagen.

– Informationssäkerhet innebär hur vi skyddar information och det blir extra relevant nu när allt ska digitaliseras, säger hon.

Konfidentialitet, riktighet och tillgänglighet

Det finns tre sätt som information behöver skyddas på och dessa kan komma i konflikt med varandra. Förkortningen KRT (CIA på engelska) står för konfidentialitet, riktighet och tillgänglighet. Konfidentialitet betyder att informationen endast är tillgänglig för de personer som har behörighet att ta del av den. Det handlar om skydd för allt från personuppgifter till evakueringsplaner.

– Det man ska fundera på inom verksamheten är om alla behöver ha tillgång till allt. Svaret är oftast nej, konstaterar Caroline Svahn.

Riktighet innebär att innehållet i informationen ska vara korrekt och inte kunna ändras av obehöriga. När information inte stämmer finns en risk att forskare och allmänhet drar felaktiga slutsatser.

– Om informationen medvetet ändras av någon som har en agenda, skulle det kunna handla om politiskt motiverad historierevision. Det vill vi förstås undvika för att säkerställa att vi ger en riktig bild av vår gemensamma kulturhistoria, framhåller Julia Schulte Koskinen.

Riktighet kan säkerställas genom att endast behöriga kan ändra och kontrollera om informationen stämmer. I samband med digitalisering finns möjlighet att kontrollera riktighet genom att skapa rätt metadata.

Det tredje begreppet, tillgänglighet, innebär att informationen ska vara nåbar när den behövs.

– När vi vill digitalisera kulturarvet är det tillgängligheten som vi fokuserar på. Vi vill sprida information så brett som möjligt och vi vill att personer ska hitta information när de letar efter den. Det behöver också kopplas till informationssäkerhet, påpekar Julia Schulte Koskinen.

Tillgänglighet möjliggör organisationens arbete och syfte, men kan krocka med konfidentialitet, som handlar om att skapa begränsningar för vem som kommer åt informationen.

– Det är svårt att uppnå både en hög tillgänglighet och konfidentialitet samtidigt, och det är en avvägning som man måste göra, säger Julia Schulte Koskinen.

Systematisk riskanalys är viktigt

Om information förstörs hotas tillgängligheten. Det finns fysiska hot såsom brand, översvämning eller elavbrott och andra slags hot såsom mänskliga misstag. Julia Schulte Koskinen betonar vikten av backuper, för att kunna återskapa information vid behov.

Det finns många olika typer av risker, som kan skilja sig mellan olika verksamheter. I och med dagens digitalisering finns nya sätt att hitta och sprida information, vilket också innebär nya risker för informationsförstöring, genom bland annat cyberattacker och nedstängning av fysiska arkiv.

– Det är viktigt att gå igenom risker i verksamheten systematiskt och kontinuerligt, göra en riskanalys där man bedömer sannolikhet och konsekvens samt skapa en åtgärdsplan, uppmanar Caroline Svahn.

Samtalet avslutades med förslaget att arrangera en workshop i nätverket, som blir en chans att fördjupa sig i ämnet informationssäkerhet för kulturarvsinstitutioner.

– Det finns behov av fler diskussioner kring de här frågorna. Det kan till exempel finnas målkonflikter mellan tillgänglighet och konfidentialitet som vi gemensamt kan finna lösningar på, säger Björn Sundberg.

Checklista med frågor att ställa sig i verksamheten

  • Vem ska ha tillgång till informationen i vår organisation?
  • Är det flera individer eller bara en person som har behörighet att ta del av viss information?
  • Är det samma personer som ska ha behörighet till information digitalt som analogt?
  • Vilken målgrupp vill vi skapa tillgänglighet för? (oss själva, allmänhet, forskare?)
  • Hur hittar man informationen digitalt?
  • Ska all information vara tillgänglig?
  • Stämmer informationen vi har?
  • Vem har rätt att kontrollera om informationen stämmer?
  • Hur påverkas framtiden om denna information är felaktig?

När du vill veta mer

Håll dig uppdaterad  om kommande datum och teman för webbinarieserien ”Digitala samtal”.