Informations- och cybersäkerhet i Sverige

Strategi och åtgärder för säker information i staten

Betänkande av NISU 2014

Stockholm 2015

SOU 2015:23

5.3Reglering av säkerhetsskydd, krishantering och

6

5.3.5Lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i

5.4Specifik reglering av brottsbekämpande och

6.1Myndigheter i samverkansgruppen för

7

7.1Politiska mål för Sveriges säkerhet och samhällets

8

SOU 2015:23 Innehåll

9

8.4.6Working Group on Enhanced Cooperation, Commission on Science and Technology for

9.1En nationell strategi för statens informations- och

10

SOU 2015:23 Innehåll

11

12

Uppdrag

Utredningen har haft regeringens uppdrag att föreslå en nationell strategi för hantering och överföring av information i elektroniska kommunikationsnät och it-system samt att föreslå övergripande mål för samhällets informationssäkerhetsarbete, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infra- struktur. Enligt direktiven ska utredningen också klargöra begrepp som används inom informationssäkerhetsområdet och vid behov föreslå förtydligande eller alternativa benämningar och definitioner. I uppdraget har vidare ingått att redovisa statliga myndigheters ansvar och roller utifrån de uppgifter och uppdrag på informations- säkerhetsområdet som de har i dag.

Utredningens inriktning

Uppdraget har omfattat övergripande och strategiska åtgärder. Utredningens förslag ska ses i ljuset av att säkerhetsskyddslagen är under översyn och att åtgärdsförslagen inte avser att träffa säker- hetsskyddslagens tillämpningsområde. Vidare begränsas förslagen till det statliga området och till utformning av författningsreglering på förordnings- och föreskriftsnivå. Våra förslag syftar till att skapa en gemensam syn på en lägsta nivå av informationssäkerhet i staten och samtidigt höja denna.

Informationssäkerhet och cybersäkerhet

De två centrala begreppen i denna utredning är informationssäker- het och cybersäkerhet. Informationssäkerhet innebär en strävan att skydda information så att den alltid finns när den behövs (tillgäng- lighet), att det går att lita på att den är korrekt och inte manipule- rad eller förstörd (riktighet), att endast behöriga personer får ta del av den (konfidentialitet) och att det går att följa hur och när in- formationen har hanterats och kommunicerats (spårbarhet). In- formationssäkerhet omfattar såväl administrativa som tekniska åt- gärder för att skydda information. För inrikes angelägenheter täcker begreppet informationssäkerhet flertalet av de i betänkandet före- slagna åtgärderna, medan cybersäkerhetsbegreppet gör sig mer

14

gällande när perspektivet avser svenskt förhållande gentemot andra hot. I de internationella policydiskussionerna har cybersecurity i allt större omfattning ersatt användandet av begreppet information security. Sverige bör i sina internationella relationer använda begreppet cybersäkerhet.

Myndigheter

Det finns flera statliga myndigheter med särskilda uppgifter eller uppdrag på informationssäkerhetsområdet, såväl nationellt som internationellt, och frågorna spänner över en mängd olika områden och nivåer. Utredningen har beskrivit myndigheternas ansvar och roller på informationssäkerhetsområdet. Myndigheten för samhälls- skydd och beredskap, Post- och telestyrelsen, Försvarets radioanstalt, Säkerhetspolisen, Polismyndigheten, Försvarets materielverk och Försvarsmakten är myndigheter med särskilda uppgifter och sär- skilt ansvar inom informationssäkerhetsområdet. Myndigheterna ingår i samverkansgruppen för informationssäkerhet (SAMFI). I syfte att ytterligare formalisera, utveckla och fördjupa samord- ningen av informationssäkerhetsarbetet föreslår utredningen inom ramen för strategin att det inrättas ett Myndighetsråd för in- formationssäkerhet. Myndighetsrådet ska ha till uppgift att stödja och utveckla informationssäkerhetsarbetet i samhället.

Behovet av en strategi för staten

Hoten mot informations- och cybersäkerheten samt Sverige som nation kan inte hanteras enbart nationellt och kommer därför att kräva både sektorsövergripande och internationellt samarbete. Sveriges främsta och strategiska samarbetspartners uppfattar också problemet på samma sätt och manar i sina strategier till ökat sam- arbete.

Tidigare utredningar på området har i full enlighet med sina uppdrag sökt föreslå allomfattande strategier för hela samhället. Det finns anledning att från denna utrednings sida betona att behoven på informations- och cybersäkerhetens område är så omfattande i Sverige, att det inte behövs en, utan flera strategier. Vad som föreslås är därför det första steget, en första strategi för

15

statens informations- och cybersäkerhet som söker åtgärda de mest angelägna bristerna i statsförvaltningen. Först när detta är klart finns anledning och förutsättningar att gå vidare till större och mer specifika områden. Senare strategier bör omfatta bl.a. kompetens- försörjningen i samhället, forskning och utveckling, informations- säkerheten inom verksamheten hos landsting och kommuner, lik- som försvaret av riket och dess oberoende mot antagonistiska hot med såväl defensiva som offensiva förmågor.

Den föreslagna strategin träffar statsförvaltningen på bredden och höjer, om den genomförs, den generella informations- och cyber- säkerheten i statsförvaltningen, vilket främjar samhällets förutsätt- ningar att förebygga och bekämpa de yttersta hoten mot rikets säkerhet.

Strategin vänder sig först och främst till regeringen, Regerings- kansliet och till de statliga myndigheterna, och indirekt till den del av näringslivet och de organisationer som samverkar eller ingår affärsrelationer med staten. Den ska bidra till att reducera sårbar- heten och uppnå en effektiv risknivå i statens olika informations- system. Vidare ska strategin bidra till trygg elektronisk kommunikation i offentlig sektor och pålitliga nättjänster från offentlig sektor. Syftet med strategin är att ange grundläggande målsättningar, färdriktningar och arbetssätt för informationssäkerhet i svenska staten.

Förslag till strategi och åtgärder

Strategin anger sex strategiska mål och områden för informations- säkerhetsarbetet. Inom de strategiska områdena anges olika förslag till åtgärder.

Styrning och tillsyn av informationssäkerheten i staten stärks.

Förslag

En nationell styrmodell för informationssäkerhet etableras för att skapa ett systematiskt informationssäkerhetsarbete i statlig verk- samhet. Förslaget avser i första hand de statliga myndigheterna och

16

ska vara normerande för dessa men styrmodellen kan på sikt ut- sträckas till att omfatta hela den offentliga sektorn.

Det bör inrättas ett statligt myndighetsråd för informations- säkerhet bestående av företrädare för de relevanta myndigheterna på området.

En ny förordning för statliga myndigheters informationssäkerhet bör införas för att tydliggöra ett ökat ansvar för det praktiska säkerhetsarbetet inom myndigheterna.

Tillsynen över den statliga sektorns informationssäkerhet bör sam- ordnas och förstärkas. Myndigheten för samhällsskydd och bered- skap ska utöva tillsyn över myndigheternas informationssäker- hetsarbete i enlighet med föreslagen förordning.

Myndigheternas internrevision behöver utvecklas till att inkludera uppföljning och kontroll av myndigheternas informationssäkerhet. Myndighetsledningens ansvar för att upprätthålla säkerhet i sin informationshantering bör förtydligas genom ett författnings- reglerat rapporteringskrav.

Staten ställer tydliga krav som upphandlare av tjänster som innehåller informationshantering eller av it-tjänster.

Förslag

Statlig upphandling på it-området bör innehålla hänvisning till för staten gällande standarder och krav på certifiering i de situationer där säkerhetsnivåer har fastställts för respektive verksamhet.

Myndigheten för samhällsskydd och beredskap bör ges i uppdrag att ta fram minimikrav på säkerhet i vanligt förekommande it- produkter som används av statliga myndigheter.

Det bör införas ett krav på att rapportera vilken leverantör som en statlig myndighet har valt då ramavtal rörande it-lösningar används.

17

När det gäller tjänster och produkter som ska användas för kom- munikation inom staten bör upphandlande myndighet överväga möjligheten att tillämpa lagen om upphandling på försvars- och säkerhetsområdet, om upphandling enligt lagen om offentlig upphandling inte medger att nödvändiga krav ställs.

Regeringen bör fördjupa dialogen mellan privata och offentliga aktörer samt utbildnings- och forskningsinstitutioner på informa- tionssäkerhetsområdet.

Statliga myndigheter kommunicerar säkert.

Förslag

För att skapa en myndighetsgemensam infrastruktur för elektronisk kommunikation bör kommunikationssystemet Swedish Government Secure Intranet (SGSI) utvecklas. I ett första steg ansluts samtliga myndigheter som anges i bilagan till förordningen om kris- beredskap och höjd beredskap till SGSI.

Under utbyggnaden av SGSI bör det vidtas åtgärder för att utveckla system för att upptäcka intrång och angrepp.

Synkronisering av tid och frekvens är viktig för att vissa funktioner i samhället ska fungera. Statliga myndigheter ska därför använda samma synkroniserade tidsskala för de tidsangivelser de använder i sina it-system.

Myndigheten för samhällsskydd och beredskap, Försvarets radio- anstalt, Försvarets materielverk och Försvarsmakten bör ges i upp- drag att utveckla processen för säkra kryptografiska funktioner på basis av den av myndigheterna föreslagna nationella strategin med åtgärdsplan.

18

Samtliga statliga myndigheter rapporterar it-incidenter.

Förslag

Det bör inrättas ett system för obligatorisk it-incidentrapportering för samtliga statliga myndigheter. Detta ska anpassas till de krav som EU-direktivet om nät- och informationssäkerhet (NIS- direktivet) kommer att ställa. Ett system för obligatorisk it- incidentrapportering skulle bidra till förmågan att förebygga och hantera it-incidenter.

I syfte att förbereda införandet av ett system för obligatorisk it- incidentrapportering bör Myndigheten för samhällsskydd och beredskap få i uppdrag att utfärda verkställighetsföreskrifter om dess närmare utformning.

Myndigheten för samhällsskydd och beredskap bör ges i uppdrag att förse de statliga myndigheterna med information om bl.a. trender och utveckling avseende it-incidenter.

Förebyggande och bekämpande av it-relaterad brottslighet stärks.

Förslag

Arbetet med ratificering av Europarådets konvention om it-relate- rad brottslighet, som Sverige undertecknade 2001, bör slutföras.

Det bör utredas om en tydligare reglering kan införas i offent- lighets- och sekretesslagen rörande sekretess för uppgifter som utbyts vid samverkan mellan brottsbekämpande myndigheter och andra myndigheter inom informationssäkerhetsområdet.

Det bör göras en översyn av bestämmelserna om tvångsmedel i 27 och 28 kap. rättegångsbalken och övriga lagrum för att säkerställa att brottsbekämpande myndigheter kan bedriva sin förebyggande och utredande verksamhet i den digitala miljön.

19

Sverige ska vara en stark internationell partner.

Förslag

Regeringen bör säkerställa att Sverige agerar kraftfullt och konsi- stent i samtliga internationella och regionala fora av relevans genom att stärka samordningen av både Regeringskansliets och myndig- heternas internationella kontakter.

Konsekvenser av förslagen

Utredningens förslag innebär en höjd ambitionsnivå för samhällets informationssäkerhet och vissa av förslagen medför ökade kostna- der. Eftersom informationssäkerhet normalt anses ingå i kostna- derna för respektive verksamhet är utgångspunkten att flera förslag bör bäras av respektive verksamheter. Den största kostnaden gäller framför allt den utökade rollen för Myndigheten för samhällsskydd och beredskap, vilket kräver en anslagshöjning. Detta behov kan täckas genom omdisponeringar inom utgiftsområde 06 Försvar och samhällets krisberedskap eller hänföras till en ny förvaltnings- politisk inriktning av statsförvaltningens arbete och därmed hän- förlig till utgiftsområde 02 Samhällsekonomi och förvaltning. Lika- så kan övervägas om delar av de kostnadsökningar som beskrivs är att hänföra till de krav på ökad digitalisering som hanteras inom utgiftsområde 22 Kommunikationer. Ett sista förslag är om in- formations- och cybersäkerhet har kommit att bli en så central del av statsförvaltningen att det förtjänar ett eget och nytt utgifts- område.

20

A strategy for central government

Previous proposed strategies have tried to remedy all problems and challenges in the whole of society in one context, which creates an overwhelming challenge.

The Inquiry’s remit includes proposing a strategy for the han- dling and transfer of information in electronic communications networks and IT systems, a national strategy that the Inquiry con- siders should be adopted by the Government. There is reason for the Inquiry to stress that the needs in the area of cyber security in Sweden are extensive and it seems rational to accept that Sweden needs not one but several strategies. The proposals below are therefore merely the first step – an initial strategy that seeks to remedy the most urgent shortcomings in central government administration. Only when this is finished will there be reason – and necessary conditions – to move on to larger and more specific areas. One such consecutive area is covered by the national security protection legislation, which is currently under reform. This proposed strategy takes a broad approach to central government administration and would, if implemented, improve general cyber security in central government administration, to the advantage of society’s resources for preventing and combating the most significant threats to the security of the realm. Consequently, these resources can then be targeted in a more undivided fashion against these threats.

The Inquiry considers that to be an effective, credible, leading and demanding force in society, central government must devote its energies to creating security within the sphere of central gov- ernment. Therefore, the strategy proposed here is devoted to achieving this exclusively. Only after this has been achieved will central government be in a position to engage society as a whole. Subsequent strategies should cover: skills supply with regard to cyber security in society as a whole; national research and development on cyber security; cyber security within the activities of county councils and municipalities; and the defence of the realm and its independence vis-à-vis antagonistic threats using both defensive and offensive capabilities.

22

Implementation of the strategy

In the Inquiry’s view, a national cyber security strategy should have a medium-term perspective that can lay the foundation for measu- res for two to three years ahead. The strategy is primarily intended for the Government, the Government Offices and government agencies, and indirectly for the section of the business sector and the organisations that collaborate with or enter into business relations with central government.

The strategy is targeted so as to lay the foundation for political decisions and priorities in the area of cyber security, and to improve the coordination of society’s cyber security work. If implemented, the strategy would help to reduce vulnerability and achieve an effective risk level in the various information systems of central government. It would also contribute to secure electronic communications in the public sector and would secure reliable online public sector services.

Cyber security is a support activity to improve the quality of central government functions while also being a necessary activity to guarantee that legislation from the Government and the Parliament is actually implemented. Essentially, it is about pro- tecting the fundamental values and goals in our society, such as democracy, personal privacy, economic growth and political stability.

The objective is to achieve a high level of cyber security in central government administration that promotes:

the rights and freedoms of citizens, and personal privacy;

the functionality, efficiency and effectiveness, and quality of central government administration;

law enforcement;

the ability of central government to prevent and deal with seri- ous disruptions and crises; and

business sector growth, through central government being skilled and clear in formulating requirements.

The strategy involves a series of initiatives to strengthen cyber security in Sweden. The initiatives fall into six areas.

23

Purpose and content of the strategy

The purpose of the proposed strategy is to set out fundamental objectives, directions and working methods for cyber security in Swedish central government. A multitude of different central government actors need a common understanding of cyber secu- rity, what its purpose is and how future security measures can be targeted and designed. Those primarily affected are the Government and the heads of government agencies who have to take the decisions needed to implement the strategy in their activi- ties, but also those who work on cyber security at various levels, decision-makers in public administration and in those sections of the business sector that sell goods and services to it; those who work on IT and general security, but also individual citizens who are reliant on central government handling information about them and for them in a secure way.

The strategy sets out six strategic objectives and strategic areas for cyber security. Various proposed measures are given within each strategic area.

1.Governance and oversight of cyber security in central government shall be strengthened.

A national governance model for cyber security in society will be established.

The Government will establish a government agency council for cyber security comprising representatives of the relevant gov- ernment agencies.

A new ordinance on government agencies’ cyber security will be introduced.

Cyber security oversight of the central government sector will be coordinated and strengthened. The Swedish Civil Contingencies Agency will be given a general oversight mandate for government agencies’ cyber security. Sectoral oversight will be reviewed.

Cyber security auditing will be developed. Management responsibility at government agencies for maintaining security in their information management shall be enhanced through a reporting requirement, regulated by statute.

24

2.Central government shall state clear security requirements as a procurer of IT products and services, and services involving the handling of information.

Central government procurement shall contain references to standards and certification requirements that apply to central government in situations where security levels have been estab- lished for each activity.

The Swedish Civil Contingencies Agency is mandated to establish minimum requirements for security in commonly used IT products used by government agencies.

A requirement will be introduced, whereby a government agency must report which contractor it has chosen when framework agreements for IT solutions have been used.

With regard to services and products for use in communication in central government, the procuring agency should consider the possibility of applying the Defence and Security Procurement Act if procurement under the Public Procurement Act permits insufficient security requirements.

The Government will deepen the dialogue between private and public actors, as well as education and research institutions in the area.

3.Government agencies shall communicate in a secure way.

All government agencies listed in the annex to the Emergency Management and Heightened Alert Ordinance will be con- nected to the Swedish Government Secure Intranet (SGSI).

During the expansion of SGSI, appropriate measures will be taken to develop sensor technology.

All agencies are to use the same synchronized time scale for the time they use in their IT systems.

The Government will instruct the Swedish Civil Contingencies Agency, the National Defence Radio Establishment, the Defence Materiel Administration and the Swedish Armed Forces to develop the process for securing cryptographic functions.

25

4.All government agencies shall report IT incidents to create a basis for improved knowledge and status reports.

Systems will be introduced for obligatory IT incident reporting for all government agencies. These will be adapted to the con- tents of the EU Directive on Network and Information Security (NIS Directive).

The Swedish Civil Contingencies Agency will be instructed to issue implementation provisions to prepare for obligatory IT incident reporting.

Government agencies will be provided with status reports regarding IT incidents.

5.The prevention of and fight against cybercrime shall be strength- ened.

The ratification of the Council of Europe Convention on Cybercrime should be concluded.

It should be considered whether a regulation can be introduced in the Public Access to Information and Secrecy Act whereby secrecy can be maintained regarding information that is exchanged between law enforcement agencies and other agencies involved in law enforcement work within the area of cyber security.

A review of the provisions on coercive measures in Chapters 27 and 28 of the Swedish Code of Judicial Procedure and other sections of law shall be conducted to ensure that law enforce- ment agencies are able to carry out their activities in the digital environment.

6.Sweden shall be a strong international partner.

The Government will ensure that Sweden takes resolute and consistent action in all relevant international and regional forums.

26

Myndighetens informationssäkerhetsarbete

5 § Varje myndighet ansvarar för att, genom ett risk- och sårbarhetsbaserat, systematiskt och processinriktat arbetssätt, upp- rätthålla en tillräcklig nivå av informationssäkerhet för den in- formation de ansvarar för eller hanterar i tjänster som myndigheten levererar till en annan organisation. Myndigheten ska i sitt informa- tionssäkerhetsarbete särskilt beakta behovet av ledningssystem och etablerade standarder för informationssäkerhet.

6 § Det ska i myndighetens ledning finnas en person med ett ut- pekat ansvar för informationssäkerhetsfrågor.

Myndigheten ska utse en eller flera personer som leder och sam- ordnar det praktiska arbetet med informationssäkerhet, samt i övrigt

28

tydliggöra roller och ansvar för informationssäkerhetsarbetet i orga- nisationen.

Myndigheten ska aktivt, genom utbildning och övning, verka för att en god säkerhetskultur etableras i organisationen.

7 § Myndigheten ska kartlägga sina informationsprocesser och klassi- ficera sin information med utgångspunkt i krav på konfidentialitet, riktighet, tillgänglighet och spårbarhet.

Inträffade it-incidenter i organisationen ska kunna identifieras och hanteras.

Beroende på klassning samt identifierade hot, risker och sårbar- heter ska lämpliga säkerhetsåtgärder vidtas. För offentlig förvaltning utvecklade krav- och skyddsnivåer ska följas i detta arbete.

8 § Myndigheten ska, med stöd av risk- och sårbarhetsanalyser, välja och använda säkra it-produkter vid hantering av information där bristande informationssäkerhet kan medföra en betydande försämring av myndighetens förmåga att bedriva sin verksamhet. I de fall säkra it- produkter finns utpekade i verkställighetsföreskrifter som meddelats med stöd av denna förordning ska dessa användas.

9 § Myndigheten ska följa upp sitt eget informationssäkerhets- arbete och i en årlig plan dokumentera de bedömningar som görs avseende hot, risker och sårbarheter samt redogöra för arbetet som bedrivs i enlighet med kraven i 7–8 §§.

Myndigheten ska med stöd av kontinuitetsplanering upprätt- hålla en sådan nivå av informationssäkerhet att myndigheten har god förmåga att hantera sina uppgifter under fredstida krissitua- tioner och höjd beredskap. I kontinuitetshanteringsarbetet ska sådana hot, risker och sårbarheter som avses i 7 § 3 st beaktas.

10 § Kraven i 5–9 §§ gäller endast i tillämpliga delar sådana myndig- heter vars informationshantering eller vars informationssäkerhets- arbete administreras av en annan myndighet, en så kallad värdmyn- dighet.

En sådan värdmyndighet som avses i första stycket ska infor- mera den anlitande myndigheten om inträffade it-incidenter som har eller kan ha påverkat säkerheten hos den anlitande myndighetens information.

29

Särskilda krav på informationssäkerhetsarbete

11 § De myndigheter som har ett särskilt ansvar för krisberedskapen enligt 11 § förordning (2006:942) om krisberedskap och höjd bered- skap och de myndigheter som Myndigheten för samhällsskydd och beredskap beslutar i enskilda fall, är skyldiga att uppfylla särskilda krav på informationssäkerhet rörande

–användning av säkra kommunikationsnät,

–användning av sensorsystem för it-incidentidentifiering, och

–kompetens för informationssäkerhetschef eller motsvarande.

Säkra kryptografiska funktioner

12 § Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Kustbevakningen, Försvarshögskolan, Totalförsvarets forskningsinsti- tut, Fortifikationsverket, Totalförsvarets rekryteringsmyndighet, Myndigheten för samhällsskydd och beredskap och Regeringskansliet ska ha säkra kryptografiska funktioner.

Myndigheten för samhällsskydd och beredskap beslutar vilka övriga myndigheter som ska ha säkra kryptografiska funktioner.

Myndigheten för samhällsskydd och beredskap beslutar även vilka företag som efter överenskommelse ska få tillgång till säkra krypto- grafiska funktioner. Myndigheten för samhällsskydd och beredskap får därutöver ingå avtal om tilldelning med kommuner och orga- nisationer som har behov av säkra kryptografiska funktioner.

13 § Försvarsmakten svarar för att Försvarsmakten, Försvarets materielverk, Försvarshögskolan, Totalförsvarets forskningsinstitut, Totalförsvarets rekryteringsmyndighet och Fortifikationsverket tilldelas säkra kryptografiska funktioner. Försvarets radioanstalt svarar för att övriga som enligt 12 § ska ha säkra kryptografiska funktioner tilldelas sådana.

14 § Myndigheter som tilldelats säkra kryptografiska funktioner ska under normal kontorstid kunna ta emot och sända krypterade med- delanden.

När en situation av den omfattning som avses i 9 § andra stycket förordning (2006:942) om krisberedskap och höjd beredskap upp-

30

står och vid höjd beredskap ska myndigheterna kunna ta emot och sända krypterade meddelanden även under icke kontorstid.

Myndigheten för samhällsskydd och beredskap, eller annars, efter samråd med Myndigheten för samhällsskydd och beredskap, annan myndighet som har behov av information, ska ingå överenskom- melse med sådant företag, sådan kommun eller organisation som tilldelats system med stöd av 12 § tredje stycket om när krypterade meddelanden ska kunna tas emot och sändas.

Upphandling och utveckling av it-system och it-produkter

15 § I samband med upphandling och utveckling av it-system eller it-produkter ska myndigheten i förhållande till leverantören klarlägga ansvar och roller för informationssäkerhetsarbetet. Myndigheten ska även fastställa processer för hur säkerhetskrav ska hanteras och hur uppföljning ska ske.

Upphandlingen eller utvecklingen ska föregås av informations- klassning och riskanalys av berörd information. Resultatet av klass- ningen och riskanalysen ska vara styrande för utformningen av säker- hetskrav som ställs vid upphandling eller utveckling.

Kraven i första och andra stycket gäller även vid anslutning till myndighetsgemensamma tjänster för e-förvaltning eller liknande syfte.

En myndighet ska endast uppdra åt någon annan att hantera myn- dighetens information om hanteringen kan ske med tillräcklig säkerhet och enligt denna författning. I detta ingår att försäkra sig om att it-incidenter som har eller kan ha påverkat säkerheten rap- porteras till myndigheten.

16 § I samband med upphandling av it-produkter som är avsedda att användas i samhällsviktig verksamhet som myndigheten bedri- ver eller ansvarar för ska, då sådana finns tillgängliga, endast säkra och certifierade it-produkter användas. I de fall säkra it-produkter finns utpekade i verkställighetsföreskrifter ska dessa användas.

31

It-incidentrapportering

17 § En myndighet ska till Myndigheten för samhällsskydd och be- redskap skyndsamt rapportera it-incidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller i tjänster som myndigheten levererar till en annan organisation.

För incidenter som ska anmälas till en tillsynsmyndighet enligt bestämmelserna i 10 a § säkerhetsskyddsförordningen (1996:633) gäller rapporteringsplikten enligt första stycket inte förrän tillsyns- myndigheten har meddelat den rapporteringspliktiga myndigheten att incidenten inte längre är föremål för behandling hos tillsyns- myndigheten.

Tillsyn, föreskrifter och myndighetsrådets uppgifter

18 § I Myndighetsrådet för informationssäkerhet ska representanter för myndigheter med särskilda uppgifter på informationssäkerhets- området ingå. Myndighetsrådet har till uppgift att stödja och ut- veckla informationssäkerhetsarbetet i samhället. I detta ingår bland annat att

–utgöra en gemensam berednings- och remissinstans på informa- tionssäkerhetsområdet,

–bidra med stöd rörande informationssäkerhetsfrågor vid utfärd- andet av föreskrifter på informationssäkerhetsområdet,

–förvalta och utveckla tillämpliga krav och kontrollordningar i bl.a. standarder för produkter och tjänster med bäring på informationssäkerhet i samhällsviktig verksamhet,

–bistå med expertkompetens i samband med upphandling av tjänster och produkter på informationssäkerhetsområdet, och

–utveckla krav- och skyddsnivåer.

Myndigheten för samhällsskydd och beredskap ska tillhanda-

hålla en kanslifunktion för rådet.

Myndighetsrådet ska vid behov inrätta arbetsgrupper.

32

19 § Myndigheten för samhällsskydd och beredskap ska utöva tillsyn över statliga myndigheters informationssäkerhetsarbete i enlighet med denna förordning, med undantag för sådant arbete som redan är föremål för tillsyn i enlighet med 39 § säkerhetsskyddsförordningen (1996:633).

20 § Myndigheten för samhällsskydd och beredskap får

1.meddela de föreskrifter som behövs för verkställigheten av de allmänna och särskilda krav på statliga myndigheters informations- säkerhetsarbete som avses i 5–11 och 15 §§, med beaktande av natio- nell och internationell standard,

2.meddela de ytterligare föreskrifter som behövs för verkställig- heten av 14 §, utom i fråga om Försvarets materielverk, Försvarets radioanstalt, Kustbevakningen, Försvarshögskolan, Totalförsvarets forskningsinstitut och Fortifikationsverket,

3.meddela de föreskrifter som behövs för verkställigheten av 16 § utom i fråga om myndigheter för vilka Försvarsmakten eller Säkerhetspolisen meddelar motsvarande föreskrifter enligt 44 § säkerhetsskyddsförordningen,

4.meddela de ytterligare föreskrifter som behövs för verkställig- heten av sådan it-incidentrapportering som avses i 17 §.

Denna förordning träder i kraft den 1 januari 2016.

33

1.2Förslag till

förordning om ändring i säkerhetsskyddsförordningen (1996:633)

Härigenom föreslås att det i säkerhetsskyddsförordningen (1996:633) ska införas en ny bestämmelse, 10 a §, av följande lydelse.

10 a §

Om det inträffar en it- incident som allvarligt kan på- verka säkerheten i ett informa- tionssystem där hemliga upp- gifter behandlas i en omfattning som inte är ringa ska den myn- dighet som berörs av incidenten skyndsamt anmäla incidenten till den myndighet som enligt 39 § utövar tillsyn över säker- hetsskyddet.

Denna förordning träder i kraft den 1 januari 2016.

34

ningens arbete och att inhämta synpunkter. Utredningen har därför som stöd i arbetet också tillsatt en särskild referensgrupp med företrädare för närmast berörda myndigheter, Försvarets materiel- verk, Försvarets radioanstalt, Försvarsmakten, Myndigheten för samhällsskydd och beredskap, Polismyndigheten, Post- och tele- styrelsen och Säkerhetspolisen. Möten med referensgruppen har hållits vid fyra tillfällen. Referensgruppens ledamöter har dessutom beretts tillfällen att lämna kommentarer på texter till betänkandet, fram till tidpunkten då betänkandetexten förbereddes för slut- justering, varefter referensgruppen informerats. Utöver detta har utredningen vid flera tillfällen träffat berörda myndigheter för möten och studiebesök. Därtill har vi gjort besök vid Bodens kom- mun och Luleå tekniska universitet och haft möten och seminarier med Centrum för asymmetriska hot- och terrorismstudier (CATS) vid Försvarshögskolan, Totalförsvarets forskningsinstitut (FOI), Riksrevisionen, L M Ericsson, Säkerhets- och försvarsföretagen (SOFF) och Sveriges Kommuner och Landsting. Utredningen har också deltagit i den årliga konferensen om informationssäkerhet för offentlig sektor som anordnas av Myndigheten för samhälls- skydd och beredskap i samarbete med övriga SAMFI-myndigheter (se avsnitt 7.5.6). Utredningen har också deltagit i ett arrangemang av AFCEA (Armed Forces Communications and Electronics Association). Vidare har vi haft ett möte med av Post- och tele- styrelsen inbjudna teleoperatörer. Utredningen har också genom studiebesök och möten studerat hur arbetet med informations- och cybersäkerhetsfrågor bedrivs i Finland, Danmark, Estland, Italien, Österrike och USA. Vi har även samrått med Utredningen om säkerhetsskyddslagen (Ju 2011:14)och haft kontakt med Utredningen om effektivare användning av statens bredbandsinfra- struktur (N 2014:05).

2.3Utredningens inriktning

Ett sätt att beskriva lagstiftarens reglering av samhället, såsom det på olika sätt berörs av och har ansvar för informationssäkerhet, är att likna det vid en pyramid, vars bas är alla individer och företag som bor och verkar i landet. Här är regleringen sparsam. Mellansegmentet utgörs av det allmänna, dvs. stat, landsting och

36

kommuner. Här är regleringen betydligt tätare. I toppen av pyramiden återfinns de delar av statsapparaten som har ansvar för att i fred såväl som i ofred skydda rikets säkerhet. I denna del är regleringen omfattande. Figuren nedan söker beskriva detta.

Toppen av pyramiden är redan högst reglerad och därför mycket säkerhetsmedveten och har sedan länge vidtagit nödvändiga åtgärder för att skydda sin information och sina kommunikationer. De utmaningar som kvarstår i pyramidens topp söker denna utred- ning inte föreslå lösningar på, utan hänvisar i de delarna till betän- kandet från Utredningen om säkerhetsskyddslagen (Ju 2011:14). Inte heller söker betänkandets åtgärder fånga in behoven hos alla och envar, hos företag, kommunala förvaltningar, skolor, sjukhus och hos andra som återfinns i pyramidens fot eller den del av mellansegmentet som inte är statligt. Betänkandets förslag tar endast sikte på den statliga delen – som återfinns i pyramidens mellansegment.

Det är även med dessa begränsningar en tillräckligt stor uppgift

– görlig, men på intet sätt lätt. Det är en nödvändig uppgift – staten kan inte bli ett ledande exempel eller ett stöd eller en trovärdig kravställare gentemot resten av samhället förrän den åtgärdat det som inte fungerar optimalt men som staten samtidigt skulle kunna

37

åtgärda. När staten väl genomfört de föreslagna åtgärderna och nått målen i strategin, då uppstår också positiva effekter i pyramidens övriga delar; när exempelvis staten blivit en bättre kravställare i upphandlingshänseende kommer detta att kunna förenkla också t.ex. kommunal upphandling på motsvarande område och om staten under flera år konsekvent upphandlat med hänvisning till vissa standarder kommer detta sannolikt att med marknadskraf- ternas hjälp ha pressat priserna på området också till gagn för landsting och kommuner när de hänvisar till samma standarder. Positiva effekter uppstår också i pyramidens topp; till skillnad från dagsläget kommer i en framtid där strategins mål är uppfyllda kraft och resurser avdelade för rikets säkerhet odelat fokuseras i vet- skapen om att lägsta säkerhetsnivån i staten i stort har höjts till en betryggande nivå.

Även med mål som avgränsats på sätt som framgår ovan så kommer de genomförda förslagen att få långtgående konsekvenser utanför den statliga sektorn. Så är fallet med allt som avser upp- handling men även vad avser kritisk infrastruktur som är föremål för statens ansträngningar som de beskrivs i betänkandet. Framför- allt gäller det infrastruktur för elektronisk kommunikation som i huvudsak är privat. Utredningen utvecklar dessa frågor och hur vi ser på statens ansvar inom informationssäkerhetsområdet i avsnitt 3.5.2.

Utredningen ska enligt direktiven hålla sig informerad om och beakta Utredningen om säkerhetsskyddslagen (Ju 2011:14). Det uppdraget redovisas inom kort. I den utredningens direktiv En modern säkerhetsskyddslag (dir. 2011:94) anger regeringen att det inte längre framstår som ändamålsenligt att säkerhetsskyddslagens bestämmelser om informationssäkerhet avgränsas till åtgärder som behövs för att skydda uppgifter som omfattas av sekretess och som rör rikets säkerhet. Utredarens uppdrag har därför varit att föreslå hur reglerna om informationssäkerhet, som en del av säkerhets- skyddet, bör vara utformade och med beaktande av övrig rättslig reglering på informationssäkerhetsområdet, utarbeta nödvändiga författningsförslag.

Informationssäkerhet enligt säkerhetsskyddslagen avser åt- gärder för att förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet (hemliga uppgifter) inte obehörigen röjs, ändras eller förstörs (7 § första stycket 1 säkerhetsskydds-

38

lagen). Därutöver finns i 9 § säkerhetsskyddslagen en bestämmelse som uttryckligen anger att behovet av skydd vid automatisk informationsbehandling ska beaktas särskilt vid utformningen av informationssäkerheten.

Ändamålen med säkerhetsskyddslagen är att skydda uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen och som rör rikets säkerhet. Det gäller bl.a. bestämmelserna om informationssäkerhet, som uteslutande är inriktade på att skydda uppgifter som omfattas av sekretess och som rör rikets säkerhet (toppen av pyramiden). Lagen ger därför små möjligheter att vidta åtgärder för att skydda statens it-systemen generellt. Samtidigt har utvecklingen på it-området inneburit att vissa informationssystem för bl.a. styrning, reglering och övervakning, t.ex. inom energi- försörjningen, fått en allt större betydelse för rikets säkerhet. Det gäller oavsett om det i systemen hanteras uppgifter som omfattas av sekretess som rör rikets säkerhet.

Denna utrednings uppdrag (NISU 2014) har omfattat över- gripande och strategiska åtgärder för hantering och överföring av information i elektroniska kommunikationsnät och it-system. Utredningens förslag ska ses i ljuset av att säkerhetsskyddslagen är under översyn och att åtgärdsförslagen inte avser att träffa säker- hetsskyddslagens tillämpningsområde. Vidare begränsas förslagen till det statliga området och till utformning av författningsreglering på förordnings- och föreskriftsnivå. Våra förslag syftar vidare till att skapa en gemensam syn på en lägsta nivå av informations- säkerhet i staten och samtidigt höja denna.

I diskussioner rörande informationssäkerhet aktualiseras inte sällan integritetsfrågan. På motsvarande sätt berörs informationssäkerhet ofta i integritetsdiskussioner. Flera verksamheter behandlar idag stora mängder av personuppgifter och annan information som är av känslig karaktär. Förutsättningen för att dessa organisationer ska kunna upprätthålla en hög grad av tillit bland medborgarna är att de kan skydda den känsliga informationen från otillbörlig åtkomst.

Vårt uppdrag har varit att föreslå de övergripande målen som ska utformas så att de ger mål, riktlinjer för och prioriteringar som kan ligga till grund för myndigheternas eget informationssäker- hetsarbete. Utredningen föreslår därför inga åtgärder som reglerar det individuella förhållandet till staten. Förslagen handlar om det kollektiva skyddet för information som staten ska kunna erbjuda. I

39

de delar utredningens förslag skulle kunna påverka den enskildes personliga integritet föreslår utredningen ytterligare utrednings- åtgärder för att väga in sådana aspekter.

2.4Klargörande av begrepp

I utredningens direktiv anges att det finns ett behov av att definiera begrepp och reda ut hur de förhåller sig till varandra samt vid behov ensa dessa begrepp för att undvika missförstånd. Vårt upp- drag har därför varit att klargöra begrepp. Under utredningens arbete har vi funnit att behovet framförallt gör sig gällande beträf- fande begreppen informationssäkerhet, cybersäkerhet och informa- tions- och cybersäkerhet. I detta avsnitt förtydligas dessa begrepp.

2.4.1Begrepp på området

En grundläggande definitionsfråga för hela den svenska informa- tionssäkerhetsnomenklaturen handlar just om innebörden av det svenska begreppet ”informationssäkerhet”. På engelska är detta begrepp uppdelat i två betydelser dels ”Information Security” som utgår från ett tekniskt perspektiv och återspeglas i ISO 27001-stan- darden, dels i ”Information Assurance” som utgår från ett natio- nellt säkerhetsperspektiv och där även organisation och policy in- går. I tidigare utredningsarbeten gjordes försök att särskilja det senare begreppet från det förra genom att introducera termen

”informationssäkring”, vilket också infördes i SIS-nomenklatur. Begreppet – liksom den förenklade varianten ”övergripande in- formationssäkerhet” – vann aldrig någon uppslutning i det offentliga Sverige då det ansågs för komplicerat att beskriva. Följden har dock blivit olyckliga sammanblandningar i begreppens innebörd – inte minst i internationella sammanhang.

Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk. Därmed har cybersäker- het en större internationell räckvidd med t.ex. folkrättsliga fråge- ställningar och normer på cyberområdet än det mer tekniska in- formationssäkerhetsbegreppet. Det senare har en större tyngd- punkt mot hård- och mjukvara samt standardisering.

40

Motivet för fokus mot cybersäkerhet är att det är på detta område som statsmaktsperspektivet behöver utvecklas då fråge- ställningarna ligger ovanför myndigheternas ansvarsområden, samt att avdömningar mellan olika sektorsstrategier kan behöva göras inom ramen för ett svenskt koherent nationellt förhållningssätt gentemot EU och andra internationella organ.

2.4.2Terminologiutveckling gällande cyberbegreppet

I takt med att internationella systemet i allt större utsträckning påverkas av informations- och kommunikationsteknologifrågor har också nya begrepp och delvis förändrade synsätt utvecklats. I det internationella engelskspråkiga samtalet används sedan längre tid en terminologi med förledet cyber, t.ex. cyber space affairs, cyber governance, cybersecurity och cyber defense. I de internationella policydiskussionerna har cybersecurity i allt större omfattning ersatt användandet av begreppet information security, även om de grundläggande tekniska utgångspunkterna i princip är desamma. En mycket viktig skillnad utgörs dock av uppfattningen att vissa av de stater och internationella organisationer som vidhåller bruket av begreppet information security i internationella policysammanhang har en annan syn på frågan om ett fritt och öppet informations- flöde på internet. I vissa fall gäller det även formerna för internets styrning och förvaltning. Vissa av dessa aktörer tenderar till att förbehålla sig rätten att betrakta information per se som en säker- hetsrisk mot vilken säkerhetsåtgärder kan behöva vidtas.

Sverige och en rad andra länder delar inte denna syn. Ett viktigt sätt att manifestera denna hållning är att inte använda begreppet information security, som i dessa sammanhang alltså närmast har kommit att bli ett diplomatiskt kodord för en mer repressiv inställ- ning till informationsfrihet. Det ska dock noteras att i andra sammanhang kan begreppet information security vara relevant så som när man talar om uppgifter som är av sådan känslig karaktär att de skyddas genom reglering i toppen av pyramiden (figur 1), dvs. motsvarande säkerhetsskyddslagens tillämpningsområde. Exem- pel på sådana sammanhang är internationellt säkerhetssamarbete som bygger på rådets säkerhetsbestämmelser eller på inter- nationella säkerhetsskyddsåtaganden.

41

Även i frånvaro av formella konsensusdefinitioner tycks det finnas en bred – om inte helt samstämmig – anpassning till begrepp med förledet cyber, vilket också färgar av sig inom andra språk- områden än det engelska.

I säkerhets- och utrikespolitiska sammanhang används därför i praktiken begrepp som cybersäkerhet, cyberrymden, cyberpolitik och liknande, även om dessa för närvarande saknar formella definitioner.

2.4.3Informationssäkerhet och cybersäkerhet

De två centrala begreppen i denna utredning och den del av verklig- heten den söker beskriva är informationssäkerhet och cybersäker- het. Informationssäkerhet innebär en strävan att skydda informa- tion så:

att den alltid finns när den behövs (tillgänglighet)

att det går att lita på att den är korrekt och inte manipulerad eller förstörd (riktighet)

att endast behöriga personer får ta del av den (konfidentialitet) och

att det går att följa hur och när informationen har hanterats och kommunicerats (spårbarhet)

Informationssäkerhet omfattar såväl administrativa åtgärder för att skydda information (såsom föreskrifter, behörighetsrutiner, etc.) som tekniska åtgärder (såsom it-säkerhet och fysisk inpasserings- kontroll).

Standarder är centrala i ett systematiskt informationssäker- hetsarbete. De anger krav och riktlinjer som är användbara för alla typer av organisationer. Verksamheter får möjligheter att arbeta utifrån beprövade erfarenheter och då enklare skapa förutsättningar för bättre säkerhet.

Cybersäkerhet omfattar, enligt den definition EU använt i sin Cybersäkerhetsstrategi från 2013 de mekanismer och åtgärder som används för att skydda cyberdomänen, både civilt och militärt, mot de hot som är förknippade med eller som kan skada dess ömse- sidigt beroende nätverk och informationsinfrastruktur. Cyber-

42

säkerhet strävar efter att bevara nätverkens och infrastrukturens tillgänglighet och integritet samt konfidentialiteten hos informa- tionen däri.

Cyber-security commonly refers to the safeguards and actions that can be used to protect the cyber domain, both in the civilian and military fields, from those threats that are associated with or that may harm its interdependent networks and information infrastructure. Cyber- security strives to preserve the availability and integrity of the net- works and infrastructure and the confidentiality of the information contained therein. 1

Cybersäkerhet definieras vid International Telecommunications Union (ITU) enligt följande.

Cybersecurity is the collection of tools, policies, security concepts, security safeguards, guidelines, risk management approaches, actions, training, best practices, assurance and technologies that can be used to protect the cyber environment and organization and user’s assets. Organization and user’s assets include connected computing devices, personnel, infrastructure, applications, services, telecommunications systems, and the totality of transmitted and/or stored information in the cyber environment. Cybersecurity strives to ensure the attainment and maintenance of the security properties of the organization and user’s assets against relevant security risks in the cyber environment.

The general security objectives comprise the following: •Availability

• Integrity, which may include authenticity and non-repudiation

• Confidentiality.2

Begreppen används ofta utan särskillnad och i daglig hantering leder detta sällan till missförstånd. För svensk myndighetsintern verksamhet och med den sammanhängande normgivning går det utan tvekan bra att även framdeles använda begreppet informa- tionssäkerhet, medan större kontextuell precision är tillrådlig så fort en internationell dimension gör sig gällande; när ett större per- spektiv ska anläggas som räknar in samarbete med andra länder och skyddsåtgärder mot kända eller okända antagonistiska aktörer är cyberförstavelsen inte bara politiskt utan också tekniskt att föredra. Utredningen är därför av uppfattningen att Sverige i sina internationella relationer bör använda begreppet cybersäkerhet,

1Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, dokument JOIN(2013) 1 final, Brussels, 7.2.2013, sid. 3, fotnot 4.

2Definition of cybersecurity, referring to ITU-T X.1205, Overview of cybersecurity.

43

såvitt det inte i viss diskussion krävs t.ex. en till viss standard relaterad teknisk precision.

För inrikes angelägenheter – dvs. där det är informationen snarare än landet, staten eller rättsordningen som är skyddsobjekt – täcker begreppet informationssäkerhet flertalet av de i betänkandet föreslagna åtgärderna, medan cybersäkerhetsbegreppet gör sig mer gällande när perspektivet avser svenskt förhållande gentemot andra hot. Begreppet ”informations- och cybersäkerhet” bör användas när båda delarna åsyftas, såsom skett t.ex. vid Myndigheten för samhällsskydd och beredskap där ett verksamhetsområde för informations- och cybersäkerhet bildats.

Utredningen behandlar samtliga de ovan beskrivna situationerna och följaktligen används också båda begreppen i betänkandet. Utredningens bedömning är dock att behovet av exakthet i begreppsanvändningen gör sig mer eller mindre tydligt gällande i olika sammanhang. Detta innebär att i de fall utredningen lämnar förslag till åtgärder som innebär olika former av krav behöver begreppen användas med noggrannhet. I de fall det inte föreligger risk för missförstånd ställs lägre krav på begreppsanvändningen. Det betyder att i de delar av betänkandet där vi redogör för andra aktörers erfarenheter har vi endast återgett begreppen så som det beskrivits för oss.

44

nationella strategin hantera risker på alla nivåer i samhället och bör även inkludera alla relevanta aspekter och aktörer.

Vad som behöver skyddas kan naturligtvis i förlängningen sägas vara andra värden än den information som data representerar. Informationssäkerhet anses i de flesta sammanhang omfatta informationens konfidentialitet, tillgänglighet, riktighet och spår- barhet. Det rör sig således inte endast om den information som data representerar utan även om hur information används. Med ett vidare perspektiv är andra värden som ska skyddas samhällets funktionalitet och effektivitet, rättssäkerhet, befolkningens liv och hälsa, men också ytterst rikets säkerhet, demokrati och mänskliga fri- och rättigheter.

3.2Vilken information är värdefull för samhället

Information från den offentliga sektorn spelar en viktig roll för hur marknaden fungerar och hur individer kan tillvara och utöva sina fri- och rättigheter. Utan användarvänlig och lättillgänglig admini- strativ, rättslig, ekonomisk eller annan offentlig information kan de samhälleliga aktörerna och ekonomiska aktörerna inte fatta väl- underbyggda beslut. Det finns även stora mängder information som är av avgörande betydelse för samhällets funktionalitet. Här kan exempelvis nämnas informationshanteringen i betalningssyste- men, styrsystem för samhällsviktig eller kritisk it-infrastruktur.

Genom lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen har Europaparlamentets och rådets direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn (PSI-direktivet) genomförts. Lagen gäller inte för handlingar eller uppgifter i handlingar som inte får tillhandahållas eller för begränsningar i vidareutnyttjandet av dessa som en myndighet är skyldig att besluta om eller som annars följer av någon författning. Som huvudregel omfattas inte heller myndigheters informations- utbyte av lagen. Ur förarbetena till lagen är följande hämtat (prop. 2009/10:175 s. 32, 67 och 131).

En del av den information som finns hos kommunala och statliga myn- digheter utgör en samhällsgemensam resurs av stort värde för med- borgare, företagen och det civila samhället. Det ska vara så enkelt som möjligt för så många som möjligt att tillgodogöra sig värdet av denna informationssamling.

46

Genom att till stor del betrakta offentlig information och e-tjänster som gemensamma resurser som kan användas av andra aktörer kan förvaltningen bidra till samhällets utvecklingsförmåga och innova- tionskraft.

Möjligheterna att få tillgång till, att bearbeta och att sprida förvalt- ningens information är centralt för förvaltningens legitimitet och dess demokratiska förankring. Utöver insyn och kontroll över offentlig verksamhet, kan medborgare och organisationer använda informa- tionen för sin egen kunskapsuppbyggnad, som underlag för deltagande i det offentliga samtalet och i formella politiska processer. Information från myndigheter kan också användas som underlag för att fatta välavvägda beslut när det gäller individuella val som rör det allmännas tjänster, t.ex. välfärdsval. Sådan information kan därför bidra till att stärka människors självstyre och förbättra förutsättningarna för ut- övandet av medborgerliga rättigheter.

I detta sammanhang behandlas således värdet för samhället av den information i förvaltningen som är offentlig och vikten av att den görs tillgänglig. En förutsättning för att detta värde ska föreligga är att informationens riktighet kan säkerställas.

I säkerhetsskyddslagen (1996:627) tar informationssäkerhet sikte på uppgifter som omfattas av sekretess och som rör rikets säkerhet (7 § 1).

Offentlighetsprincipen, reglerna om allmänna handlingars offent- lighet, innebär bl.a. en rätt att ta del av allmänna handlingar. Rätten till insyn i allmänna handlingar förutsätter att det är fråga om en offentlig handling, dvs. en allmän handling som inte är hemlig till följd av en bestämmelse om sekretess. Rätten att ta del av hand- lingar får begränsas endast när det är påkallat med hänsyn till rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation, rikets centrala finanspolitik, penningpolitik eller valutapolitik, myndighets verksamhet för inspektion, kontroll eller annan tillsyn, intresset att förebygga eller beivra brott, det allmän- nas ekonomiska intresse, skyddet för enskilds personliga eller ekonomiska förhållanden och intresset att bevara djur- eller växtart (2 kap. 2 § TF). Begränsningar ska anges i offentlighets- och sekretesslagen eller i andra lagar, till vilka hänvisningar görs i offentlighets- och sekretesslagen. Sekretessens styrka och räckvidd varierar och är ett uttryck för den avvägning som gjorts mellan insynsintresset och skyddet av det allmänna eller enskilda intresset.

47

Personuppgifter är en typ av information som ges ett sådant särskilt skydd. Enligt personuppgiftslagen gäller särskilda begräns- ningar i behandlingen av vissa kategorier av personuppgifter. I lagen betecknas dessa som ”känsliga” personuppgifter. Känsliga uppgifter är personuppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och personuppgifter som rör hälsa eller sexualliv.

Skyddsbehovet styrs inte bara av den information som data representerar, utan också av i vilken verksamhet informationen används.

I 6 kap. 3 § lagen (2003:389) om elektronisk kommunikation finns bestämmelser om att den som tillhandahåller en allmänt till- gänglig elektronisk kommunikationstjänst ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att upp- gifter som behandlas i samband med tillhandahållande av tjänsten skyddas. Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet.

I en nationell strategi för att förebygga uppkomsten av terrorism, förhindra terroristattentat och förbereda för det fall ett terrorist- attentat ändå inträffar (skr. 2011/12:73) inkluderar viktiga åtgärder att stärka it-säkerhet. I skrivelsen berörs arbetet med att förebygga allvarliga elektroniska angrepp riktade mot samhällsviktiga it-system. Försvarets radioanstalt har utvecklat ett tekniskt detekterings- och varningssystem för samhällsviktig verksamhet och kritisk infra- struktur.

Uttrycket samhällsviktig verksamhet används även i förord- ningen (2006:942) om krisberedskap och höjd beredskap. I den risk- och sårbarhetsanalys som varje myndighet ska göra årligen ska myndigheten särskilt beakta att de mest nödvändiga funktionerna kan upprätthållas i samhällsviktig verksamhet (9 § andra stycket 3). Enligt föreskrifter utfärdade av Myndigheten för samhällsskydd och beredskap, MSB, (MSBFS 2010:7) om statliga myndigheters risk- och sårbarhetsanalyser ska med samhällsviktig verksamhet i föreskrifterna avses en verksamhet som uppfyller minst ett av följande villkor. Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället. Verksamheten är nödvändig eller mycket väsentlig för

48

att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt.

I Handlingsplan för skydd av samhällsviktig verksamhet (MSB, december 2013) anges samhällssektorer inom vilka merparten av viktiga samhällsfunktioner och samhällsviktiga verksamheter finns. Bland de samhällssektorer som nämns finns energiförsörjning, finansiella tjänster, handel och industri, hälso- och sjukvård samt omsorg, information och kommunikation, kommunalteknisk försörj- ning, livsmedel, offentlig förvaltning, lednings- och stödfunktioner, skydd och säkerhet, socialförsäkringar och transporter. Uttrycket samhällsviktig används även beträffande infrastruktur och uttrycket samhällsviktig it-infrastruktur används i beskrivningen av utred- ningens uppdrag, se bilaga 1.

3.3Vilken information har samhället möjlighet att skydda

Frågan om vilken information samhället har möjlighet att skydda är kopplad till frågorna om vilka informationsrelaterade hot respektive vilka skyddsmedel som finns. I avsnitt 4.4 redogörs övergripande för den aktuella informationsrelaterade hotbilden. De följande kapitlen om myndigheter med särskilt ansvar för informationssäkerhet (kap. 6), samhällets informationssäkerhet (kap. 7) i Sverige och den internationella utvecklingen på informationssäkerhetsområdet (kap. 8) ger ett underlag om hur information kan skyddas.

Om man ser på frågan mera övergripande kan den också avse vilka styrmedel som finns och i vilka sammanhang samhället har möjlighet att skydda information. Redogörelsen för informations- säkerhetsarbetet i Sverige kan visa på de möjligheter, men också de begränsningar som finns att skydda information i den offentliga sektorn, dvs. i både den statliga och den kommunala förvaltningen. Det finns stora skillnader mellan den statliga och den kommunala sektorn när det gäller regeringens möjligheter att styra. Principen om kommunal självstyrelse (1 kap. 1 § RF) gäller för all kommunal verksamhet, dvs. såväl verksamhet inom den fria sektorn som den specialreglerade sektorn. När det gäller de statliga verksamheterna är regeringens styrning mer direkt.

49

Näringslivets betydelsefulla roll som den största ägaren och förvaltaren av samhällsviktig informationsinfrastruktur framhålls i direktiven. Genomgången i nämnda kapitel ger också en bild av vilka möjligheter och begränsningar som finns för det offentliga att kunna bidra till skyddet av information i den privata sektorn.

Inom såväl den offentliga som privata sektorn kan utkontrak- tering s.k. outsourcing och användandet av molntjänster innebära särskilda utmaningar i arbetet med att skydda information.

3.4Gränssnitt där staten kan påverka

I kapitel 5 ges exempel på hur det i regleringen ställs särskilda krav på hanteringen av en viss typ av information, krav på driftsäkerhet och säkerhet när uppgifter behandlas för de som tillhandahåller all- männa kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. Det finns i regleringen också krav på åtgärder av betydelse för informationssäkerhetsarbetet som t.ex. att genomföra risk- och sårbarhetsanalyser. Det är krav som följs upp av den myndighet som har tillsynsansvar för det aktuella området.

Ett grundläggande sätt som staten har att påverka är genom att höja medvetenheten och kunskapen i hela samhället om informa- tionssäkerhet. Det kan ske genom utbildning samt forskning och utvecklingsarbete. Andra viktiga områden är brottsbekämpning och brottsförebyggande verksamhet. Att it-relaterade brott blir beivrade ökar allmänpreventionen och förtroendet för it-tjänsterna.

Det finns även gränssnitt där statens påverkan av informa- tionssäkerheten i samhället är mer indirekt. Det kan handla om statlig finansiering, upphandling, rådgivning och uppdrag till sam- verkan mellan offentliga och privata aktörer. Ett särskilt exempel på situationer där staten har möjlighet att påverka informations- säkerheten för stora delar av samhället är i samband med upphand- lingar, exempelvis vid utveckling av stora myndighetsgemensamma system för e-förvaltning av olika slag. En annan del är att höja beställarkompetensen inom såväl privat som offentlig sektor. Även kunskapsökning i form av forskningsstöd, inriktning av utbild- ningssektorn i form av läroplaner, samt övrigt stöd till skapandet av en säkerhetskultur utgör medel som står till statens förfogande. Andra centrala delar i detta arbete är att skapa förmåga till läges-

50

beskrivningar över it-incidenter och genom riktade insatser kunna minska påverkan på samhället. Därtill kan staten verka för att underlätta internationellt kunskapsutbyte på området. En ökad kunskap om frågorna i samhället innebär i förlängningen även ökade kundkrav på privata aktörer.

Teleoperatörer och andra företag bygger in säkerhet i sina system utifrån kommersiella grunder. Det kan betyda att bristande säkerhet kan accepteras så länge förlusterna inte överstiger kostnaderna för förebyggande åtgärder, krishantering, återställning och kundförlust. I de fall där det inte finns ekonomiska incitament för teleoperatörerna att erbjuda god robusthet har Post- och telestyrelsen (PTS) exempelvis bidragit med medel som utgörs av s.k. beredskapsavgifter från större teleoperatörer. PTS är också drivande i arbetet med att skapa och delta i samarbeten mellan privata aktörer i el- och telekomsektorn och offentliga aktörer.

MSB lämnar råd och stöd i fråga om det förebyggande arbetet på informationssäkerhetsområdet till statliga myndigheter, kommuner och landsting samt företag och organisationer. Detta beskrivs i kapitlet om MSB. Här kan även nämnas myndighetens stöd i form av medel för att förbättra krisberedskapen och i förlängningen samhällets motståndskraft mot allvarliga händelser, genom det s.k. krisberedskapsanslaget som kan ansökas hos MSB. Alla de myndig- heter som nämns i bilagan till förordningen (2006:942) om kris- beredskap och höjd beredskap kan söka projektmedel från detta anslag, utifrån de förutsättningar som regeringen satt upp. Detta gäller även förbättringar av krisberedskapen på informationssäker- hetsområdet. Anslaget ska användas för särskilda satsningar som ligger utanför det ansvar som varje myndighet, i enlighet med ansvarsprincipen, har för att säkerställa att samhällsviktig verksamhet kan bedrivas även när den utsätts för allvarliga störningar.

3.5Statens ansvar

Som påpekats av InfoSäkutredningen i betänkandet Säker informa- tion Förslag till informationssäkerhetspolitik (SOU 2005:42) värnar vi i Sverige om en rad principer som ska garantera att beslut fattas så nära den verksamhet som kommer att påverkas av beslutets inne-

51

håll som möjligt. Det gäller ända ner på individnivå, där enskilda aktörer så långt möjligt ges ett avgörande inflytande över beslut som rör deras egen välfärd. Med decentraliserat ansvar och besluts- utrymme följer också ansvar för den egna verksamheten. Det finns dock verksamheter, funktioner och situationer då enskilda företag och individer inte förmår, eller rimligen kan avkrävas, att axla detta ansvar helt på egen hand. I vissa fall är det nödvändigt att fatta kollektiva beslut och att flytta över delar av ansvaret till offentliga organ.

En diskrepans föreligger ibland mellan vad som är rationellt handlande för en enskild och vad som är rationellt för samhället. Det finns ett flertal motiv utöver politiska överväganden till offent- liga satsningar inom olika områden. Dessa har i stor utsträckning hämtat inspiration ur ekonomiska teorier om statens roll i samhällsekonomin. Sett ur ekonomisk synvinkel kan marknaden hävdas innehålla en del brister, eller marknadsimperfektioner, till exempel över- eller underkonsumtion, bristande beställarkompe- tens, otillräcklig information vid beslutstillfället och behov som marknaden inte kan eller vill tillgodose på egen hand. Här kan det vara nödvändigt för samhället, genom staten, att intervenera för att skapa balans och ökad samhällsnytta.

Försvar, rättsväsende, räddningstjänst och vissa delar av infra- strukturen är klassiska exempel på kollektiva nyttigheter. Dessa funktioner kommer alla till godo. Krishantering på samhällsnivå har i grunden samma karaktär som dessa verksamheter. Om det offentliga inte engagerar sig inom dessa områden kan man befara att satsningar som görs blir otillräckliga eller till och med uteblir. Det beror på att medborgarna har svårt att överblicka och värdera de risker som finns för allvarliga kriser eller brister i säkerheten i till exempel den infrastruktur som är avgörande för samhällets funktionsförmåga. Allmänheten har svårt att förbereda sig för egen del om offentliga organ inte gör riskbedömningar och förmedlar resultatet. Allvarliga kriser, som följer av till exempel brist på säkerhet i infrastruktur, kännetecknas också av att ett stort antal människor och företag samtidigt drabbas av konsekvenserna.

Statens roll är flerfaldig. Det åvilar staten att lösa uppgifterna att förebygga, förhindra och stödja i hanteringen av it-relaterade inci- denter som är av sådan omfattning att det inte är rimligt att begära att drabbade själva ska vidta fullständiga åtgärder. För att det ska

52

vara möjligt måste staten vara den som har det övergripande per- spektivet och ansvar för att korrekt omvärldsbevakning kontinuer- ligt tas fram. Staten har också rollen av att skapa ett organisatoriskt system för informationssäkerhetsarbetet som garanterar konti- nuitet och kvalitet avseende tillgänglighet, riktighet, konfiden- tialitet och spårbarhet.

3.5.1Uppgifter för statliga myndigheter

En uppgift för offentliga organ bör vara att upptäcka och identifiera säkerhetsbrister i samhällsviktig verksamhet. Det kan ske genom risk- och sårbarhetsanalyser för att upptäcka och identifiera förhållanden som kan utlösa allvarliga störningar. Informations-, utbildnings- och övningsinsatser som bygger på resultatet av sådana analyser är angelägna. Där så kan ske utan att riskera säkerheten bör stor öppenhet tillämpas beträffande resultatet av risk- och sårbarhets- analyser för att öka medvetenheten om eventuella allvarliga brister och göra det möjligt att vidta säkerhetsförbättrande åtgärder. Underlag för risk- och sårbarhetsanalyser måste även kunna omfattas av sekretess hos de myndigheter som de avser och som de lämnas ut till. Offentliga organ behöver också kunna bedriva en regelbunden säkerhetsinriktad revision i sin egen verksamhet. En framgångsrik säkerhetsrevision, inom myndigheter, förutsätter att ledningsnivån, som är ytterst ansvarig aktivt engagerar sig i arbetet.

Att ha en god informationssäkerhet innebär att kunna lösa såväl vardagliga problem som att ha en beredskap för att hantera allvar- liga, omfattande incidenter och kriser som möjligen även drabbar andra verksamheter än den egna. Ett företags egen, grundläggande vardagssäkerhet är ingen statlig eller offentlig angelägenhet. Att skydda de interna informationssystemen, såväl tekniskt som admi- nistrativt, och att ha en beredskap för att hantera incidenter är ett ansvar som åligger var och en som förvaltar ett system. Staten kan dock ha en roll i att stimulera till säkerhetsåtgärder, upprätthålla en lägesbild över it-incidenter och att öka medvetenheten om sårbar- heten i informationstekniken. Ett företag har sålunda ansvar för sina egna system och privatpersoner har ansvar för sina datorer. Det kan dock vara en svårighet för den enskilde att överblicka aktuella sårbarheter och tillgängliga säkerhetsåtgärder. För att

53

skapa adekvata risk- och sårbarhetsanalyser krävs en noggrann omvärldsanalys och en överblick över hotbilden som sträcker sig längre än enskilda system och användare. Detta är inget statiskt dokument som användare kan ta del av, utan en process som måste bedrivas med kontinuitet. Ansvaret för helhetsbilden över sam- hällets samlade it-relaterade hotbild är en uppgift som bör åvila offentliga organ. Staten står för resurser och en kontinuitet, som inte kan vare sig krävas eller garanteras av någon annan aktör. Det är, som argumenteras ovan, rimligt att ansvaret för den dagliga säkerheten åvilar varje användare, förvaltare eller ägare av informationsteknik. För att hantera allvarligare incidenter, som kan komma att påverka den nationella säkerheten eller nationella intressen, måste givetvis staten ha det övergripande ansvaret. Det handlar om att kunna skydda medborgarna mot brott i form av övergrepp och oegentligheter samt att säkerställa att samhällsviktig verksamhet bedrivs med höga krav på funktionalitet och säkerhet. Det gäller även när nationella intressen bevakas inom EU och i internationella organ. Staten måste också ha ansvar för spelreglerna inom informationssäkerhetsområdet. Mot bakgrund av sin över- blick över samhällets säkerhetssituation och den hotbild som kan kopplas till informationssäkerheten föreslogs i SOU 2005:42 att staten skapar en struktur för att hantera extraordinära händelser. Staten har också ett eget intresse för informationssäkerheten inom sitt verksamhets- och ansvarsområde, i sin roll som ansvarig för myndighetsutövning och som ägare av statliga företag.

3.5.2Ett långtgående statligt ansvar

I modern tid har det ofta hävdats att alla har ett ansvar för informa- tionssäkerheten i samhället, vilket inte sällan leder till att ansvaret för konkreta åtgärder höljs i ett dunkel – allas ansvar blir lätt ingens. Utredningen vill därför understryka det som skiljer statens ansvar från övriga samhällsaktörers, och som gör det betydligt tyngre. Det är endast staten – inte individer, näringsliv, kommuner eller landsting – som har iklätt sig folkrättsliga förpliktelser gente- mot resten av världssamfundet. Häri ingår t. ex. åtaganden under Europakonventionen för mänskliga rättigheter (EKMR). Det är den svenska staten som har tagit ansvar för att skydda dess med-

54

borgares liv, hälsa, säkerhet, integritet och trygghet. Det är samma stat som i första tilläggsprotokollet till EKMR har iklätt sig ansvaret för alla svenska fysiska och juridiska personers rätt att okränkt få njuta skydd för sin äganderätt. När staten omsätter dessa åtaganden i lagstiftning – såsom offentlighets- och sekretess- lagstiftningen, säkerhetsskyddslagstiftningen och den straffrättsliga lagstiftningen – har staten inte fullgjort sin skyldighet om den inte gör allt i dess makt för att se till att skyddet den via lagstiftningen utsträcker blir verkningsfullt. Häri ingår att både förebygga, upp- täcka och beivra allt som kan kränka de rättigheter som skapats genom åtagandena. Det är för att på ett tydligt sätt visa hur staten axlar detta ansvar som betänkandet föreslår att regeringen och dess myndigheter vidtar åtgärder för att skapa större säkerhet kring den information och de system för dess överföring som staten har ett omedelbart inflytande över, och det är också därför utredningen föreslår att regeringen antar en strategi för informations- och cybersäkerhet.

55

också på digitala tjänsters förmåga att motstå risker och sårbarheter och medarbetares förmåga att förstå och hantera dessa. Det handlar numera om säkerheten för ett större komplex, ett ekosystem. Synsättet har vidgats, från säkerhet i nät och system till att bli betydligt bredare. Vi har också gått från ett statiskt synsätt där det gäller att undvika risk (riskaversion) till dynamisk riskhantering.

De övergripande målen i nya nationella informationssäkerhets- strategier utgår ifrån att stödja ekonomisk och social utveckling samt att skydda samhällets funktionalitet. Fokus på säkerhet kring informationssystem och nätverk är således en del men inte tillräckligt. Hoten och sårbarheterna i den digitala världen har ökat. Säkerheten i det digitala samhället är inte enbart en teknisk ange- lägenhet utan omfattar många fler aspekter. Vi har alla ett gemen- samt ansvar, utifrån roller, verksamhet och sammanhang, för att skydda den digitala miljön mot hot och angrepp som leder till skada och minskad tillit. Ett dynamiskt riskbaserat synsätt utgår från alla de risker som möter aktörerna i ett föränderligt digitalt samhälle vid realiseringen av ekonomiska och sociala ambitioner. Som utredningen påpekat i kapitel 3 bör staten förbättra arbetet med sin del av ansvaret för dessa frågor.

4.2En kontinuerlig teknisk utveckling

När samhället blir allt mer beroende av tekniska system måste dessa vara tillräckligt säkra. I det moderna samhället blir konse- kvenserna av driftavbrott i informationssystem större och mer oöverskådliga. När en aktör med många kunder drabbas av drift- störningar kan konsekvenserna bli kännbara och oväntade på många olika håll samtidigt.

Utveckling av programvara och tjänster ställer höga krav på både beställarkompetens och säkerhetsmedvetande hos beställaren för att uppnå tillräcklig säkerhetsnivå. It-tjänster i moderna verk- samheter är ofta komplexa och utspridda både fysiskt och organisa- toriskt (outsourcing). Det får konsekvenser för säkerheten. Ris- kerna blir mer svårbedömda och svåröverskådliga.

Mer och mer information om oss själva och om våra tekniska lösningar blir allmänt tillgänglig. Frågorna om privatlivet aktuali- seras alltmer när större mängd och fler typer av data blir tillgängliga

58

i det moderna samhället. Den ökade delningen av information ger ökad osäkerhet om vem som äger data t.ex. vid lagring i moln- tjänster. Teknikutvecklingen gör teknikberoende författningar och regler kring elektroniskt informationsutbyte mellan myndigheter föråldrade, vilket försvårar både önskvärda systemintegrationer och skyddet för privatlivet.

Det pågår en ständig kapplöpning mellan angripare och för- svarare. Förekomsten av programvara som identifierar sårbarheter samt enkla och billiga tekniska hjälpmedel för angrepp har sänkt tröskeln och satt verktyg i händerna på fler angripare. Utöver de tekniska sårbarheterna är människan i systemen en svag länk, som med enkla medel kan luras att ladda ner skadlig kod eller uppge känsliga uppgifter. Det är inte fråga om en verksamhet ska bli hackad, utan när.

En väsentlig faktor är att säkerställa att utbildning kan matcha den snabba utveckling som kännetecknar området.

4.3Politiska mål för en digital tidsålder

It-politiken handlar om att använda och främja de möjligheter som digitaliseringen för med sig. Området omfattar bland annat regle- ring av it och elektronisk kommunikation, liksom nät- och in- formationssäkerhet, frekvenspolitik och frågor om internets styrning och förvaltning. I området ingår också frågor om tillgång till bredband och infrastruktur för it.

Regeringen (och dess myndigheter) har tagit fram ett antal stra- tegier, agendor och handlingsplaner som avser den digitala utveck- lingen och berör informationssäkerhetsområdet. Närmast redogörs för några av dessa som bedöms mest relevanta.

4.3.1Digital agenda

Den 29 september 2011 beslutade den dåvarande regeringen om en ny strategi för it-politiken, It i människans tjänst – en digital agenda för Sverige (dnr N2011/342/ITP), kallad den digitala agendan för Sverige. Den digitala agendan för Sverige är en bred och sammanhållen strategi för it-politiken där regeringen presenterar ambitioner och insatser som tar till vara de möjligheter som digitaliseringen ger. Målet för it-

59

politiken är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. I december 2011 beslutade riksdagen att tidigare it-politiska mål och delmål om tillväxt och kvalitet skulle upphävas och ersättas med det nya it-politiska målet (prop. 2011/12:1, utg.omr. 22, bet. 2011/12:TU1, rskr. 2011/12:87). När det gäller målen för tillgänglighet ska dessa fortsatt gälla (prop. 2009/10:193, bet. 2009/10:TU18, rskr. 2009/10:297).

Den digitala agendan för Sverige pekar ut behov av insatser inom följande fyra strategiska områden, där användarens perspektiv är utgångspunkten:

Lätt och säkert att använda.

Tjänster som skapar nytta.

Det behövs infrastruktur.

Informationsteknologins roll för samhällsutvecklingen.

Digitaliseringskommissionen

Digitaliseringskommissionens uppdrag är att verka för att det it- politiska målet i den digitala agendan uppnås och att regeringens ambitioner inom området fullföljs. Detta ska ske med hänsyn till det huvudsakliga ansvar som respektive myndighet och departement inom Regeringskansliet har för att vidta och följa upp åtgärder kopplade till målet för it-politiken. Hela uppdraget är formulerat i kommitté- direktiven. Kommissionen har i huvuduppdrag att:

utforma ett förslag till handlingsplan för genomförande av upp- draget att verka för det it-politiska målet,

analysera utvecklingen i förhållande till det it-politiska målet,

visa på digitaliseringens möjligheter,

kommunicera den digitala agendan och dess innehåll,

vara administrativt ansvarig för de s.k. signatärerna till den digitala agendan, och

samverka med olika aktörer i samhället för en ökad digitalisering.

Uppdraget ska slutredovisas senast den 31 december 2015.

60

4.3.2E-förvaltnings-strategi

I december 2012 presenterade regeringen sin e-förvaltningsstrategi Med medborgaren i centrum (dnr N2012/6402/ITP). Strategin för- tydligar och preciserar de mål och strategiska ställningstaganden som uttrycks i den förvaltningspolitiska propositionen (prop. 2009/10:175) och i den digitala agendan för Sverige. I e-förvalt- ningsstrategin beskrivs regeringens målsättningar för arbetet med att förstärka myndigheternas förmåga att samverka digitalt i för- valtningsgemensamma it-frågor. Ett delmål i e-förvaltningsstra- tegin är att statsförvaltningens informationssäkerhet ska förbättras.

E-delegationen

E-delegationen har med anledning av sitt uppdrag från regeringen tagit fram en strategi för informationssäkerhet i e-förvaltning. De strategiska mål som anges är följande.

Den enskilde känner tillit till att informationshantering i myn- digheters, landstings och kommuners e-tjänster sker på ett sådant sätt att personlig integritet förenas med hög tillgänglig- het, spårbarhet och riktighet.

All informationshantering i e-förvaltning sker med de säkerhets- åtgärder som definieras utifrån risk- och sårbarhetsanalys samt informationsklassning.

En god säkerhetskultur och gemensamt regelverk finns så att in- formation behandlas med samma krav på säkerhet oavsett vilken myndighet, vilket landsting eller vilken kommun som tillhanda- håller eller använder en e-tjänst.

Tydlig ansvarsmodell för styrning och uppföljning av informa- tionssäkerhet inom e-förvaltning är etablerad på nationell nivå.

Samhällsviktiga funktioner som stöds av e-tjänster upprätthålls även i krisläge. Detta förutsätter väl utvecklade metoder för kon- tinuitetsplanering.

Processer finns inom e-förvaltningsarbetet för att skapa en nationell informationssäkerhetsrelaterad lägesbild.

61

Informationssäkerhet i enlighet med informationens krav på skyddsnivå upprätthålls även då information kommuniceras till och från enskilda.

Delegationen består av 16 generaldirektörer från de mest it-inten- siva myndigheterna och en representant för Sveriges Kommuner och Landsting, SKL. Ärenden förbereds i en arbetsgrupp med främst it- och verksamhetschefer från myndigheterna och disku- teras sedan i två olika delegationsutskott innan beslut fattas. I varje delegationsutskott ingår flera generaldirektörer.

E-legitimationsnämnden

E-legitimationsnämndens uppgift är att stödja och samordna offentliga sektorns behov av säkra metoder för elektronisk identi- fiering och signering. Inom detta område finns en rad uppgifter som faller inom nämndens ansvar. E-legitimationsnämnden har den samordnande funktionen på området för e-legitimationer. E-legiti- mationsnämnden har också fattat ett inriktningsbeslut att jobba för att stödja även privat sektors användning av e-legitimationer, bl.a. genom att möjliggöra för registerhållning och upprättande av regler och avtal för privata aktörer. Nämnden har som uppgift att fungera som en svensk kontaktpunkt för internationell samverkan kring e- legitimationer och digital identifiering och signering, t.ex. vad gäller nationell teknisk standardisering. Det innebär också att delta i samverkan med EU:s organ på området.

4.3.3Bredbandsutbyggnad i Sverige

Det riksdagsbundna målet för tillgänglighet på it-området är att Sverige ska ha bredband i världsklass. Alla hushåll och företag bör ha goda möjligheter att använda sig av elektroniska samhällstjänster och service via bredband (prop. 2009/10:193).

Enligt målen i Bredbandsstrategi för Sverige (dnr N2009/8317/ITP) bör 90 procent av alla hushåll och företag ha tillgång till bredband om minst 100 Mbit/s 2020. Det är marknaden som står för utbyggnaden, men i områden där marknaden inte ser det vara lönsamt att bygga ut finns det behov av riktade insatser som sker med hjälp av stöd.

62

Enligt Post- och telestyrelsens (PTS) bredbandskartläggning för 2013 hade 57 procent av alla hushåll och företag tillgång till 100 Mbit/s. Fördelningen skiljer sig dock inom och utanför tätort och småort. Enligt samma kartläggning har 99 procent av alla fasta hushåll och företag tillgång till mobilt bredband via LTE (4G).

Bredbandsforum

Bredbandsforum är en viktig del av nämnd strategi. Forumet främjar samverkan kring bredbandsutbyggnad. Företag, myndig- heter och organisationer möts i Bredbandsforum för att tillsam- mans hitta lösningar som ökar tillgången till bredband i hela landet.

Bredbandsforum leds av en styrgrupp med ansvarig minister som ordförande. Bredbandsforums löpande verksamhet drivs av ett kansli som är placerat vid PTS och mandatet gäller t.o.m. 2015.

4.3.4Nationell eHälsa – strategin för tillgänglig och säker information inom vård och omsorg

E-hälsa är det sammantagna begreppet för digitala tjänster som stödjer utvecklingen inom vården och omsorgen. När informa- tionen är enhetlig och strukturerad på ett bra sätt går det lättare att dela den och att jämföra och följa upp vårdinsatser.

Sedan 2010 finns en nationell strategi för e-hälsa som leds av regeringen i samarbete med Socialstyrelsen, Sveriges Kommuner och Landsting, Vårdföretagarna, Famna (Riksorganisationen för vård och omsorg) och E-hälsomyndigheten. För att e-hälsotjänster ska bli effektiva verktyg i syfte att utveckla och effektivisera vården och omsorgen måste det finnas en samsyn och samordning mellan olika aktörer, och den nationella e-hälsostrategin är ett uttryck för denna samsyn mellan de centrala aktörerna på nationell nivå.

För att hålla samman genomförandet av strategin finns en högnivågrupp där stat, huvudmän och utförare av vård och omsorg finns representerade. Högnivågruppen fokuserar på strategiska frågeställningar och vägval med koppling till den nationella e-hälso- strategin och fungerar som ett organ för gemensamt ställnings- tagande för inriktningen av det fortsatta arbetet.

63

I detta sammanhang kan nämnas E-hälsokommitténs utred- ningsuppdrag (dir. 2013:125) att se över ändamålsenlighet och ansvarsfördelning när det gäller tillhandahållande och utformning av it-stöd för personal, vård- och omsorgsgivare och andra aktörer inom hälso- och sjukvård och socialtjänsten. Uppdraget ska slutredovisas i ett betänkande senast den 27 mars 2015.

4.4Hot och risker i en digitaliserad värld

Utvecklingen inom informations- och kommunikationsteknik området har skapat nya möjligheter för både medborgare, näringsliv och offentlig sektor. Tillgång till information, oavsett var man befinner sig och oavsett tid på dygnet, har ökat markant under senare år och har bidragit till ökad effektivitet och nytta inom många områden. Myntets baksida är dock att den förändrade kom- munikationsinfrastrukturen och sammankopplingen av informa- tionssystem medfört nya och förändrade typer av hot och risker.

Genom informationssystemens ömsesidiga beroenden och deras ökade funktionalitet har det även introducerats sårbarheter och öppnats för hot som delvis inte funnits tidigare. Informa- tionssystemens komplexitet innehåller sårbarheter bl.a. genom att de kan vara svåra att underhålla i den takt som krävs och som till- sammans med brister eller sårbarheter i kommunikationsinfra- strukturen kan skapa möjlighet för obehöriga att få åtkomst till informationssystemen. Olika verksamheters beroende av it-system innebär även att de blir sårbara för handhavandefel, tekniska fel och olyckor.

Många av samhällets tjänster bygger på och är beroende av in- formations- och kommunikationsteknik vilket bl.a. innebär att det inte längre är frivilligt för medborgarna om man vill använda tekniken eller inte. Det är snarare ett krav. För myndigheter och näringsliv är beroendet av tekniken ofta så stort att verksamheten riskerar att allvarligt störas eller stoppas om tillgång till vissa stöd- system saknas.

I princip alla, både privatpersoner, näringsliv och offentlig verk- samhet, som är anslutna mot internet tar en risk och är i dagsläget utsatta för risker eftersom det ständigt pågår angreppsförsök mot internetanslutna system. Denna typ av massangrepp är ofta mer

64

eller mindre slumpartade. Exempel på detta är den stora ökningen av bedrägerier och identitetsstölder som sker via internet mot i första hand privatpersoner. Andra typer av elektroniska angrepp är riktade mot viss verksamhet eller kategori av användare och kan vara av olika allvarlighetsgrad. En förändring är att system för industriella informations- och styrsystem, så kallade SCADA system (supervisory control and data acquisition), tidigare var leverantörsunika system som var isolerade från omvärlden. Dessa system blir alltmer indirekt eller direkt anslutna mot globala nät- verk vilket innebär att de kan bli utsatta för angrepp, se avsnitt 4.4.3. Här har sektorsansvariga myndigheter en viktig roll att fylla när det gäller statens möjlighet att påverka informationssäkerhets- arbetet inom respektive sektor.

Organisatoriska frågor påverkar också utvecklingen inom informationssäkerhetsområdet. Tidigare tog varje verksamhet själv hand om sina system för exempelvis löner, lagerhållning och faktu- rering. Numera lägger allt fler ut sådana funktioner på externa leve- rantörer. Samtidigt innebär utvecklingen med outsourcing också en koncentration av it-hanteringen som medför att konsekvenserna av såväl attacker som icke-antagonistiska driftavbrott blir svåröver- skådliga.

Att skydda sig mot it-incidenter är svårt. Den som ansvarar för ett it-system måste, trots att en stor mängd attacker kan avvärjas, utgå från att angrepp faktiskt lyckas. För att en angripare ska få ett fotfäste i ett nätverk som inte är ordentligt konfigurerat, krävs inte mer än att en användare öppnar en olämplig e-postbilaga eller webblänk. Därefter kan angriparen ta sig vidare i nätverket och etablera sig långvarigt.

Försvarsberedningen gör i promemorian Vägval i en globaliaserad värld (Ds 2013:33 s. 36–37) bedömningen att sårbarheterna som uppstår i dagens globala it-system utgör en av våra mest komplexa frågor. I promemorian utvecklas hoten och riskerna enligt följande.

Internet används för både civila och militära ändamål. Handel, teknik- överföring, nätsäkerhet, samhällsviktig verksamhet och olika former av it-brottslighet har kopplingar till säkerhets- och försvarspolitiska överväganden. Samtidigt riskerar vissa staters ökade krav på säkerhets- åtgärder i den digitala världen att leda till inskränkningar av mänskliga rättigheter och minskade informationsflöden, med stora politiska, sociala och ekonomiska konsekvenser som följd. Hot- och riskskalan inom dagens informationsteknologi spänner från mindre omfattande

65

risker för den enskilde medborgaren, till väl planerade och med pre- cision riktade s.k. cyberattacker mot vitala delar i samhällets funk- tionalitet. En it-incident är inte nödvändigtvis en antagonistisk vilje- yttring. Mer vanligt är olika former av driftrelaterade problem. En it- incident skulle dock kunna påverka funktionaliteten i ett samhälle utan att en stats suveränitet utmanas. Mer allvarliga intrång i samhällsviktig verksamhet och kritisk infrastruktur är de som syftar till att störa funktionaliteten, förändra, stjäla, eller manipulera information eller helt ta över ett informationssystem. En växande sårbarhet är samman- kopplingen via internet mellan olika typer av industriella styr- och kontrollsystem. Olika typer av störningar eller antagonistiska hot där styr- och kontrollsystem tas över av tredje part kan potentiellt hota både ett lands samhällsviktiga funktioner och ytterst dess suveränitet.

Utredningens bild av situationen inom informations- och cybersäker- hetsområdet överensstämmer med Försvarsberedningens beskrivning och vi anser att det är viktigt att ha en sådan helhetssyn när frågor om informationssäkerhet behandlas. Rapporten Informationssäkerhet – trender 2015 utgör tillsammans med den bild som förmedlats av utredningens referensgrupp det huvudsakliga underlaget för vår redogörelse. I nämnd rapport lämnar Myndigheten för samhällsskydd och beredskap (MSB) tillsammans med Försvarets radioanstalt, Polis- myndigheten och Försvarsmakten en samlad bild av situationen på in- formations- och cybersäkerhetsområdet. De deltagande myndig- heterna har identifierat sju trender dvs. stabila, långsiktiga förändringar på informationssäkerhetsområdet som bedöms påverka samhället i någon form. Inom vart och ett av områdena har tre huvudpunkter tagits upp vilka tillsammans ger en övergripande bild av situationen. Följande trendområden anges:

1.Strategiska beslut om informationssäkerhet tas alltid i en kon- text där säkerhet vägs mot andra värden.

2.It-tjänster i moderna verksamheter är ofta komplexa och ut- spridda både fysiskt och organisatoriskt.

3.Allt mer information om oss själva och om våra tekniska lös- ningar blir allmänt tillgänglig.

4.Informationssäkerhet har på senare år fått en växande säkerhets- politisk dimension.

5.I det moderna samhället har så gott som all brottslighet en it- koppling.

66

6.Det sker en ständig kapplöpning mellan angripare och för- svarare.

7.När samhället blir allt mer beroende av tekniska system måste dessa vara robusta.

Närmast utvecklas beskrivningen av den informationsrelaterade hotbilden. Beskrivningen tar upp hotens karaktär och ursprung samt dess möjliga konsekvenser för informationssäkerheten.

4.4.1Icke-antagonistiska hot

Många it-incidenter och störningar i informationssystem har icke- antagonistiska orsaker. En inte ovanlig anledning till sådana it- incidenter är fel i programvara eller hårdvara. Störningar i stöd- system som t.ex. elförsörjning och kommunikation genom väder- förhållanden och avgrävda kablar är också välkända orsaker till it- incidenter.

PTS tar årligen fram en risk- och sårbarhetsanalys (RSA) för sektorn elektronisk kommunikation. Analysen innehåller bedöm- ningar av hot som kan påverka elektroniska kommunikationer och de samhälleliga konsekvenserna av sådana hot. I RSA:n behandlas fem kategorier av hot:

För det första handlar det om tekniska fel och brister och bland dessa omnämns sex olika situationer: bortfall av tillgångar orsakade av hårdvarufel, kortvarig störning i elförsörjning med efterföljande fel i befintlig reservkraftsförsörjning, fel i programvara som styr tillgångar, oavsiktliga överbelastningar av tillgångar och förbindel- ser, överbelastning av mobila kommunikationsnät och förlust av förmåga att övervaka och styra informationstillgångar och nät- funktioner.

För det andra nämns naturligt förekommande hot, såsom klimatologiska fenomen, seismiska fenomen, vulkaniska fenomen, stormar, isstormar, snöstormar, värmeböljor och översvämning.

Den tredje hotkategorin utgörs av fysiska skador, med vilket menas vattenskador, damm, korrosion, förfrysning, avgrävning av förbindelser, föroreningar och andra händelser som förhindrar åtkomst till tillgångar.

67

Den fjärde formen av icke-antagonistiska hot handlar om olika former av fel eller brister i kritiska resurser och funktioner. Följande exempel tas upp: avbrott i elförsörjningen längre än befintliga reservkraftsystem, otillgänglighet av personal, manuell frånkoppling i elbristsituationer, förlust av luftkonditionering eller kylning, fel i användning av tillgångar, brister eller fel i funktioner för felavhjälpning, brister i förebyggande arbete, bristfälliga rutiner vid uppgradering av mjukvara och förekomst av brister i lednings- funktioner.

Den femte kategorin utgörs av elektromagnetiska och termiska hot i form av åska, rymdväder och termisk strålning.

PTS har konstaterat att de hot som 2012 gav upphov till flest antal allvarliga störningar var av icke-antagonistisk art, nämligen fel vid uppgradering av programvara, elavbrott, avgrävning av kabel, hårdvarufel och överbelastning.

Av de riskbedömningar som PTS redovisar i risk- och sårbar- hetsanalysen för 2012 följer att fel vid uppgradering av programvara kan anses vara en betydande risk då sådana fel kan leda till avbrott på nationell nivå. Ytterligare exempel på hot som PTS ser som allvarliga är elavbrott, stormar och andra väderfenomen som leder till omfattande elavbrott samt tillhörande problem i återställningsarbete. Hårdvarufel och överbelastningar av tekniska system är andra exempel på hot som bedöms kunna få negativ samhällelig påverkan.

Vårt ökade beroende av fungerande teknik medför att konsekvenserna av driftavbrott blir allt större och mer oöverskådliga. Tieto-haveriet i slutet av 2011 förblir ett exempel på hur centraliserad drift under olyckliga omständigheter plötsligt leder till oväntade och svårförutsägbara problem för stora och till synes orelaterade delar av samhället. Ovan refererad trendrapport från MSB m.fl. myndigheter påpekar att det är lätt att underskatta icke-antagonistiska hot som beror på våra egna tillkortakommanden såsom kortsiktighet eller slarv. Det anges att buggar i program- och hårdvara, kvalitetsbrister i programvaruutveckling och avsaknad av eller slarv i rutiner vid mjukvaruuppdateringar kan skapa stora problem. Vidare påtalas att ett problem med att ägna för lite uppmärksamhet åt vanliga driftavbrott är att det dessutom kan öppna för antagonistiska angrepp. I rapporten ges som exempel att en kvalificerad motståndare som vill angripa ett ledningssystem kan tänkas maskera sina angrepp som oregelbundet återkommande driftavbrott.

68

4.4.2Antagonistiska hot

När det gäller antagonistiska hot och förutsättningarna att verk- ställa dessa så har det skett stora förändringar. Tidigare, då många verksamheter byggde på manuell hantering och mer eller mindre isolerade it-system, var en antagonist tvungen att exponera sig i något läge av ett angrepp mot en verksamhet och dess information. Angrepp på distans var omöjligt eller mycket ovanligt. I dag är de flesta verksamheter direkt eller indirekt anslutna till internet eller andra globala nätverk vilket kan möjliggöra för en antagonist att angripa en verksamhet utan någon fysisk närvaro eller exponering. En försvårande faktor är att angreppen i princip kan utföras från vilken plats som helst i världen vilket tillsammans med anonymise- ringstjänster och jurisdiktionsfrågor gör det svårt att spåra och lagföra en angripare. Denna ”anonymitet”, verklig eller upplevd, gör sannolikt att vissa aktörer som aldrig skulle utföra ett rent fysiskt angrepp mot en verksamhet inte drar sig för att genomföra ett elektroniskt angrepp. Statsunderstödd olovlig underrättelse- inhämtning har också i och med detta fått en ny arena att operera från.

När det handlar om de mest kvalificerade hoten rör det sig huvudsakligen om angrepp från stater och statsunderstödda aktö- rer. Dessa är målinriktade och uthålliga och har stora resurser och hög kompetens. Syften för de statsunderstödda aktörerna är poli- tiska, militära och industrispionage. Andra allvarliga syften kan dock inte uteslutas. Det kan röra sig om förberedelser för att kunna skada svensk kritisk infrastruktur i ett framtida scenario. Det kan handla om politisk utpressning eller ske i samband med militär konflikt.

Det politiska spionaget påverkar vår förmåga att bedriva en självständig försvars-, säkerhets- och utrikespolitik. Industri- spionaget leder till att svensk kunskap och innovation stjäls samt att svenska företag inte kan konkurrera på lika villkor vid exem- pelvis upphandlingar.

Hotutövare finns på alla nivåer. Det kan vara allt från personer som utan egentligt brottsligt uppsåt testar sina kunskaper genom att olovligen försöka ta sig in i informationssystem, till stats- understödd olovlig underrättelseinhämtning. Det kan även förekomma kombinationer av dessa. Ytterligare en dimension av

69

antagonistiska hot är då angrepp mot informationssystem sker som ett led i en militär operation för att störa ut och påverka lednings- system eller andra system för att vinna militärtaktiska fördelar.

Spektrumet av aktörer är således brett och omfattar inte enbart stater och säkerhetstjänster med stora resurser utan även enskilda, fristående hackargrupperingar, religiöst-nationellt-etniskt-ideolo- giskt drivna aktivister till kriminella organisationer. Till detta till- kommer cyberspionage och grupperingar som tar betalt för att utföra skadlig verksamhet på nätet.

Programvara särskilt utvecklad för it-angrepp av olika slag blir allt lättare att få tag på. Att genomföra ett angrepp kräver i och med detta inte längre någon stor kompetens och tröskeln för angrepp sänks. Det finns en relativt osofistikerad kategori aktörer, vars ageranden ofta är enkla att spåra på internet. Det är personer som har laddat ned information och programvara från nätet om hur man kan gå till väga för att kompromettera konton och filer eller att initiera attacker mot datorsystem. Deras metoder går ut på att skanna av nätet och försöka finna sårbarheter varhelst de uppstår och därefter utnyttja dessa.

Andra angrepp utgår från ett ideologiskt eller politiskt betingat motiv och tar sig uttryck i överbelastningsattacker (DDos), lösen- ordsstöld, intrång i system och manipulering av hemsidor (Web Defacement). Detta kan vara ett störande inslag mot informations- system men kan i dagsläget inte sägas utgöra ett samhällsfarligt hot såtillvida de inte lierar sig med andra aktörer med andra syften.

Det förekommer också att en tredje part används som ombud. Det kan vara enskilda hackare eller grupper av sådana med mycket god kompetens. Bakom sådana aktörer kan främmande säkerhets- tjänster stå. Poängen med att använda en tredje part är att såväl anstiftare som motiv och intention bakom en operation kan hållas dolda. Förfarandet är intressant även för enskilda individer och företag som via ombud exempelvis kan stjäla känslig och samhälls- viktig information. Det är också möjligt att misskreditera specifika organisationer och personer genom att plantera illvilliga uppgifter riktat mot dessa.

Ett antagonistiskt hot som ofta förbises är det s.k. ”insider- hotet” som innebär att någon som deltar i verksamhetens bedri- vande eller av annan anledning har behörighet till verksamhetens

70

lokaler eller informationstillgångar missbrukar detta. Insiders är således inte bara de som är anställda i verksamheten.

I dag har ofta brottslighet en it-koppling. Mest uppenbart är det naturligtvis för brott som till sin natur kräver modern teknik, som datorbedrägeri och dataintrång. Men det moderna samhällets kom- munikationsvägar är sådana att även brott som häleri, bidragsfusk, kreditkortsbedrägerier och bluffakturor nästan per definition har stora elektroniska inslag. Ofta handlar det alltså om gamla brott i ny skepnad. Kriminellas aktiviteter riktas mot individer, organisa- tioner och finansiella institutioner. Internet har skapat en brotts- arena vars gränser inte sätts av vare sig geografi, nationell härkomst eller nationella lagar. Det förekommer bl.a. en kriminell internet- baserad tjänstesektor, ”crime-as-a-service”. Ett exempel är webb- hotell som ger kriminella personer säkerhet, driftsäkerhet och anonymitet. Ett annat exempel på it-brottslighet är användande av skadlig kod som installeras på offrets dator som sedan gör det möjligt för gärningsmannen att kryptera datorn alternativt delar av materialet i datorn. Gärningsmannen kräver sen målsäganden på pengar för att denne ska återfå kontrollen över datorn alternativt det material som har krypterats. Ett annat brott som har vuxit på senare år är identitetstölder. När en identitet har kapats kan förövaren snabbt ta lån och handla varor på internet.

Utredningen utgår från att i stort sett alla terroriströrelser – oavsett situation, geografisk plats och motiv – använder internet för att söka information, koordinera resurser och genomföra operationer av diverse slag. Denna typ av antagonister drar fördel av samhällets stora beroende av it-system. Olika slag av inbyggda sårbarheter i systemen utgör lockande mål för attacker. Internet utgör dock inte ett mål i sig självt, däremot kan kontroll och led- ningsfunktioner i viktig infrastruktur, de så kallade systemen för industriella informations- och styrsystem, vara målobjekt om de har direkt eller indirekt koppling mot internet. I tider av kris och konflikt mellan länder utgör angrepp mot kritiska informations- infrastrukturer det kanske allvarligaste hotet då effekter för samhället av kvalificerade angrepp blir avsevärda. Risken finns att stora delar av samhället skulle kunna lamslås.

För att skydda eller angripa såväl samhällsviktiga system som militära och säkerhetsmässiga strukturer inrättar många högtekno- logiska nationer särskilda informationskrigsförband. Sådana en-

71

heter hanterar hela spektrumet av operationer på internet och i de globala nätverken för verkan och skydd. Verksamheten omfattar aktiva skyddsåtgärder såsom hantering av incidenter i egna system, avlyssning av information respektive störning och förstöring av motståndares informations- och kommunikationssystem liksom vilseledning och psykologisk påverkan.

4.4.3Särskilt om hot mot industriella informations- och styrsystem m.m.

Samhällsviktig verksamhet som t.ex. att producera och distribuera elektricitet, att leverera rent dricksvatten till kranen, att framställa for- donsbränsle och att styra kollektivtrafiken är några exempel på verksamheter som blivit beroende av att datorer fungerar. Tidigare nämnda industriella informations- och styrsystem används inom dessa verksamheter. Regeringen angav i propositionen Samhällets säkerhet och beredskap (prop. 2001/02:158 s. 104) att det är angeläget att samhällsviktiga system har en hög säkerhetsnivå och att insatserna för informationssäkerheten ökas. I den digitala agendan It i människans tjänst – en digital agenda för Sverige (s. 40) nämnder regeringen också behovet av att arbeta vidare med säkerheten i informations- och styrsystem i samhällsviktig verksamhet.

När det gäller industriella informations- och styrsystem så kan information bestå av styrsignaler som reglerar spänningsnivåer i stora transformatorstationer, eller datorer som skickar instruktioner till dammluckor. Felaktiga eller uteblivna signaler kan i värsta fall leda till dödsfall eller fysisk förstörelse. Till skillnad från information som hanteras på kontor och som bearbetas av människor så arbetar de industriella informations- och styrsystemen ofta autonomt. En operatör talar om för systemet vad det ska uppnå, men systemet får sedan, med hjälp av avancerad matematik, räkna ut exakt hur detta ska realiseras. Styrsystemen förväntas ofta vara i drift dygnet runt under årets alla dagar utan avbrott.

Myndigheten för samhällsskydd och beredskap tog 2013 fram dokumentet Handlingsplan för samhällsviktig verksamhet. I handlingsplanen pekas elva sektorer ut som särskilt viktiga. Fyra av dessa elva sektorer är mycket beroende av industriella informa- tions- och styrsystem. Dessa sektorer är energiförsörjning (exem- pelvis produktion och distribution av elektricitet, fjärrvärme och

72

bränslen samt hantering av avfall), handel och industri (exempelvis produktion av farliga ämnen), kommunalteknisk försörjning (exempelvis vatten- och avloppsproduktion) samt transporter (exempelvis spårbunden trafik, vägtrafik, sjöfart och hamnar, flygtrafik och flygledning, kollektivtrafik). Även handlingsplanen för samhällets informationssäkerhet lyfter fram industriella in- formations- och styrsystem som ett centralt område att höja in- formationssäkerheten inom (se avsnitt 7.3.2)

Störningar i någon av nämnda verksamheter kan leda till stora påfrestningar i samhället. I och med att dessa verksamheter har ett starkt inbyggt beroende av industriella informations- och styr- system som ofta saknar tillräckligt it-skydd är detta allvarligt. Det är också viktigt att tänka på att störningar i en samhällssektor ofta påverkar andra delar av samhället. Om en region till exempel blir utan elektricitet leder det i förlängningen till att dricksvattenför- sörjning och transporter påverkas.

Industriella informations- och styrsystem återfinns också i system utanför nämnda fyra samhällssektorer. Fastighetsautoma- tion är ett exempel på tillämpningar som på senare år har utsatts för angrepp. Exempelvis har angripare kunnat stänga av värmen i fastigheter som haft sina system åtkomliga från internet. Även om den typen av attacker kan tyckas harmlösa är det allvarligt att styr- system är så lättåtkomliga. Dessutom kan störningar i fastighets- automation få sekundära effekter – genom att till exempel stänga av kylan i en serverhall kan tillgången till viktig information försvåras eftersom en server behöver kyla för att fungera. På samma sätt är det möjligt att komma åt larm- och övervakningssystem om dessa inte är ordentligt skyddade.

73

SOU 2015:23

stående intressen finns möjlighet enligt kapitlets andra paragraf att göra vissa inskränkningar i rätten. Paragrafen anger som mot- stående intressen som kan motivera en begränsning av allmän- hetens rätt att ta del av allmänna handlingar: rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation, rikets centrala finanspolitik, penningpolitik eller valutapolitik, myndighets verksamhet för inspektion, kontroll eller annan tillsyn, intresset att förebygga eller beivra brott, det allmännas ekonomiska intresse, skyddet för enskilds personliga eller ekonomiska för- hållanden, intresset att bevara djur- eller växtart. Begränsning av handlingsoffentligheten ska anges i särskild lag och måste finna stöd i någon av nämnda punkter. Regelverket ger med andra ord en uttrycklig ram för både krav på tillgänglighet och konfidentialitet rörande allmänna handlingar. Därtill innebär TF:s regler i förläng- ningen även krav på riktighet och spårbarhet hos informationen. Bristande informationssäkerhet som leder till att myndigheternas information förvanskas hindrar allmänhetens faktiska möjlighet att ta del av allmänna handlingar.

5.2.2Offentlighets- och sekretesslagen

Offentlighets- och sekretesslagen (2009:400) (OSL) innehåller bestämmelser om hantering av allmänna handlingar samt vilka uppgifter som får sekretessbeläggas. Det är inte bara de uttryckliga kraven på sekretess, det vill säga konfidentialitetskrav, som är av intresse. Även reglerna om god offentlighetsstruktur – det vill säga möjligheten att hålla offentliga handlingar tillgängliga är av bety- delse ur ett informationssäkerhetsperspektiv.

Kapitel 15 reglerar sekretess med hänsyn till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer. I 1 § regleras utrikessekretessen. Vidare finns två nyligen införda bestämmelser om sekretess i det internationella samarbetet, 1 a § och utrikessekretess vid direktåtkomst, 1 b §. I 2 § regleras försvarssekretessen. Föremålet för försvars- sekretessen är uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret. Det omfattar därmed mer än enbart uppgifter som rör det militära försvaret. För att undvika ett

76

SOU 2015:23

onödigt hemlighållande av uppgifter som rör de många verk- samhetsområden och företeelser som försvarssekretessen omfattar har bestämmelsen utformats med ett rakt skaderekvisit. Samhällets åtgärder för landets försvar ska således inte undandras offentlighet annat än då det verkligen är påkallat. Sekretessen gäller därför bara om det kan antas att ett röjande av uppgifter skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet.

Kapitel 18 reglerar sekretess till skydd främst för intresset av att förebygga eller beivra brott. I 1 § finns regler till skydd för det all- männas brottsförebyggande och brottsbeivrande verksamhet. Sek- retess gäller enligt andra paragrafen för uppgift som hänför sig till sådan verksamhet som avses i 2 kap. 7 § 1 eller 5 kap. 1 § 1 polis- datalagen (2010:361). Enligt det förstnämnda lagrummet får person- uppgifter behandlas när det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet. Det polisarbete som åsyftas är i första hand underrättelseverksamhet. Bestämmelser som syftar till informationssäkerhet finns i 8 och 9 §§. 8 § innehåller bestäm- melser om sekretess för olika brottsförebyggande åtgärder som i huvudsak hänför sig till annan verksamhet än polisens. Vissa av åtgärderna syftar endast indirekt till att förebygga brott. I bestäm- melsen är föremålet för sekretessen uppgifter som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd i vissa angivna avseenden. I 9 § regleras sekretessen för uppgifter som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod. Sekretessen enligt paragrafens första punkt är begränsad till uppgifter om chiffer m.m. som avser att slå vakt om sekretessen i allmän verksamhet. Chiffret ska alltså ha till syfte att underlätta befordran eller användning av uppgifter som omfattas av sekretess. För detta ändamål används bl.a. kryptering. Det kan naturligtvis förekomma att chifferspråk används för meddelanden som inte innehåller uppgifter som omfattas av sekretess eller för vilka sekre- tess efter en tid inte längre gäller. Också sådana meddelanden i klartext kan hållas hemliga så att chiffret inte kan forceras.

77

SOU 2015:23

5.2.3Personuppgiftslagen

Skyddet för personuppgifter är av stor betydelse för myndig- heternas informationshantering. Personuppgiftslagen (PUL) inne- håller både bestämmelser om hur behandlingen av personuppgifter och känsliga personuppgifter får ske (med direkt betydelse för kraven på tillgänglighet, riktighet, konfidentialitet och spårbarhet) samt hur säkerhetsarbetet ska utformas. Av 1 § framgår att lagens syfte är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

Säkerhet är en viktig del av skyddet för den personliga inte- griteten. Den som behandlar personuppgifter med hjälp av in- formationsteknik måste därför skydda uppgifterna. Genom att i lagen begränsa och styra de sätt på vilka man får hantera person- uppgifter ges informationen ett särskilt skydd. Lagen innehåller även regler om vilka tekniska och organisatoriska säkerhetsåtgärder den som hanterar personuppgifter ska vidta.

Enligt 31 § PUL ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Vilka åtgärder som bör väljas är enligt lagrummet beroende av de tekniska möjligheter som finns, kostnaden för åtgärderna, vilka risker som finns och hur pass käns- liga de behandlade personuppgifterna är. Till tekniska åtgärder räk- nas exempelvis brandväggar, krypteringsfunktioner och antivirus, medan organisatoriska åtgärder handlar om säkerhetsarbetets orga- nisation, rutiner, instruktioner och policyer. Generellt gäller att ju känsligare personuppgifterna är eller ju fler personuppgifter som hanteras, desto mer omfattande bör säkerhetsåtgärderna vara.

Ansvarig för säkerheten är enligt lagen den personuppgifts- ansvarige, det vill säga den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av person- uppgifter. Den personuppgiftsansvarige kan överlåta den faktiska behandlingen av personuppgifter till någon annan som då blir att betrakta som personuppgiftsbiträde. Ett sådant biträde får behandla uppgifter enbart i enlighet med instruktioner från den personupp- giftsansvarige. Den personuppgiftsansvarige undgår inte ansvar för eventuella fel som personuppgiftsbiträdet gör.

I 9 § PUL redovisas grundläggande krav på behandlingen av personuppgifter. I paragrafen anges bl.a. att den personuppgifts-

78

SOU 2015:23

ansvarige ska se till att personuppgifter behandlas bara om det är lagligt, att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål och att upp- gifterna därefter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Vidare anges det att den personuppgiftsansvarige ska se till att de person- uppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen. Av stadgandet framgår vidare att inte heller fler uppgifter än vad som är nödvändigt med hänsyn till ändamålet får behandlas och att alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.

Datainspektionen har som tillsynsmyndighet över tillämpningen av PUL utfärdat allmänna råd, lämnat vägledande uttalanden, med- delat beslut m.m. med bäring på informationssäkerhet.

5.2.4Registerförfattningar

Registerlagstiftningen rör specifika verksamheter och kan innehålla förhållandevis detaljerade krav på informationshanteringen. I detta sammanhang kan nämnas polisdatalagen (2010:361), kustbevak- ningsdatalagen (2012:145), lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksam- het och militära säkerhetstjänst och lagen (2007:259) om behand- ling av personuppgifter i Försvarets radioanstalts försvarsunder- rättelse- och utvecklingsverksamhet. Registerförfattningarnas huvud- sakliga syfte är att reglera inrättandet och användningen av viktigare register eller andra personuppgiftssamlingar inom den offentliga sektorn. Den bakomliggande tanken är att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt genom lag (prop. 1990/91:60 s. 50, KU 1990/91:11 s. 11, se även prop. 1997/98:44 s. 41). Som exempel kan nämnas lagen (2003:763) om behandling av personuppgifter inom socialförsäk- ringens administration vilken bland annat uttryckligen reglerar vilka som har behörighet att få tillgång till socialförsäkringsdata- basen.

79

SOU 2015:23

Registerförfattningarna reglerar myndigheternas behandling av personuppgifter och är tänkta att ge ett anpassat integritetsskydd vid myndighetens hantering av personuppgifter då behov finns att avvika från eller komplettera det integritetsskydd som person- uppgiftslagen annars ger. Arbetet med att uppnå ett sådant integri- tetsskydd som avses i författningarna innebär i praktiken att myn- digheterna behöver arbeta systematiskt med informationssäkerhet.

Vissa författningar har enbart bestämmelser om myndigheters informationsbehandling. Andra författningar har en del bestäm- melser om informationsbehandling, men också om annat. Ytter- ligare en grupp författningar handlar i huvudsak om något annat, men har någon enstaka inskjuten regel om hantering av informa- tion.

5.2.5Arkivlagstiftningen

Allmänna handlingar är handlingar (oavsett medium) som har in- kommit till eller upprättats hos en myndighet och som förvaras hos myndigheten. De allmänna handlingarna bildar enligt 3 § arkivlagen (1990:782) myndigheternas arkiv. Utgångspunkten är att allmänna handlingar ska bevaras och att gallring endast får ske under vissa förutsättningar, ett krav som ställer uttryckliga krav på tillgänglig- heten hos informationen.

I arkivlagen (1990:782) och arkivförordningen (1991:446) ges bestämmelser om myndigheternas och vissa andra organs arkiv samt om arkivmyndigheterna. Krav på skydd av allmänna handlingar ställs på myndigheter genom arkivlagen och Riksarkivets föreskrifter.

Av 4 § arkivlagen (1990:782) framgår att varje myndighet ska svara för vården av sitt arkiv. I arkivvården ingår enligt 6 § bl.a. att skydda arkivet mot förstörelse, skada, tillgrepp och obehörig åtkomst.

Riksarkivet har genom arkivförordningen fått mandat att med- dela föreskrifter för statliga myndigheter om bl.a. skydd av arkivet. Av Riksarkivets medieoberoende föreskrifter RA-FS 1991:1 fram- går att handlingar ska under hela bevarandetiden hanteras, förvaras och skyddas så att den fysiska och logiska kvaliteten bibehålls. RA- FS 2013:4 innehåller tekniska krav för arkivlokaler. Av före- skrifterna framgår att handlingar som tillhör myndighetens arkiv ska förvaras i arkivlokal som ger skydd mot vatten och skadlig fukt,

80

SOU 2015:23

brand, brandgas och skadlig upphettning, skadlig klimat- och miljöpåverkan, samt skadegörelse, tillgrepp och obehörig åtkomst. Vid val av lokalens placering ska myndigheten undersöka om den omgivande miljön är lämplig med hänsyn till dessa skyddskrav. Riskbedömningar måste därför göras av miljön både inom och utanför byggnaden.

Vidare har Riksarkivet utfärdat föreskrifter för elektroniska handlingar som innehåller bestämmelser som handlar bl.a. om skydd av information. Föreskrifterna ställer krav på myndigheter att upprätta en strategi för bevarande av elektroniska handlingar (RA-FS 2009:1, 3 kap). Strategin ska innehålla de åtgärder myn- digheten avser att vidta för att säkerställa bevarande av elektroniska handlingar, dvs. hur handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras. Detta tydlig- gör att det inte bara är mänskliga misstag, tekniska fel eller antago- nistiska hot som kan hindra tillgänglighet. Även en sådan företeelse som att tekniken för informationshantering utvecklas över tid ställer krav på informationssäkerhetsarbetet.

Föreskrifterna om elektroniska handlingar innehåller även krav på att upprätta en plan för informationssäkerhet (RA-FS 2009:1, 6 kap). Planen går ut på att myndigheter ska skapa rutiner för att skydda handlingarna från skada, manipulation, obehörig åtkomst och stöld med utgångspunkt i standarden SS-ISO/IEC 27001:2006 (LIS). Detta kan ske genom bl.a. behörighetskontollsystem, logg- system, skydd mot skadlig kod, säkerhetskopiering etc.

5.2.6Lagen om elektronisk kommunikation

I lagen (2003:389) om elektronisk kommunikation (LEK) finns bestämmelser om driftsäkerhet som gäller för alla som tillhanda- håller elektroniska kommunikationsnät eller -tjänster. I 5 kap. 6 b § LEK framgår följande:

Den som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att verksamheten uppfyller rimliga krav på driftsäkerhet. De åtgärder som vidtas ska vara ägnade att skapa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för störningar och avbrott. Regeringen eller den myndighet som

81

SOU 2015:23

regeringen bestämmer får meddela föreskrifter om på vilket sätt skyldigheten ska fullgöras och om undantag från skyldigheten.

Syftet med bestämmelserna är att bidra till effektiva och säkra elek- troniska kommunikationer samt att skapa en grundläggande säker- hetsnivå för dessa. Med driftsäkerhet avses främst upprätthållande av funktion och tillgänglighet, men även uthållighet vid extraordi- nära händelser i fredstid.

Post- och telestyrelsen (PTS) är tillsynsmyndighet över lagen om elektronisk kommunikation och har tagit fram allmänna råd som förtydligar bestämmelserna och utgör PTS rekommendationer om hur säkerhetsarbete kan bedrivas för att uppfylla kraven i LEK. Säkerhetsarbete innebär i detta fall att förebygga avbrott och stör- ningar genom att genomföra riskanalyser och riskhantering, planera för hantering av avbrott och störningar samt följa upp dessa när de inträffar. PTS har även tagit fram förskrifter som ställer krav på hur operatörerna ska skydda sina kunders uppgifter och kom- munikation

Av 6 kap. 3, 3 a och 4 §§ LEK framgår bl.a. att den som till- handahåller en allmänt tillgänglig elektronisk kommunikations- tjänst ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlade uppgifter skyddas. Den som till- handahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgär- derna ska vara ägnade att säkerställa en säkerhetsnivå, som med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Med integritetsincident avses enligt 6 kap. 1 § LEK en händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster. Den som är skyldig att lagra uppgifter enligt LEK ska vidta de särskilda tekniska och organisa- toriska åtgärder som behövs för att skydda de lagrade uppgifterna vid behandling. Om det vid tillhandhållandet av en allmänt tillgäng- lig elektronisk kommunikationstjänst finns särskild risk för bris- tande skydd av behandlade uppgifter, ska den som tillhandahåller tjänsten informera abonnenten om risken.

I 6 kap. 5–10 a §§ LEK regleras behandling av trafikuppgifter och lokaliseringsuppgifter som inte är trafikuppgifter. Med trafik-

82

SOU 2015:23

uppgift förstås uppgift som behandlas i syfte att befordra ett elek- troniskt meddelande via ett elektroniskt kommunikationsnät eller som behövs för att fakturera detta meddelande. Huvudregeln är att det åligger anmälningspliktig tillhandahållare av allmänt kommuni- kationsnät eller allmänt tillgängliga elektroniska kommunikations- tjänster att utplåna eller avidentifiera dessa uppgifter när de inte längre behövs för att överföra ett elektroniskt meddelande. 6 kap. 8 § LEK reglerar undantag från operatörernas skyldighet att ut- plåna och avidentifiera trafikuppgifter när de inte längre behövs för att överföra ett elektroniskt meddelande.

Lokaliseringsuppgift definieras enligt 1 kap. 7 § LEK som upp- gift som behandlas i ett elektroniskt kommunikationsnät eller av en elektronisk kommunikationstjänst och som visar den geografiska positionen för terminalutrusningen för en användare. Lokalise- ringsuppgifter som inte är trafikuppgifter, till exempel uppgifter om position från satellit, som rör användare som är fysiska perso- ner eller abonnenter får behandlas endast sedan de avidentifierats eller användaren eller abonnenten gett sitt samtycke till behand- lingen. Även i detta fall ska information lämnas om vilka uppgifter som kommer att behandlas och syfte med mera.

I 6 kap. 15–16 §§ LEK finns bestämmelser om abonnentförteck- ning och hur dessa får behandlas och 16 a § reglerar lagring av trafikuppgifter för brottsbekämpande ändamål.

I 5 kap. 1–6 §§ LEK regleras samhällsomfattande tjänster, med vilka avses det minimiutbud av tjänster av viss angiven kvalitet, vilka ska vara tillgängliga för alla användare till ett överkomligt pris. Bestämmelser om vilka de samhällsomfattande tjänsterna är finns i 5 kap. 1 § första stycket LEK. Till dessa tjänster hör enligt första och andra punkterna att uppfylla rimliga krav på anslutning till ett allmänt kommunikationsnät i en fast nätanslutningspunkt och på tillgång till allmänt tillgängliga telefonitjänster i en fast nätanslut- ningspunkt.

I 5 kap. 6 a–11 §§ LEK regleras de allmänna skyldigheter som gäller bl.a. för den som tillhandahåller ett allmänt kommunikations- nät eller en allmänt tillgänglig telefonitjänst (prop. 2010/11:115 s. 169). Av 5 kap. 6 b § LEK framgår att den som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster ska vidta lämpliga tekniska och organisa- toriska åtgärder för att säkerställa att verksamheten uppfyller

83

SOU 2015:23

rimliga krav på driftsäkerhet. De åtgärder som vidtas ska vara ägnade att skapa en säkerhetsnivå som, med beaktande av tillgäng- lig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för störningar och avbrott.

Enligt 6 kap. 18 § LEK får uppgifter lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnen- ten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Syftet med bestämmelsen är att förhindra att internetanvändare spåras utan sitt samtycke. Detta genom att förbjuda att data sparas på, eller hämtas från, använ- darens terminalutrustning, till exempel dator, mobiltelefon eller surfplatta. Bestämmelsen benämns ibland cookie-lagen.

5.3Reglering av säkerhetsskydd, krishantering och informationssäkerhetsarbete

5.3.1Säkerhetsskyddslagstiftningen

I säkerhetsskyddslagen (1996:627) finns bestämmelser om säker- hetsskydd, med vilket enligt 6 § avses skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, skydd i andra fall av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400)(OSL) och som rör rikets säkerhet, och skydd mot terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott (terrorlagen), även om brotten inte hotar rikets säkerhet. Säkerhetsskyddsbestämmelserna reglerar hanteringen av sekretessbelagda uppgifter som rör rikets säkerhet (hemliga upp- gifter) så att dess inte röjs, ändras eller förstörs.

Av 7 § säkerhetsskyddslagen framgår att säkerhetsskyddet ska förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs (informations- säkerhet) att obehöriga får tillträde till platser där de kan få tillgång till sådana uppgifter eller där verksamhet som har betydelse för rikets säkerhet bedrivs (tillträdesbegränsning) och att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som är av betydelse för rikets säkerhet (säkerhetsprövning). Säkerhetsskyddet ska även i övrigt förebygga terrorism.

Lagen gäller enligt 1 § för staten, kommunerna och landstingen, liksom för bolag, föreningar och stiftelser som dessa har ett rätts-

84

SOU 2015:23

ligt bestämmande inflytande över, samt för enskilda, om verksam- heten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism.

När staten, kommuner eller landsting ska begära in anbud eller träffa avtal om upphandling, där det förekommer uppgifter som omfattas av sekretess, ska enligt 8 § ett säkerhetsskyddsavtal träffas med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet.

Enligt 9 § ska vid utformningen av informationssäkerheten behovet av skydd för automatisk informationsbehandling beaktas särskilt.

Av 11 § framgår att säkerhetsprövning ska göras innan en person genom anställning eller på annat sätt deltar i verksamhet som är av betydelse för rikets säkerhet eller för skyddet mot terro- rism. Prövningen ska klarlägga om personen kan antas vara lojal mot de intressen som skyddas i lagen och i övrigt pålitlig från säkerhetssynpunkt. Säkerhetsprövningen ska omfatta registerkon- troll och särskild personutredning. Anställning eller annat del- tagande i verksamhet som innebär att en anställd får tillgång till sekretessbelagda uppgifter som har betydelse för rikets säkerhet placeras i så kallade säkerhetsklasser. Det finns tre olika säkerhets- klasser och vilken av dessa en anställning eller annat deltagande i verksamheten placeras i beror på i vilken utsträckning den anställde får del av sekretessbelagda uppgifter som rör rikets säkerhet. När det gäller anställningar som har placerats i säkerhetsklass ska säker- hetsprövningen även omfatta registerkontroll, dvs. att uppgifter hämtas från olika polisregister, och i klass 1 och 2 även särskild personutredning. Registerkontroll kan också göras till skydd mot terrorism.

I säkerhetsskyddsförordningen (1996:633) finns närmare bestäm- melser om säkerhetsskydd. Enligt 5 § ska myndigheter och andra som förordningen gäller för, undersöka vilka uppgifter i deras verksamhet som ska hållas hemliga med hänsyn till rikets säkerhet och vilka anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism. Resultatet av denna under- sökning (säkerhetsanalys) ska dokumenteras. Vidare ska en säkerhets- skyddschef utses enligt 6 §. Säkerhetsskyddschefen ska utöva kontroll över säkerhetsskyddet och vara direkt underställd myndighetens chef.

85

SOU 2015:23

I 9–13 §§ finns också bestämmelser om informationssäkerhet som bl.a. rör inventering samt försändelse av handlingar som om- fattas av sekretess som rör rikets säkerhet (hemliga handlingar). Av 12 § framgår att innan en myndighet inrättar ett register, som ska föras med hjälp av automatisk databehandling och som kan förut- ses komma att innehålla sådana uppgifter att utlämnandet av dem var för sig eller sammanställda kan skada totalförsvaret, ska myn- digheten samråda med Försvarsmakten och, om uppgifternas natur ger anledning till det, Säkerhetspolisen. I fråga om uppgifter av betydelse för rikets säkerhet i övrigt ska i motsvarande fall samråd ske med Säkerhetspolisen. Ett system, som av flera personer ska användas för automatisk informationsbehandling av hemliga uppgifter, ska vara försett med funktioner för behörighetskontroll och registrering av händelser i systemet som är av betydelse för säkerheten. Systemet får inte tas i drift förrän det från säkerhets- synpunkt har godkänts av den för vars verksamhet systemet in- rättas.

Enligt 13 § ska myndigheter och andra som förordningen gäller för, innan de sänder hemliga uppgifter i ett datanät utanför sin kon- troll, förvissa sig om att det för uppgifterna där finns en fullgod informationssäkerhet. Hemliga uppgifter får krypteras endast med kryptosystem som har godkänts av Försvarsmakten.

Säkerhetspolisen och Försvarsmakten har enligt 39 § säkerhets- skyddsförordningen ansvaret för att kontrollera säkerhetsskyddet hos myndigheterna. Säkerhetspolisen och Försvarsmakten har vidare, med stöd av 43–44 §§ förordningen meddelat verkställig- hetsföreskrifter för respektive tillsynsområde. I föreskrifterna finns bestämmelser bl.a. om informationssäkerhet.

5.3.2Lagen (1992:1403) om totalförsvar och höjd beredskap

Lagen (1992:1403) om totalförsvar och höjd beredskap reglerar hur beredskapen i Sverige kan höjas. Enligt 1 § är totalförsvar verksam- het som behövs för att förbereda Sverige för krig. I 2 § förskrivs dock att totalförsvarsresurserna ska utformas så att de även kan stärka samhällets förmåga att förebygga och hantera svåra påfrest- ningar på samhället. Enligt lagmotiven ska dessa resurser kunna ställas till förfogande även för samhällsverksamhet i fred.

86

SOU 2015:23

Totalförsvaret ska inte ses som en organisation utan som en verksamhet som, utöver det militära försvaret, innefattar det civila försvaret som till alla delar betecknar och består av olika sam- hällsorgans verksamhet i syfte att kunna stärka samhällets förmåga att förebygga och hantera svåra nationella påfrestningar i fred. När dessa resurser tas i anspråk i sådan verksamhet är det alltså inte fråga om totalförsvarsverksamhet utan det handlar om att totalför- svarsresurser ställs till förfogande för det samhällsorgan som nor- malt har att hantera en viss situation. Syftet är således att på ett effektivare sätt utnyttja samhällets samlade resurser och inte att utvidga vad som avses med totalförsvar(prop. 1996/97:4 s. 60).

5.3.3Förordningen (2006:942) om krisberedskap och höjd beredskap och MSB:s föreskrifter om statliga myndigheters informationssäkerhet

Förordningen (2006:942) om krisberedskap och höjd beredskap innehåller föreskrifter som dels reglerar krisberedskapen, dels ansluter till vad som föreskrivs i lagen (1992:1403) om totalförsvar och höjd beredskap. Bestämmelserna i förordningen syftar till att statliga myndigheter genom sin verksamhet ska minska sårbarheten i samhället och utveckla en god förmåga att hantera sina uppgifter under fredstida krissituationer och höjd beredskap (1 §). I förord- ningen regleras myndigheternas krisberedskap, dvs. förmågan att genom utbildning, övning och andra åtgärder samt genom den organisation och de strukturer som skapas före, under och efter en kris förebygga, motstå och hantera krissituationer, och säkra kryp- tografiska funktioner (4 §).

Enligt 9 § ska samtliga myndigheter genomföra en riskanalys en gång per år. Syftet är enligt 9 § i förordningen att stärka sin egen och samhällets krisberedskap. Myndigheter med särskilt ansvar för krisberedskapen enligt förordningen ska lämna en redovisning baserad på riskanalysen till Regeringskansliet och Myndigheten för samhällsskydd och beredskap (MSB).

Enligt 18 § förordningen om krisberedskap och höjd beredskap ska de myndigheter som har ett ansvar att vidta de förberedelser som krävs inom respektive ansvarsområde vid höjd beredskap (bevak- ningsansvariga myndigheter) bl.a. planera för att kunna anpassa verksamheten inför en förändrad säkerhetspolitisk situation.

87

SOU 2015:23

Av 30 a § KBF framgår att varje myndighet ansvarar för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. Därvid ska behovet av säkra lednings- system särskilt beaktas. Ett ledningssystem anger i sig inte några säkerhetskrav för verksamheten utan det ger stöd för ledningens och organisationens systematiska arbete med ständig förbättring av informationssäkerheten. Även om kravet finns i krisberedskaps- förordningen avser det inte endast krisberedskapsarbete, utan gäller generellt för informationssäkerhetsarbete i statsförvaltningen eftersom ett väl fungerande krisberedskapsarbete underlättas av en stabil och säker informationshantering.

I förordningen anges vidare vilka myndigheter som ska ha säkra kryptografiska funktioner.

Med stöd av 34 § nämnda förordning har MSB utfärdat före- skrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10). Enligt föreskrifterna ska en myndighet upprätthålla säkerhet i sin informationshantering och som ett led i detta arbete tillämpa ett ledningssystem för informationssäkerhet. Detta inne- bär enligt föreskrifterna att myndigheterna ska ha en informations- säkerhetspolicy, ska ha någon eller några som leder och samordnar informationssäkerhetsarbetet, ska klassificera sin information, ska genomföra risk- och sårbarhetsanalyser och utifrån dessa hantera risker samt ska dokumentera granskningar och vidtagna säkerhets- åtgärder av större betydelse. Föreskrifterna ställer även krav på att ledningen löpande informerar sig om arbetet med informations- säkerhet samt att ledningen minst en gång per år följer upp och ut- värderar informationssäkerhetsarbetet på myndigheten.

MSB har med stöd av förordningen även utfärdat föreskrifter om civila myndigheters kryptoberedskap (MSBFS 2009:11)och om statliga myndigheters risk- och sårbarhetsanalyser (MSBFS 2010:7).

5.3.4Förordningen om statliga myndigheters riskhantering, m.m.

Förordningen (1995:1300) om statliga myndigheters riskhantering ställer också krav på att myndigheterna genomför en riskanalys. Förordningen riktas dock endast till myndigheter under regeringen och har till syfte att identifiera sådana risker som kan innebära

88

SOU 2015:23

skador eller förluster för staten. Efter att ha värderat riskerna och uppskattat vilka kostnader riskerna medför ska myndigheten vidta lämpliga åtgärder för att begränsa riskerna och förebygga skador eller förluster. Förordningen (2007:603) om intern styrning och kontroll innebär krav på ordning och reda i informationsflödet och därmed informationssäkerhet.

5.3.5Lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap

Lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap syftar till att kommuner och landsting ska minska sårbarheten i sin verk- samhet och ha en god förmåga att hantera krissituationer i fred. Kommuner och landsting ska därigenom också uppnå en grund- läggande förmåga till civilt försvar. Enligt 1 kap. 4 § definieras en extraordinär händelse som en sådan händelse som avviker från det normala, innebär en allvarlig störning eller överhängande risk för en allvarlig störning i viktiga samhällsfunktioner och kräver skynd- samma insatser av en kommun eller ett landsting. Lagen föreskriver att det i kommuner och landsting ska finnas en nämnd för att fullgöra uppgifter under extraordinära händelser i fredstid (krisled- ningsnämnd). Kommuner och landsting ska för varje ny mandat- period anta en plan för hur extraordinära händelser ska hanteras.

Enligt 2 kap. 1 § ska kommunerna och landstingen ta fram en risk- och sårbarhetsanalys till grund för planen för hur de ska hantera extraordinära händelser. Vidare anges i bestämmelsen att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om risk- och sårbarhetsanalyser samt planer för hantering av extraordinära händelser. Med stöd av 12 § förord- ningen (2006:637) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap har MSB utfärdat föreskrifter om vad som ska ingå i en risk- och sårbarhetsanalys (MSBFS 2015:5 för kommuner och MSBFS 2015:4 för landsting). Bland de olika förhållanden som kommunen ska kunna redogöra för finns krav på rapportering av hur god förmåga kommunen har att skydda informationens konfidentialitet, till- gänglighet och riktighet.

89

SOU 2015:23

5.4Specifik reglering av brottsbekämpande och underrättelsemyndigheters arbete på området

Detta avsnitt handlar om en del av de verktyg som de brotts- bekämpande myndigheterna och underrättelsemyndigheterna har för att bekämpa it-brottslighet respektive att stödja svensk utrikes-, säkerhets- och försvarspolitik samt i övrigt för kartläggning av yttre hot mot landet.

Utredning av it-relaterad brottslighet ger kunskaper om bl.a. tillvägagångssätt och aktörer, vilket är av stort värde vid utform- ningen av olika skyddsåtgärder. En effektiv lagföring av it-relaterad brottslighet är viktig för att minska benägenheten att begå sådana brott.

5.4.127 kap. rättegångsbalken

I 27 kap. rättegångsbalken (RB) tas upp bestämmelser om flera olika straffprocessuella tvångsmedel som kan sättas in under en förundersökning, nämligen beslag, avspärrning av brottsplats m.m. hemlig avlyssning av elektronisk kommunikation, hemlig övervak- ning av elektronisk kommunikation och hemlig kameraöver- vakning. Datorbehandlingsbara uppgifter kan säkras även genom beslag. Enligt 27 kap. 1 § första stycket rättegångsbalken får bl.a. föremål som skäligen kan antas ha betydelse för utredning om brott tas i beslag (s.k. bevisbeslag). Beslag kan endast avse lösa saker. Eftersom elektronisk information har en bärare, exempelvis en dator, en mobiltelefon eller ett fickminne, som är att betrakta som ett föremål och därför kan tas i beslag är beslagsreglerna tillämpliga även på elektroniska uppgifter.

Frågan om behovet av nya hemliga tvångsmedel i den digitala miljön lyftes fram av Beredningen för rättsväsendets utveckling i betänkandet Tillgång till elektronisk kommunikation i brotts- utredningar m.m. (SOU 2005:38). Utredningen tog upp frågan om införandet av tvångsmedlet hemlig dataavläsning. Hemlig dataavläs- ning förklarades innebära att information i informationssystem i hemlighet avläses med hjälp av program eller annat tekniskt hjälp- medel vid förundersökning i brottmål. Utredningen om vissa hem- liga tvångsmedel återkom till frågan i betänkandet Hemliga tvångs- medel mot allvarliga brott (SOU 2012:44).

90

SOU 2015:23

5.4.2Lagen om försvarsunderrättelseverksamhet

Lagen (2000:130) om försvarsunderrättelseverksamhet innehåller bestämmelser om försvarsunderrättelseverksamhetens uppgifter och arbetsformer. Där anges att verksamheten ska bedrivas bl.a. för att kartlägga yttre militära hot mot landet samt att verksamheten inte får avse uppgifter som enligt lagar eller andra föreskrifter ligger inom ramen för polisens och andra myndigheters brottsbekäm- pande och brottsförebyggande arbete. I lagen anges att verksam- heten ska bedrivas av Försvarsmakten och de andra myndigheter som regeringen bestämmer. I lagen finns också bestämmelser om utlandssamarbete i underrättelsefrågor och om insyn i under- rättelseverksamheten.

5.4.3Lagen om signalspaning i försvarsunderrättelseverksamhet

Lagen (2008:717) om signalspaning i försvarsunderrättelseverksam- het omfattar signalspaning för försvarsunderrättelseändamål. Lagen innehåller regler till skydd för den enskildes integritet. Signal- spaning sker efter inriktning från regeringen, Regeringskansliet, Försvarsmakten, Säkerhetspolisen och Nationella operativa avdel- ningen i Polismyndigheten. I lagen finns regler om när uppgifter ska förstöras, hur rapportering ska ske, och om användning av sökbegrepp. Signalspaning får endast avse kommunikation som är relevant för verksamheten, och signalspaningsmyndigheten ska ansöka om tillstånd för signalspaning hos Försvarsunderrättelse- domstolen.

5.5Brottsbalken

Rättslig reglering bidrar till informationssäkerhet genom att ställa krav på att vidta åtgärder men även genom att kriminalisera vissa handlingar. Många brott, som bedrägeri, begås i dag ofta med hjälp av it. Ett brott med uttrycklig koppling till it är dataintrång. Enligt 4 kap. 9 c § brottsbalken (BrB) är det förbjudet att olovligen bereda sig tillgång till en uppgift som är avsedd för automatiserad behand- ling eller att olovligen ändra, utplåna, blockera eller i register föra

91

SOU 2015:23

in en sådan uppgift. Det är heller inte tillåtet att olovligen allvarligt störa eller hindra användningen av en sådan uppgift. Den som bryter mot detta kan dömas för dataintrång till böter eller fängelse i högst två år eller för grovt dataintrång till fängelse mellan sex månader och sex år. Sedan den 1 juli 2014 är försök eller för- beredelse till dataintrång som om det fullbordats inte skulle ha varit att anse som ringa, eller grovt dataintrång straffbart (4 kap. 10 § BrB).

I 4 kap. 8 § BrB finns bestämmelser om brytande av post- och telehemlighet. Den som olovligen bereder sig tillgång till ett med- delande, som ett post- eller telebefordringsföretag förmedlar som postförsändelse eller i ett elektroniskt kommunikationsnät, döms för brytande av post- eller telehemlighet till böter eller fängelse i högst två år.

I 9 kap. 1 § andra stycket BrB finns bestämmelser om s.k. dator- bedrägeri. Gärningsmannen ska genom att lämna oriktig eller ofull- ständig uppgift, genom att ändra i program eller upptagning eller på annat sätt olovligen påverka resultatet av en automatisk informa- tionsbehandling eller liknande automatisk process, så att det inne- bär vinning för honom och skada för någon annan.

Allvarliga angrepp som riktas mot egendom som har avsevärd betydelse för rikets försvar, folkförsörjning, rättsskipning, förvalt- ning eller upprättande av allmän ordning och säkerhet kan vara att bedöma som sabotage eller grovt sabotage enligt 13 kap. 4 och 5 §§ BrB.

92

ansvar och roll utifrån dagens uppgifter och uppdrag på in- formationssäkerhetsområdet. I kapitlet lämnas en sådan beskriv- ning.

6.1Myndigheter i samverkansgruppen för informationssäkerhet (SAMFI)

6.1.1Myndigheten för samhällsskydd och beredskap (MSB)

Myndigheten för samhällsskydd och beredskap (MSB) har enligt 1 § förordningen (2008:1002) med instruktion för Myndigheten för samhällskydd och beredskap ansvar för frågor om skydd mot olyckor, krisberedskap och civilt försvar, i den utsträckning inte någon annan myndighet har ansvaret. Ansvaret avser åtgärder före, under och efter en olycka eller en kris. Myndigheten ska

utveckla och stödja samhällets beredskap mot olyckor och kriser och vara pådrivande i arbetet med förebyggande och sårbarhets- reducerande åtgärder,

arbeta med samordning mellan berörda aktörer i samhället för att förebygga och hantera olyckor och kriser,

bidra till att minska konsekvenser av olyckor och kriser,

följa upp och utvärdera samhällets krisberedskapsarbete, och

se till att utbildning och övningar kommer till stånd inom myn- dighetens ansvarsområde.

När det gäller förebyggande och förberedande arbete ska myndig- heten enligt 2 § i samverkan med myndigheter, kommuner, lands- ting, organisationer och företag identifiera och analysera sådana sårbarheter, hot och risker i samhället som kan anses vara särskilt allvarliga. Myndigheten ska vidare tillsammans med de ansvariga myndigheterna genomföra en övergripande planering av åtgärder som bör vidtas. Myndigheten ska värdera, sammanställa och rap- portera resultatet av arbetet till regeringen.

Myndigheten ska enligt 5 § se till att utbildning inom krisbered- skapsområdet tillhandahålls. Myndigheten ska därtill genomföra övningar inom sitt ansvarsområde. Myndigheten ska vid behov

94

stödja Regeringskansliet i utbildnings- och övningsverksamheten inom krisberedskapsområdet. Vidare ska myndigheten se till att ledningsmetoder, stödsystem och materiel för krishantering ut- vecklas och tillhandahålls.

När det gäller samordning och stöd vid olyckor och kriser ska myndigheten enligt 7 § ha förmågan att bistå med stödresurser i samband med allvarliga olyckor och kriser samt stödja samord- ningen av berörda myndigheters åtgärder vid en kris. Myndigheten ska se till att berörda aktörer vid en kris får tillfälle att

samordna krishanteringsåtgärderna,

samordna information till allmänhet och media,

effektivt använda samhällets samlade resurser och internatio- nella förstärkningsresurser, och

samordna stödet till centrala, regionala och lokala organ i fråga om information och lägesbilder.

Myndigheten ska ha förmågan att bistå Regeringskansliet med underlag och information i samband med allvarliga olyckor och kriser.

För uppföljning, utvärdering och lärande ska myndigheten enligt 10 § såväl områdesvis som på en övergripande samhällsnivå följa upp och utvärdera krisberedskapen och bedöma om vidtagna åtgärder fått önskad effekt. Vidare ska myndigheten kunna göra en samlad bedömning av olycksutvecklingen och det säkerhetsarbete som är kopplat till den.

Myndigheten ska enligt 11 § se till att erfarenheter tas till vara från inträffade olyckor och kriser. Till stöd för detta ska myndig- heten tillhandahålla tvärsektoriella och samlade bilder och bedöm- ningar samt utveckla kompetens och metodik inom området som tillgodoser nationella, regionala och lokala behov.

Avseende informationssäkerhet ska myndigheten enligt 11 a § stödja och samordna arbetet med samhället informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Myndigheten ska även rapportera till regeringen om förhållanden på informationssäkerhetsområdet som

95

kan leda till behov av åtgärder inom olika nivåer och områden i samhället. Myndigheten ska vidare svara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera it-incidenter. Myndigheten ska i detta arbete

agera skyndsamt vid inträffade it-incidenter genom att sprida information samt vid behov arbeta med samordning av åtgärder och medverka i arbetet som krävs för att avhjälpa eller lindra effekter av det inträffade,

samverka med myndigheter med särskilda uppgifter inom in- formationssäkerhetsområdet, och

vara Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder samt utveckla samarbetet och informationsutbytet med dessa.

Myndigheten ska enligt 17 a § vara Sveriges kontaktpunkt för skydd av europeisk kritisk infrastruktur enligt artikel 10.1 i rådets direktiv 2008/114/EG av den 8 december 2008 om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedöm- ning av behovet att stärka skyddet av denna.

Vid avdelningen för risk- och sårbarhetsreducerande arbete bedrivs myndighetens verksamhet för samhällets informations- och cybersäkerhet. Enheten för systematiskt informationssäkerhets- arbete lämnar råd och stöd om det förebyggande arbetet inom området till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Enheten lämnar även råd och stöd till andra statliga myndigheter, kommuner och landsting i arbetet med risk- och sårbarhetsanalyser. Enheten ansvarar för webb- platsen Informationssäkerhet.se. Enheten svarar vidare för att analysera och bedöma omvärldsutvecklingen inom sitt område.

Enheten för cybersäkerhet och skydd av kritisk informations- infrastruktur lämnar råd och stöd till tekniskt förebyggande arbete inom området, med fokus på kritisk informationsinfrastruktur, till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Enheten ansvarar för myndighetens arbete med säkra kryptografiska funktioner för det civila samhället och för arbetet med myndighetens uppdrag vad avser eter- och medieberedskap. Enheten leder och samordnar arbetet med informationssäkerhet i myndig-

96

hetens externa kommunikationstjänster, som WIS, SGSI och RAKEL, för ledning och samverkan så att användarnas behov och krav tillgodoses. Enheten ansvarar vidare för att analysera och bedöma omvärldsutvecklingen inom sitt område.

Enheten för operativ cybersäkerhet och it-incidenthantering upprätthåller Nationell operativ samverkansfunktion för inform- ations- och cybersäkerhet (NOS). Personal från enheterna för systematiskt informationssäkerhetsarbete och för cybersäkerhet och skydd av kritisk informationsinfrastruktur ingår i NOS. Som en del i arbetet med att stödja samhället med att hantera och före- bygga it-incidenter ska enheten upprätthålla funktionen CERT-SE, som är Sveriges del av det internationella nätverket av Computer Emergency Response Teams (CERT). Enheten är den operativa kontaktpunkten gentemot motsvarande funktioner i andra länder. Enheten säkerställer att myndighetens verksamhet vad gäller sam- hällets informations- och cybersäkerhet i sin helhet kan agera skyndsamt vid inträffade it-incidenter genom att sprida in- formation samt vid behov samordna åtgärder och medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade. Enheten har ett ansvar för att operativt stödja arbetet med it-säker- heten i de av myndighetens externa lednings- och stödsystem som kräver det. Enheten ansvarar vidare för webbplatsen cert.se. En- heten ansvarar även för att analysera och bedöma omvärldsutveck- lingen inom sitt område. I det ingår bl.a. löpande omvärldsbevak- ning, att producera och delge anpassad information till relevanta aktörer.

Vid avdelningen för risk- och sårbarhetsreducerande arbete finns också Enheten för skydd av samhällsviktig verksamhet. En- hetens huvudsakliga uppgifter är att stödja och utveckla samhällets förmåga att förebygga och mildra effekterna av naturolyckor och stödja arbetet med säkerhet i samhällsplanering, anpassning till ett förändrat klimat och skydd av kritisk infrastruktur samt att höja förmågan att motstå störningar i samhällsviktig verksamhet. En- heten har ansvar för stöd och utveckling av samhällets systematiska säkerhets- och krishanteringsarbete särskilt i fråga om metodstöd till risk- och sårbarhetsanalyser, kontinuitetshantering och kritiska beroenden enligt förordningen (2006:942) om krisberedskap och höjd beredskap och lagen (2006:544) om kommuners och lands-

97

tings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap.

I arbetet med säkra kryptografiska funktioner för det civila samhället samordnar MSB arbetet med civila myndigheters signal- skyddsverksamhet och arbete med säkra kryptografiska funktioner. I denna uppgift ingår att vara kravställare gentemot Förvarsmakten vid utveckling av nya system. MSB är bemyndigad av regeringen i enlighet med 31§ förordningen (2006:942) om krisberedskap och höjd beredskap att besluta om vilka myndigheter som ska kunna kommunicera med kryptografiska funktioner, utöver de som regeringen har pekat ut i krisberedskapsförordningen. Dessutom kan MSB besluta om och ingå avtal med de kommuner, organisationer och företag som ska tilldelas säkra kryptografiska funktioner. MSB fattar årligen ett 30-tal tilldelningsbeslut och har tilldelat cirka 160 olika organisationer säkra kryptografiska funktioner, till dessa räknas myndigheter, landsting, kommuner och privata företag. MSB:s beslut effektueras av Försvarets radioanstalt. Vidare föreskriver MSB genom MSBFS 2009:11 om den signalskyddsberedskap som gäller för de myndigheter och organisationer som tilldelats signalskydd.

MSB deltar i internationella samarbeten som rör informations- och cybersäkerhet, t.ex. informationsdelning och samarbete mellan nordiska nationella CERT-funktioner och samarbete inom nätverket European Governmental CERTs (EGC), samt internationell samverkan kring säkerhet i it-produkter, säkerhet i industriella informations- och styrsystem, cybersäkerhet i finansiella tjänster och standardisering kopplad till informationssäkerhet (ISO). MSB deltar i EU-kommissionens expertgrupp European forum for member states (EFMS) och den privat-offentliga plattformen för nät- och informationssäkerhet (NIS-plattformen) samt representerar Sverige i Natos planeringsgrupp för industriella resurser och kommunikation (IRCSG).

6.1.2Post- och telestyrelsen (PTS)

Post- och telestyrelsen (PTS) är tillsynsmyndighet för lagen (2003:389) om elektronisk kommunikation, se avsnitt 5.2.6. Av 1 § förordningen (2007:951) med instruktion för Post- och tele-

98

styrelsen framgår att PTS är en förvaltningsmyndighet med ett samlat ansvar inom postområdet och området för elektronisk kom- munikation. Myndigheten ska verka för att målen inom politiken för informationssamhället uppnås. Myndigheten ska även, inom ramen för sina uppgifter enligt lagen (2003:389) om elektronisk kommunikation, verka för att de mål som anges i denna lag uppnås.

Myndigheten ska beskriva och analysera utveckling och resultat inom sitt ansvarsområde och rapportera detta till regeringen. Myndigheten ska särskilt uppmärksamma och analysera eventuella problem inom området och, när det är påkallat, vidta eller lämna förslag till lämpliga åtgärder. Myndigheten ska vidare regelbundet göra strategiska analyser inom området för elektronisk kom- munikation och redovisa den långsiktiga inriktningen av myndig- hetens tillämpning av regleringen på området.

Det anges även i 4 § i förordningen (2007:951) med instruktion för Post- och tele-styrelsen att inom området för elektronisk kommunikation har PTS bl.a. till uppgift att

främja tillgången till säkra och effektiva elektroniska kommuni- kationer, inbegripet att tillse att samhällsomfattande tjänster finns tillgängliga,

följa utvecklingen när det gäller säkerhet vid elektronisk kom- munikation,

pröva frågor om tillstånd och skyldigheter och utöva tillsyn enligt lagen (2003:389) om elektronisk kommunikation,

meddela föreskrifter enligt förordningen (2003:396) om elek- tronisk kommunikation,

utöva tillsyn enligt lagen (2000:832) om kvalificerade elektro- niska signaturer samt meddela föreskrifter enligt förordningen (2000:833) om kvalificerade elektroniska signaturer,

utöva tillsyn enligt lagen (2006:24) om nationella toppdomäner för Sverige på internet samt meddela föreskrifter enligt förord- ningen (2006:25) om nationella toppdomäner för Sverige på internet,

verka för robusta elektroniska kommunikationer och minska risken för störningar, inbegripet att upphandla förstärknings- åtgärder, samt verka för ökad krishanteringsförmåga,

99

verka för ökad nät- och informationssäkerhet i fråga om elek- tronisk kommunikation, genom samverkan med myndigheter som har särskilda uppgifter inom informationssäkerhets-, säker- hetsskydds- och integritetsskyddsområdet samt med andra berörda aktörer, och

lämna råd och stöd till myndigheter, kommuner och landsting samt företag, organisationer och andra enskilda i frågor om nätsäkerhet (4 § 1, 7, 8, 9, 13, 14, 15, 16 och 17).

I 7 § förordningen anges att beträffande EU-arbetet och annat internationellt samarbete ska PTS

vara det behöriga organ som får begära råd och stöd enligt Europaparlamentets och rådets förordning (EG) nr 526/2013 av den 21 maj 2013 om Europiska unionens byrå för nät- och in- formationssäkerhet (ENISA) och om upphävande av förord- ningen (EG) nr 460/2004, och

delta i arbetet i internationella organ i frågor som rör internets förvaltning genom att vid behov företräda Sverige i dessa organ och genom att bereda ärenden med intressenter på nationell nivå.

Av förordningen framgår även att PTS genom upphandling får stärka samhällets beredskap mot allvarliga störningar av elektronisk kommunikation i fred (8 § 4). Det anges också i 11 § förordningen att PTS ska verka för att företag och andra enskilda har förtroende för samt förmåga och möjlighet att använda it och elektroniska kommunikationstjänster (11 § andra stycket).

I lagen (2003:89) om elektronisk kommunikation (LEK) finns bl.a. bestämmelser om säkerhet som gäller för den som tillhanda- håller ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst. Av 5 kap. 6 c § LEK framgår att den som tillhandahåller ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst utan onödigt dröjsmål ska rapportera störningar eller avbrott av betydande om- fattning till PTS.

Det är Nätsäkerhetsavdelningen vid PTS som ansvarar för arbetet med robust kommunikation samt frågor kring säkerhet och integritet.

100

PTS arbetar med informationssäkerhet i enlighet med sin instruktion och lagen om elektronisk kommunikation. PTS har bl.a. tagit fram en vägledning för användare om hur man kan anskaffa robust kommunikation. Råd lämnas bl.a. om hur man ställer adekvata krav vid anskaffningen och hur man identifierar kritiska funktioner genom en risk- och sårbarhetsanalys.

6.1.3Försvarsmakten

Försvarsmaktens övergripande ansvar är att upprätthålla och utveckla ett militärt försvar (1 § förordningen [2007:1266] med instruktion för Försvarsmakten). Enligt 2 § i instruktionen ska myndigheten kunna försvara Sverige och främja svensk säkerhet genom insatser nationellt och internationellt. Vidare ska Försvars- makten med myndighetens befintliga förmåga och resurser kunna lämna stöd till civil verksamhet. När det gäller stöd till civil verk- samhet m.m. se vidare lagen (2006:343) om Försvarsmaktens stöd till polisen vid terrorismbekämpning, förordningen (2006:344) om Försvarsmaktens stöd till polisen vid terrorismbekämpning och förordningen (2002:375) om Försvarsmakens stöd till civil verk- samhet.

Bland Försvarsmaktens verksamhetsuppgifter ingår att bedriva omvärldsbevakning och kunna upptäcka och identifiera yttre hot mot Sverige, svenska intressen och de insatser som Sverige deltar i (3 § första stycket förordningen med instruktion för Försvarsmakten).

Försvarsmakten ska även bedriva försvarsunderrättelseverksam- het, leda och bedriva militär säkerhetstjänst, leda och samordna signalskyddstjänsten, inklusive arbetet med säkra kryptografiska funktioner som är avsedda att skydda skyddsvärd information, samt biträda Regeringskansliet i frågor som rör kryptoverksamhet och annan signalskyddsverksamhet (3 b § 1−4 förordningen med instruktion för Försvarsmakten).

Försvarsmakten får meddela övriga statliga myndigheter före- skrifter i frågor om signalskyddstjänsten inklusive säkra kryptogra- fiska funktioner inom totalförsvaret, förutom i fråga om verk- ställigheten av 33 § förordningen (2006:942) om krisberedskap och höjd beredskap (33 § förordningen med instruktion för Försvars- makten).

101

Enligt 1 § lagen (2000:130) om försvarsunderrättelseverksamhet ska försvarsunderrättelseverksamhet bedrivas till stöd för svensk utrikes-, säkerhets- och försvarspolitik samt i övrigt för kartlägg- ning av yttre hot mot landet. Verksamheten får endast avse ut- ländska förhållanden. I lagen finns bestämmelser om försvarsunder- rättelseverksamhetens inriktning. Inom försvarsunderrättelse- verksamheten får det inte vidtas åtgärder som syftar till att lösa uppgifter som enligt lagar eller andra föreskrifter ligger inom ramen för polisens och andra myndigheters brottsbekämpande och brottsförebyggande verksamhet (4 §).

Försvarsmakten har ansvar för kontroll av säkerhetsskyddet samt utfärdande av föreskrifter om verkställighet av säkerhetsskyddslagen för sitt tillsynsområde (39 § 1 säkerhetsskyddsförordningen [1996:633]).

Försvarsmakten ansvarar för skydd av sina egna lednings- och informationssystem.

Försvarsmakten ställer för strategiska kommunikationer opera- tiva krav vad avser robusthet, redundans, skydd och drift. Försvars- makten har genom Försvarets Telenät (FTN) lång erfarenhet av drift av ledningssystem. Utöver Försvarsmakten använder bl.a. av Riksdagen, Regeringskansliet, Polismyndigheten, FMV, FOI och FRA, MSB och PTS Försvarets Telenät.

Försvarsmakten har påbörjat förberedelser för inrättandet av krigsförbandet Försvarsmaktens telekommunikations- och in- formationssystemförband (FMTIS) i insatsorganisationen. FMTIS ska ha hand om drift och övervakning av infrastruktur, drift av centrala it-system och etablerande av nya system. Förbandet ska bestå av Försvarsmaktens telenät- och markteleförband, Försvarsmaktens logistik och operativ ledningsteknisk bataljon. IT-försvarsförbandet med FM-CERT har hand om försvar av Försvarsmaktens it- infrastruktur och stödjer också systemdrift. Teknikkontor lednings- system tar fram systemlösningar. Vid Ledningsregementet med telekrigsbataljonen finns rörliga ledningsförband för telekrigföring.

Juridiska staben vid Högkvarteret gjorde 2012 en studie beträf- fande de rättsliga förutsättningarna för Försvarsmaktens verksam- het i cyberområdet. Syftet med studien var att konkretisera cyber- området och skapa beslutsunderlag för att bättre inrikta förmåge- utvecklingen och öka effekten och rationaliteten inom Försvars- makten på cyberområdet.

102

Försvarsmakten deltar i internationella samarbeten som rör cyberförsvar och cybersäkerhet, t.ex. informationsdelning och samarbete mellan nordiska militära CERT:ar, multinationellt forum för harmonisering av planeringsmodeller inom cyberförsvar och förmågeutveckling enligt NATO standarder.

Militära underrättelse- och säkerhetstjänsten (Must) vid Hög- kvarteret leder och ansvarar för Försvarsmaktens verksamhets- område underrättelse- och säkerhetstjänst. När det gäller under- rättelsetjänst hämtar Must på uppdrag av regeringen och ÖB in information som analyseras och delges som underrättelserapporter. Den militära säkerhetstjänsten bedrivs inom tre huvudområden. Säkerhetsunderrättelsetjänsten upptäcker, klarlägger och motverkar säkerhetshot som riktas mot Försvarsmakten och dess intressen inom och utom landet. Säkerhetsskyddstjänsten förebygger bl.a. att uppgifter som omfattas av sekretess och som rör rikets säkerhet inte röjs, och att endast personer som är pålitliga utifrån säkerhets- synpunkt deltar i verksamhet som har betydelse för rikets säkerhet. Bland säkerhetsskyddsåtgärder ingår att lämna stöd till andra myn- digheter inom området säkra kommunikationer. Signalskydds- tjänsten förhindrar att obehöriga får insyn i, eller kan påverka totalförsvarets telekommunikationer. Signalskydd omfattar även användning av krypton i it-system. Vid Musts Säkerhetskontor finns Säkerhetsunderrättelseavdelningen, Säkerhetsskyddsavdel- ningen och Avdelningen för Krypto och IT-säkerhet. Sistnämnda avdelning producerar och distribuerar kryptonycklar, aktiva kort och certifikat till totalförsvaret samt utövar rollen som CA (Certi- fication Authority). FMV upphandlar efter beställning från För- svarsmakten system (signalskydd och krypto) av industrin. Avdel- ningen deltar i projekten med kravställning, verifiering, bedömning och godkännande av signalskyddssystem och Krypto för Skydds- värda Uppgifter (KSU). Avdelningen stödjer Utrikesdepartementet i rollen som National Security Authority avseende NCSA (National Communications Security Authority) och tecknar med bemyndigande från Regeringskansliet COMSEC-avtal med andra länder och deltar i EU CSC(IA), avseende NDA (National Distri- bution Authority) med ansvar för kryptonyckelproduktion, distri- bution och materieluppföljning samt TA (Tempest Authority) med bedömningar och deltagande i EU ITTF. Avdelningen har vidare funktionen som AQUA (Appropriately Qualified Authority) dvs.

103

godkänd andrapartsevaluerare av krypto inom EU. Avdelningen bidrar också med stöd vid export av svenska kryptosystem på upp- drag av Försvarsexportmyndigheten. Det finns i dag fem svenska kryptosystem som godkänts av Europeiska unionens råd.

När det gäller it-säkerhet kravställer, verifierar, bedömer och godkänner avdelningen it-säkerhetsprodukter/mekanismer för För- svarsmakten. Avdelningen har hand om inriktningen av Försvars- maktens utveckling av it-system med avseende på it-säkerhet och signalskydd. Vidare stödjer avdelningen utvecklingen av it-system. Avdelningen bedömer och godkänner säkerhetsfunktioner för För- svarsmaktens it-system. Avdelningen har tagit fram Krav på Säkra Funktioner (KSF), i vilka specificeras de it-säkerhetsegenskaper som it-system i Försvarsmakten ska ha.

Vid Försvarsmakten finns också Försvarsmaktens underrättelse- och säkerhetscentrum (FMUndSäkC). Centret tillgodoser För- svarsmaktens behov av kompetens, metodik, och teknik inom underrättelse- och säkerhetstjänst, samt inom språk.

6.1.4Försvarets materielverk (FMV)

Försvarets materielverk (FMV) ska på uppdrag av Försvarsmakten vidmakthålla, destruera och kassera varor samt upphandla byggentre- prenader, varor och tjänster. Myndigheten ska vidare på uppdrag av Försvarsmakten tillhandahålla logistik i form av service, förråds-, och verkstadstjänster. Myndigheten ska också biträda Försvarsmakten i materielförsörjnings- och logistikförsörjningsplanering samt med materialsystemkunskap (1 § förordningen [2007:854] med instruktion för Försvarets materielverk).

FMV ska vara patentorgan för de myndigheter som hör till För- svarsdepartementet och handlägger ärenden som rör immaterial- rättsliga frågor.

FMV får inom sitt verksamhetsområde även tillhandahålla tjänster åt andra än Försvarsmakten (6 §).

Vid FMV finns ett certifieringsorgan som ska upprätta och driva en certifieringsordning för säkerhet i it-produkter och system (5 §). FMV ska verka för att uppnå och vidmakthålla internationellt erkännande för utfärdade certifikat. CSEC (Sveriges Certifierings- organ för it-säkerhet) ansvarar för certifiering av it-säkerhetspro-

104

dukter inom ramen för den internationella standarden ISO/IEC IS 15408 (Common Criteria). Arbetet bedrivs inom ramen för CCRA (Common Criteria Recognition Arrangement) som bygger på ömsesidigt erkännande av certifikat utfärdade av i dag 26 medlems- länder. CSEC utfärdar även certifikat enligt EA-MLA (European Cooperation for Accreditation Multilateral Agreement) och enligt SOGIS-avtalet (SOGIS Mutual Recognition Agreement of In- formation Technology Security Evaluation Certificates). SOGIS (Senior Officials Group Information Systems Security) är en råd- givande funktion kopplad till EU-kommissionen. CSEC har vidare i enlighet med mål i handlingsplan för informationssäkerhet 2012 tagit fram en särskild kryptopolicy. CSEC är sedan 2008 ackredi- terat av Styrelsen för ackreditering och teknisk kontroll (Swedac).

FMV bedriver verksamhet inom området för säkerhetsskydd vad avser anbudsgivare och leverantörer som har träffat säkerhets- skyddsavtal (41 § säkerhetskyddsförordningen [1996:633]).

FMV bedriver också försvarsunderrättelseverksamhet enligt 2 § förordningen (2000:131) om försvarsunderrättelseverksamhet.

6.1.5Försvarets radioanstalt (FRA)

Försvarets radioanstalt har enligt förordningen (2007:937) med instruktion för Försvarets radioanstalt till uppgift att bedriva signalspaning (1 §). Myndigheten ska särskilt följa förändringen av signalmiljön i omvärlden, den tekniska utvecklingen och signal- skyddet, fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten, och utföra matematiska bedömningar av kryptosystem för totalförsvaret (2 §).

Försvarets radioanstalt ska också biträda andra myndigheter vid värdering, utveckling, anskaffning och drift av signalspanings- system (3 §).

Enligt 1 § enligt lagen (2000:130) om försvarsunderrättelseverk- samhet får den myndighet som regeringen bestämmer (signal- spaningsmyndigheten) inhämta signaler i elektronisk form vid signalspaning. Signalspaning i försvarsunderrättelseverksamhet får endast ske i de fall regeringen eller en myndighet som anges i 4 § närmare har bestämt inriktningen av signalspaningen.

105

Signalspaning i försvarsunderrättelseverksamhet får ske endast i syfte att kartlägga

yttre militära hot mot landet,

förutsättningar för svenskt deltagande i fredsfrämjande och humanitära internationella insatser eller hot mot säkerheten för svenska intressen vid genomförandet av sådana insatser,

strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen,

utveckling och spridning av massförstörelsevapen, krigsmateriel och produkter som avses i lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd,

allvarliga yttre hot mot samhällets infrastrukturer,

konflikter utomlands med konsekvenser för internationell säkerhet,

främmande underrättelseverksamhet mot svenska intressen, eller

främmande makts agerande eller avsikter av väsentlig betydelse för svensk utrikes-, säkerhets- eller försvarspolitik.

I lagen (2000:130) om försvarsunderrättelseverksamhet finns bestäm- melser om internationellt samarbete på försvarsunderrättelseområdet. Signalspaningsmyndigheten får för den verksamhet som anges i 1 § tredje stycket lagen (2008:717) om signalspaning i försvarsunder- rättelseverksamhet, enligt regeringens närmare bestämmande, etablera och upprätthålla samarbete i signalspaningsfrågor med andra länder och internationella organisationer (9 § lagen (2008:717) om signal- spaning).

Försvarets radioanstalt ska vidare enligt 4 § förordningen (2007:937) med instruktion för Försvarets radioanstalt ha hög teknisk kompetens inom informationssäkerhetsområdet. Myndig- heten får efter begäran stödja sådana statliga myndigheter och statligt ägda bolag som hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvars-

106

politiskt avseende. Försvarets radioanstalt ska särskilt kunna stödja insatser vid nationella kriser med it-inslag, medverka till identifie- ringen av inblandade aktörer vid it-relaterade hot mot samhälls- viktiga system, genomföra it-säkerhetsanalyser, och ge annat tek- niskt stöd.

Bland myndighetens tjänster ingår informationssäkerhets- analyser, stöd vid kvalificerade it-incidenter, forensisk analys, tek- nisk rådgivning och utbildning i it-säkerhet. Vid informations- säkerhetsanalyser kontrolleras sårbarheter i uppdragsgivarens it- system och en bild ges av vilka brister som behöver åtgärdas.

Vid myndigheten finns en forsknings- och utvecklingsenhet med uppgift att metodiskt upptäcka och analysera sårbarheter i in- formationsmiljöer.

Försvarets radioanstalt ska samverka med andra organisationer inom informationssäkerhetsområdet såväl inom som utom landet (4 § ). Myndigheten deltar både i bilaterala och multilaterala inter- nationella samarbeten för informationsdelning inom informations- och cybersäkerhetsområdet.

Försvarets radioanstalt ska enligt sitt regleringsbrev upprätthålla kompetensen för de nationella behoven avseende kryptologi. Myndigheten utför via kryptologpoolen matematiska bedömningar av kryptosystem för totalförsvaret. Genom de matematiska bedöm- ningarna tillser Försvarets radioanstalt att kunskapen från myndig- hetens signalspaningsuppdrag kommer totalförsvaret till godo. Myndigheten stödjer även bland annat Utrikesdepartementet, ISP och Rikspolisstyrelsen med kryptologisk kompetens.

Försvarets radioanstalt tillhandahåller av Försvarsmakten natio- nellt godkända kryptografiska funktioner till civila myndigheter och företag vilket gör det möjligt att utbyta sekretessbelagd in- formation. FRA har en nationellt godkänd kryptoverkstad samt är förvaltare av civil signalskyddsmateriel. Användarstöd kring regel- verk, teknik och övrig support lämnas dygnet runt. FRA är krypto- nyckel- och certifikatombud, samt ansvarar för att behovet av behörighetsgivande utbildningar inom den civila sektorn uppfylls. Försvarets radioanstalt fick den 14 april 2010 i uppdrag av regeringen att lämna förslag på hur ett tekniskt detekterings- och varningssystem för samhällsviktig verksamhet och kritisk infra- struktur (TDV) kan utformas och införas (Fö2010/703/SSK). Uppdraget redovisades i en rapport i mars 2011. – Myndigheten för

107

samhällsskydd och beredskap (MSB) fick samtidigt i uppdrag att lämna förslag på vilka aktörer som bör komma i fråga för att delta i ett sådant system. MSB redovisade uppdraget i en rapport i mars 2011. – I rapporten föreslogs att de myndigheter som har ett sär- skilt ansvar vad gäller krisberedskap och höjd beredskap erbjuds att delta i ett nationellt detekterings- och varningssystem. I en senare fas borde även andra aktörer, såsom landsting och kommuner, erbjudas att få ansluta sig. Även ägare av samhällsviktig verksamhet och kritisk infrastruktur föreslogs delta i ett senare skede.

Försvarets radioanstalt fick den 10 november 2011 (Fö2011/1681/SSK) i uppdrag av regeringen att komma in med ett kompletterande underlag avseende föreslaget system och att utarbeta en pilotversion av systemet. Uppdraget redovisades i april 2012. Försvarets radioanstalt föreslog i rapporten att föreslaget TDV-system med varnande och skyddande sensorer bör placeras hos särskilt skyddsvärd verksamhet med behov av ett förstärkt skydd mot underrättelsehot från kvalificerade aktörer. Pilotverk- samheten visade att det tekniska konceptet med varnande sensor fungerade, medan systemet med skyddande sensorer behövde vidareutvecklas genom ytterligare försöksverksamhet. Enligt För- svarets radioanstalt borde framtagande och utplacering av ett TDV- system inledningsvis ske i begränsad skala och rutiner, teknikstöd samt arbets- och samverkansformer utvecklas efter hand. För- svarets radioanstalt föreslog också att det inrättades ett nationellt cyberråd med företrädare för berörda departement och eventuellt myndigheter, industri samt universitet och högskolor.

I dag pågår verksamheten med ett begränsat antal anslutna aktö- rer. Förslagen i rapporten bereds inom Regeringskansliet.

I FRA:s instruktion anges att myndigheten ska medverka till identifieringen av inblandade aktörer vid it-relaterade hot mot samhällsviktiga system. De kvalificerade aktörer som FRA följer inom underrättelseverksamheten anges i regeringens årliga inriktning.

De kvalificerade aktörerna utgörs i huvudsak av statsunder- stödda aktörer och som utgör hot mot de mest skyddsvärda verk- samheterna.

Därutöver får FRA kunskap om hotbilden mot svenska verk- samheter genom TDV. TDV-system bygger på nära koppling mellan signalunderrättelseverksamhet inriktad mot it-hot och tek- nisk informationssäkerhet och har goda möjligheter att förstärka

108

skyddet för de verksamheter som omfattas av ett TDV-system. Kopplat till hotbilden får FRA även kunskap om sårbarheter i it- system hos de statliga myndigheter och bolag där FRA genomför it-säkerhetsanalyser.

6.1.6Polismyndigheten

Den 1 januari 2015 ombildades Polisen från 21 fristående polis- myndigheter, Rikspolisstyrelsen och Statens kriminaltekniska laboratorium till en Polismyndighet. Vid samma tidpunkt ombildas Säkerhetspolisen till en fristående myndighet.

Polismyndigheten är en enrådighetsmyndighet med ett natio- nellt insynsråd samt ett regionpolisråd i varje polisregion.

Av 1 § polislagen (1984:387) framgår att Polismyndighetens arbete syftar till att upprätthålla allmän ordning och säkerhet samt att i övrigt tillförsäkra allmänheten skydd och annan hjälp.

Av 2 § polislagen (1984:387) framgår att det till Polismyndig- hetens uppgifter hör att

1.förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten,

2.övervaka den allmänna ordningen och säkerheten och ingripa när störningar har inträffat,

3.utreda och beivra brott som hör under allmänt åtal,

4.lämna allmänheten skydd, upplysningar och annan hjälp, när sådant bistånd lämpligen kan ges av polisen,

5.fullgöra den verksamhet som ankommer på Polismyndigheten enligt särskilda bestämmelser.

Av 2 b § polislagen (1984:387) framgår att det vid Polismyndigheten ska finnas en avdelning som på nationell nivå leder och samordnar viss polisverksamhet (Nationella operativa avdelningen).

Den nationella operativa enheten består av flera enheter varav en utredningsenhet. Vid utredningsenheten finns it-brottssektionen.

Den 4 juli 2014 fattades beslut (Ju 2012:16/2013/4) av Genom- förandekommittén för nya Polismyndigheten att dåvarande Riks-

109

kriminalpolisen skulle säkerställa ett inrättande av ett it-brottscentrum vid den nationella operativa enheten i den nya Polismyndigheten.

6.1.7Säkerhetspolisen

Av förordningen (2014:1103) med instruktion för Säkerhetspolisen framgår att Säkerhetspolisen i egenskap av säkerhetstjänst bedriver underrättelse- och säkerhetsarbete och att Säkerhetspolisens huvudsakliga uppgifter och ansvar framgår av 3 § polislagen (1984:387). Av denna bestämmelse framgår att det till Säker- hetspolisens uppgifter hör att

1.förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott,

2.utreda och beivra sådana brott som anges i 1 eller som följer av 5,

3.fullgöra uppgifter i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,

4.fullgöra uppgifter enligt säkerhetsskyddslagen (1996:627),

5.leda annan polisverksamhet om regeringen föreskriver det och i övrigt bedriva sådan verksamhet som framgår av lag eller för- ordning eller som regeringen uppdragit åt Säkerhetspolisen att i särskilda hänseenden ansvara för.

Enligt 6 § i instruktionen får Säkerhetspolisen, utöver vad som följer av 47 § säkerhetsskyddsförordningen (1996:633) ge råd om säkerhetsskydd. Säkerhetspolisen får även i övrigt ge råd för att förebygga brott mot rikets säkerhet och andra särskilt viktiga samhällsintressen. Av 7 § framgår att Säkerhetspolisen efter med- givande av regeringen i ett särskilt fall får bedriva uppdragsverk- samhet när det gäller säkerhetsskydd och annat säkerhetsarbete.

När det gäller informationssäkerhet arbetar Säkerhetspolisen med att förebygga brottsliga handlingar i form av spionage som sker genom s.k. elektroniska angrepp. Arbetet består i första hand av säkerhetsskyddsåtgärder och utredning av särskilt skyddsvärda verksamheter. Vidare arbetar Säkerhetspolisen med att förebygga allvarliga elektroniska angrepp riktade mot samhällsviktiga it-system.

110

Säkerhetspolisen analyserar och utreder också allvarliga elektroniska angrepp mot samhällsviktiga verksamheter. Vidare utövar Säkerhets- polisen tillsyn enligt säkerhetsskyddslagen (1996:627), varvid till- synen bl.a. kan avse informationssäkerhet.

6.2Andra statliga myndigheter och affärsverk

6.2.1Datainspektionen

Datainspektionen har enligt 1 § förordningen (2007:975) med in- struktion för Datainspektionen i uppgift att verka för att män- niskor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Myndigheten ska särskilt inrikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud. Myndigheten ska följa och beskriva utvecklingen på it-området när det gäller frågor som rör integritet och ny teknik.

Datainspektionen är tillsynsmyndighet enligt personuppgifts- lagen (1998:204) och lagen (2007:259) om behandling av person- uppgifter i Försvarets radioanstalts försvarsunderrättelse- och ut- vecklingsverksamhet. Myndigheten är också Sveriges nationella till- synsmyndighet för behandling av personuppgifter enligt Schengen- konventionen, konventionen om EU:s tullinformationssystem samt rådsbeslutet om inrättandet av Europeiska polisbyrån (Europol).

It-säkerhet utgör ett viktigt område för Datainspektionens arbete. Det är myndighetens uppgift att upptäcka och påtala brister och att informera om hur personuppgifter bör skyddas på lämpligt sätt på internet. Myndigheten har bl.a. tagit fram en vägledning om inbyggd integritet i it-system för skydd av den personliga inte- griteten och en vägledning som tydliggör vilka krav som person- uppgiftslagen ställer vid användning av molntjänster. Myndigheten har 2011 inom ramen för ett särskilt projekt granskat användningen av molntjänster och har även i sin tillsynsverksamhet enligt person- uppgiftslagen uppmärksammat brister vid användning av sådana tjänster.

111

6.2.2Styrelsen för ackreditering och teknisk kontroll (SWEDAC)

Styrelsen för ackreditering och teknisk kontroll (SWEDAC) ansvarar bl.a. för frågor om teknisk kontroll, inklusive ackredite- ring och frågor i övrigt om bedömning av överensstämmelse (1 § förordningen [2009:895] med instruktion för Styrelsen för ackredi- tering och teknisk kontroll).

Vid SWEDAC finns en rådgivande teknisk kommitté inom ackrediteringsområdet certifiering, informationssäkerhet och it- säkerhet.

Ackreditering är ett formellt erkännande av att ett företag eller en organisation har kompetens att utföra vissa specificerade upp- gifter inom provning, kontroll och certifiering. Ackreditering inne- bär att SWEDAC regelbundet och oberoende granskar kompetens och arbetsrutiner hos det organ som är ackrediterat. Granskningen görs mot krav som finns i bestämda standarder och olika myndig- heters föreskrifter. Ackreditering är obligatorisk inom vissa om- råden. Inom andra områden är ackreditering frivillig, men kan då fungera som en kvalitetsstämpel. Certifiering innebär att en organi- sation, produkt eller person bedöms uppfylla särskilda krav som ställs i standarder eller andra normerande dokument. Certifiering utförs beroende på område utan eller under ackreditering. Statistik från den internationella standardiseringsorganisationen ISO för 2012 visar att certifieringar mot standarder för ledningssystem fortsätter att öka. Certifiering enligt standarden för informations- säkerhet, ISO/IEC 27001, ökade med 13 procent till 19 577 certifi- kat utfärdade i 103 länder. (Japan 7 199, Storbritannien 1 701, Indien 1 600 och Sverige 32). Störst ökning av antal certifikat finns i Rumänien, Japan och Kina.

Certifieringsorgan som är ackrediterade av SWEDAC utför certifiering enligt följande standarder SS-ISO/IEC 27001 vad avser ledningssystem för informationssäkerhet och ISO/IEC 15408:2005 Information technology – Security techniques – Evaluation criteria for IT security, Common criteria 2.3 och Common criteria 3.1 vad avser produkter och processer. SWEDAC ackrediterar också certi- fieringsorgan för certifiering av Informationssäkerhetsspecialist, Nationell certifieringsordning för personcertifiering inom Inform-

112

ationssäkerhet 5.0, Information Security Management Professional (ISMP).

SWEDAC har utgett en vägledning för informationssäkerhets- arbete (SWEDAC DOC 10:5, 2010-09-22, utgåva 1). Syftet är att ge ackrediterade verksamheter och verksamheter som söker ackredi- tering vägledning vid förbättring av informationssäkerhet och om de krav som ställs vid bedömning av informationssäkerhet.

6.2.3Svenska kraftnät

Det statliga Affärsverket svenska kraftnät (Svenska kraftnät) har enligt 1 § förordningen (2007:1119) med instruktion för Affärs- verket svenska kraftnät till uppgift att på ett affärsmässigt sätt förvalta, driva och utveckla ett kostnadseffektivt, driftsäkert och miljöanpassat kraftöverföringssystem, sälja överföringskapacitet samt i övrigt bedriva verksamheter som är anknutna till kraftöver- föringssystemet. Enligt 2 § är Svenska kraftnät systemansvarig myndighet enligt 8 kap. 1 § ellagen (1997:857) och 1 § förord- ningen (1994:1806) om systemansvaret för el samt elberedskaps- myndighet enligt elberedskapslagen (1997:288).

Enligt 3 § har Svenska kraftnät bl.a. i uppgift att svara för tillsyn i frågor om driftsäkerhet hos det nationella elsystemet enligt el- lagen (1997:857) och förordningen (1994:1806) om systemansvaret för el, svara för beredskapsplaneringen inom sitt verksamhets- område under kris- eller krigsförhållanden, främja dammsäkerheten i landet, bygga ut, installera och förvalta ledningar för elektronisk kommunikation, vartannat år genomföra och, efter att ha hört Statens energimyndighet, till Myndigheten för samhällsskydd och beredskap redovisa ett identifieringsarbete av potentiella euro- peiska kritiska infrastrukturer inom undersektorn el enligt rådets direktiv 2008/114/EG av den 8 december 2008 om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedöm- ning av behovet att stärka skyddet av denna.

Av 4 § följer att det i krig eller när regeringen annars bestämmer är Svenska kraftnäts uppgift att i samverkan med övriga totalför- svarsmyndigheter tillgodose samhällets behov av elkraft genom att planera, leda och samordna elförsörjningens resurser.

113

Vid Svenska kraftnät finns ett råd som har insyn i verksamheten med elberedskap (insynsråd). Rådet har till uppgift att bevaka det övriga totalförsvarets och elföretagens intressen i frågor om el- beredskap. Vidare finns ett råd som biträder affärsverket i arbetet med dammsäkerhetsfrågor (Dammsäkerhetsrådet). Rådet är ett in- formations- och samrådsorgan för frågor relaterade till dammsäker- het.

6.2.4Totalförsvarets forskningsinstitut

Totalförsvarets forskningsinstitut (FOI) har enligt 1 § förord- ningen (2007:861) till uppgift att bedriva forskning, metod- och teknikutveckling samt utredningsarbete för totalförsvaret och till stöd för nedrustning, icke-spridning och internationell säkerhet. Myndigheten får även i övrigt bedriva forskning, metod- och tek- nikutveckling samt utredningsarbete. Myndigheten ska verka för att försvarsforskningen nyttiggörs även utanför totalförsvaret.

Myndigheten ska särskilt verka för samverkan mellan militär och civil forskning samt mellan nationell och internationell forsk- ning (3 §).

FOI bedriver vidare försvarsunderrättelseverksamhet (2 § för- ordningen [2000:131] om försvarsunderrättelseverksamhet).

Försvarsmakten och Försvarets materielverk är myndighetens huvudkunder, men myndigheten utför även uppdrag för bl.a. civila myndigheter och näringslivet.

Vid FOI bedrivs forskning om bl.a. it-säkerhet, sociala aspekter av informationssäkerhet, riskbedömning och metoder för övning av försvar av it-system och människa-system-interaktion, värdering av informationssäkerhet och utveckling av försvar av it-system. Vid FOI anordnas även kurser i it-säkerhet och säkerhet i industriella styrsystem. Myndigheten koordinerar t.ex. forskningsprogrammet Security Culture and Information Technology (SECURIT), som finansieras av MSB och har som mål att förbättra organisationers informationssäkerhet. FOI och MSB har tillsammans även byggt upp Nationellt centrum för säkerhet i styrsystem för samhällsviktig verksamhet (NCS3).

114

6.2.5Statens inspektion för försvarsunderrättelseverksamheten

Statens inspektion för försvarsunderrättelseverksamheten (Siun) är den myndighet som har till uppgift att kontrollera att den försvars- underrättelseverksamhet som bedrivs av Försvarsmakten, Försvarets radioanstalt, Försvarets materielverk och Totalförsvarets forsk- ningsinstitut sker i enlighet med det av riksdagen och regeringen fastställda regelverket (1 § förordningen [2009:969] med instruk- tion för Statens inspektion för försvarsunderrättelseverksamheten).

6.2.6Socialstyrelsen

Socialstyrelsen är förvaltningsmyndighet för verksamhet som rör hälso- och sjukvård och annan medicinsk verksamhet, tandvård, smittskydd, socialtjänst, stöd och service till vissa funktions- hindrade samt frågor om alkohol och missbruksmedel (1 § förord- ningen [2009:1243] med instruktion för Socialstyrelsen). Myndig- heten ansvarar för föreskrifter och allmänna råd inom sitt verk- samhetsområde (4 §).

Socialstyrelsen får efter samråd med Datainspektionen meddela föreskrifter som behövs för verkställigheten av patientdatalagen (2008:360) i fråga om säkerhetsåtgärder vid helt eller delvis auto- matiserad behandling av personuppgifter (3 § patientdataförord- ningen [2008:360]). Föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14) innehåller bl.a. bestämmelser om ansvar för informationssäkerhet och krav på informationssäkerhetspolicy. Myndigheten har utarbetat en hand- bok – ett stöd för vårdgivare, verksamhetschefer, medicinskt ansva- riga sjuksköterskor och hälso- och sjukvårdspersonal som ska tillämpa nämnda föreskrifter.

Socialstyrelsen har också efter särskilt regeringsuppdrag i projektet Nationell Informationsstruktur i april 2010 publicerat delrapporten Informationssäkerhet, Vägledning för hantering av information inom vård och omsorg.

Myndigheten har ett nationellt ansvar för att samordna arbetet för en ändamålsenlig och strukturerad dokumentation i svensk hälso- och sjukvård och socialtjänst. Detta arbete är en del av Nationell eHälsa – strategin för tillgänglig och säker information inom vård och omsorg.

115

6.2.7Länsstyrelserna

Länsstyrelsen svarar för den statliga förvaltningen i länet i den ut- sträckning inte någon annan myndighet har ansvaret för särskilda förvaltningsuppgifter (1 § förordningen [2007:825] med länssty- relseinstruktion). Länsstyrelsen ska utifrån ett statligt helhetspers- pektiv arbeta sektorövergripande och inom myndighetens ansvars- område samordna olika samhällsintressen och statliga myndig- heters insatser (2 §). Länsstyrelsen har bl.a. uppgifter i fråga om skydd mot olyckor, krisberedskap och civilt försvar (3 § 8). Genom sin verksamhet ska länsstyrelsen minska sårbarheten i samhället, bevaka att risk- och beredskapshänsyn tas i samhällsplaneringen samt utveckla en god förmåga att hantera sina uppgifter under fredstida krissituationer och höjd beredskap (52 §). Länsstyrelsen ska ha en tjänsteman i beredskap med uppgift att initiera och sam- ordna det inledande arbetet för att upptäcka, verifiera, larma och informera vid allvarliga kriser som berör länet (53 §). Länsstyrelsen ska ha förmåga att vid en allvarlig kris, som berör länet eller medför behov av samverkan med kommuner eller andra aktörer, omgående kunna upprätta en ledningsfunktion för bl.a. samordning och in- formation. Länsstyrelsen ska avseende krisberedskap vara samman- hållande inom sitt geografiska område och före, under och efter en kris verka för samordning och gemensam inriktning av de åtgärder som behöver vidtas (54 §). Länsstyrelsen ska särskilt

ansvara för att en samlad regional lägesbild sammanställs vid krissituationer,

stödja de aktörer som är ansvariga för krisberedskapen i länet avseende planering, risk- och sårbarhetsanalyser samt utbildning och övning,

ha ett regionalt råd för skydd mot olyckor och krisberedskap, i vilket representanter för länsstyrelsen och berörda aktörer i krishanteringssystemet bör ingå, för att skapa nödvändig samordning,

upprätta regionala risk- och sårbarhetsanalyser som ska kunna användas som underlag för egna och andra berörda aktörers krisberedskapsåtgärder,

116

följa upp kommunernas tillämpning av lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,

årligen rapportera till MSB vilka beredskapsförberedelser som kommuner och landsting vidtagit och samtidigt redovisa en bedömning av effekten av de vidtagna förberedelserna, och

verka för att den verksamhet som berörda aktörer bedriver inom länet avseende krisberedskap bidrar till att en grundläggande förmåga till civilt försvar uppnås.

Länsstyrelsen ska enligt 7 § förordningen (2006:942) om krisbered- skap och höjd beredskap inom sitt geografiska område i fråga om

situationer som uppstår hastigt, oväntat och utan förvarning, eller en situation där det finns ett hot eller en risk att ett sådant läge kan uppstå, och

situationer som kräver brådskande beslut och samverkan med andra aktörer

vara en sammanhållande funktion mellan lokala aktörer, som exem- pelvis kommuner, landsting och näringsliv, och den nationella nivån, samt verka för att:

regionala risk-, och sårbarhetsanalyser sammanställs,

nödvändig samverkan inom länet och med närliggande län kon- tinuerligt,

under en kris samordna verksamhet mellan kommuner, lands- ting och myndigheter,

information till allmänheten och företrädare för massmedia under sådana förhållanden samordnas, och efter beslut av rege- ringen prioritera och inrikta statliga och internationella resurser som ställs till förfogande.

Informationssäkerhet och är en av flera indikatorer enligt föreskrif- ter meddelade av MSB (MSBFS 2010:6) på krishanteringsförmåga. Informationssäkerhet och säkerhet och robusthet i samhällsviktig infrastruktur är två av flera indikatorer på förmåga i samhällsviktig verksamhet att motstå allvarliga störningar.

117

6.2.8E-hälsomyndigheten

E-hälsomyndigheten har enligt 1 § förordningen (2013:1031) med instruktion för E-hälsomyndigheten) i uppgift att ansvara för register och it-funktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering. Myndigheten ska vidare samordna regeringen satsningar på e-hälsa samt övergripande följa utvecklingen på e- hälsoområdet. E-hälsomyndigheten fortsätter det utvecklingsarbete som påbörjades av det statliga bolaget Apotekens Service. Arbetet vid myndigheten ska garantera en tillgänglig och säker nationell teknisk infrastruktur som kan fungera för hela hälso-, vård- och omsorgssektorn. E-hälsomyndigheten deltar i ett arbete med en federativ infrastrukturlösning för hela den aktuella sektorn, Samverkan för behörighet och identitet inom hälsa, vård och omsorg (Sambi).

6.2.9Finansinspektionen

Finansinspektionen ansvarar bl.a. för tillsynen, regelgivningen och tillståndsprövningen som rör finansiella marknader och finansiella företag (1 § 1 förordningen [2009:93] med instruktion för Finans- inspektionen). Myndigheten har särskilt ansvar för samverkans- området ekonomisk säkerhet enligt förordningen (2006:942) om krisberedskap och höjd beredskap och ska samverka med Riks- banken och MSB i frågor som rör krisberedskap (6 §). Finans- inspektionen har med stöd av 5 kap. 2 § 4 förordningen (2004:329) om bank- och finansieringsrörelse samt 6 kap. 1 § 9−12 och 29 för- ordningen (2007:572) om värdepappersmarknaden meddelat före- skrifter om informationssäkerhet, it-verksamhet och insättnings- system (FFFS 2014:5).

6.2.10Kammarkollegiet

Kammarkollegiet har till uppgift att tillhandahålla service inom det statliga området, främst avseende ekonomi, juridik, kapitalförvalt- ning, riskhantering och administration (1 § förordningen [2007:824] med instruktion för Kammarkollegiet). Efter överens-

118

kommelse kan myndigheten för statliga myndigheter och stiftelser med statlig anknytning bl.a. tillhandahålla metoder för riskhante- ring och övrigt biträde i myndigheternas riskhantering (7 § första stycket 4). Myndigheten ska ansvara för att upphandla samordnade ramavtal som är avsedda för andra statliga myndigheter (8 a §). Inom området informationsteknik gäller ansvaret den offentliga förvaltningen. Myndigheten ska verka för att bästa möjliga villkor skapas för myndigheternas anskaffning av varor och tjänster. Inom området informationsteknik ska myndigheten särskilt beakta förvaltningsgemensamma standarder samt intresset av innovationer och teknikneutrala lösningar.

Vid Statens inköpscentral finns enheten för it-upphandling. Det finns ramavtal gällande E-förvaltningsstödjande tjänster, olika it- drifts- och konsulttjänster samt it-utbildning. Bland tjänsterna i ramavtal finns Säkerhetsarbete e-förvaltning. Bland ramavtal gällande programvaror och licenser finns t.ex. kontorsstöd som molntjänst.

Försäkringsavdelningen erbjuder försäkringsskydd för staten och lämnar biträde åt statliga myndigheter i riskhanteringsfrågor. Det erbjuds stöd och utbildning för att underlätta myndigheternas riskhanteringsarbete. Metodstöd utformas utifrån ett verksamhets- perspektiv och anpassas till varje myndighets behov. Avdelningen har tagit fram mallar för olika typer av checklistor. I checklistorna finns frågor om bl.a. informationshantering och informations- säkerhet.

6.2.11Försvarshögskolan

Vid Försvarshögskolan (FHS) bedrivs utbildning och forskning som rör informationssäkerhet vid flera enheter. I förordningen (2007:1164) för Försvarshögskolan anges vilken högskoleutbild- ning som bedrivs. Högskolan får även på uppdrag av MSB eller annan uppdragsgivare anordna annan utbildning. Bland upp- dragsutbildningar finns utbildningar som rör informationssäkerhet.

Vid Institutionen för säkerhet, strategi och ledarskap (ISSL) finns CATS – Centrum för assymmetriska hot och terrorism- studier. Vid centret bedrivs bl.a. utbildning och forskning/studier kring policys rörande informations- och cybersäkerhet samt inom området informationsoperationer.

119

Vidare har centret under flera år bedrivit utveckling samt deltagit i tekniska cyberförsvarsövningar, s.k. Cyber Defence Exercises (CDX). Centret har bedrivit studier i övningsmetodik för CDX. Detta har bl.a. resulterat i produktion av den första övningshand- boken inom området, vilken även har översatts till engelska för att kunna möta efterfrågan från internationella samarbetspartners.

CATS har sedan 2008 haft ett samarbete med Estland och Natos Cooperative Cyber Defence Centre of Excellence (CCD CoE) i Tallinn. Tidigare avtalssamarbete med två technical agreements (TA) har reglerat verksamhet avseende deltagande i och utveckling av den årligen återkommande övningen Locked Shields (tidigare Baltic Cyber Shield) samt utveckling av Chief Information Assu- rance Officer-utbilningen (CIAO).

CATS genomför CIAO-utbildning som utvecklats i samverkan med MSB, PTS och FRA. Syftet med kursen är att öka förmågan på informationssäkerhetsområdet inom myndigheter, organisationer och privata aktörer knutna till samhällsviktiga system och funk- tioner. Syftet med utbildningen är att möta samhällsviktiga företags och myndigheters behov av en funktion som kan hantera de möjligheter och risker som följer av att informationsflödet ökar i omfattning och komplexitet, som exempelvis frågan om hur de operativa kraven kan balanseras mot de alltmer omfattande säker- hetskraven.

Kursen riktar sig till dem som ska leda informationshanteringen inom en central, regional eller lokal myndighet eller inom närings- livet, men även till chefspersoner inom organisationen. Kursen innehåller utbildning avseende internationella aktörer och regel- verk, nationella krisledningssystemet, ledning och riskhantering, planering och arkitektur, efterlevnad av regelverk och övning.

I ISSL ingår även IHT – Institutet för högre totalförsvarsutbild- ning. Utbildning ges här i att hantera många av de svåraste kriserna som kan drabba ett samhälle. Rekryteringen till kurserna på IHT sker bland högre militära chefer och tjänstemän inom offentlig för- valtning, organisationer, media och näringsliv. Utveckling av ut- bildning avseende cyber- och informationssäkerhet i IHT kurs- utbud pågår inom FHS.

Vid Militärvetenskapliga institutionen (MVI) finns MTA – Militärtekniska avdelningen. Avdelningen ansvarar för utbildning i militärteknik vid främst de militära programmen, men anordnar

120

även en grundläggande och orienterande kurs för chefer om in- formationssäkerhet. Vidare finns vid MTA ett Computer Network Operations-lab (CNO-lab), som drivs i samarbete med CATS för ändamålet att kunna genomföra och leda övningsverksamhet/ut- bildningar. CDX Baltic Cyber Shield 2010 leddes delvis från CNO- labbet.

Vidare finns vid MVI även Krigsvetenskapliga avdelningen – KVA, som bedriver utbildning och forskning inom områdena In- formationsoperationer och informationskrigföring på operativ nivå.

6.2.12E-legitimationsnämnden

E-legitimationsnämnden har som övergripande uppgift enligt 1 § förordningen (2010:1497) med instruktion för E-legitimations- nämnden i uppgift att stödja och samordna elektronisk identifie- ring och signering i den offentliga förvaltningens e-tjänster. Den samordnande funktionen på området för e-legitimationer innebär t.ex. att hålla register över utfärdare av e-legitimationer, ställa upp standardiserade krav på e-legitimationers tekniska utformning och säkerhet samt när nya utfärdare önskar delat i infrastrukturen pröva och godkänna dessa.

Myndigheten har också fattat ett inriktningsbeslut att stödja även privat sektors användning av e-legitimationer bl.a. genom att möjliggöra för registerhållning och upprättande av regler och avtal för privata aktörer.

Myndigheten har även i uppgift att delta i internationellt stan- dardiseringsarbete, internationellt samarbete och informations- utbyte inom sitt ansvarsområde (2 §).

6.2.13E-delegationen

E-delegationen, en kommitté under Näringsdepartementet, inrät- tades 2009 för att stärka utvecklingen av e-förvaltningen och skapa goda möjligheter för myndighetsövergripande samordning (dir. 2009:19). Genom tilläggsdirektiv (dir. 2010:32) fick delegationen 2010 i uppdrag att främja och samordna myndigheternas arbete med att förbättra förutsättningarna för vidareutnyttjande av hand-

121

lingar från den offentliga förvaltningen samt ta fram riktlinjer för statliga myndigheter användning av sociala medier. Genom till- äggsdirektiv (dir. 2013:40) fick delegationen 2013 i uppdrag att också undersöka behovet av en nationell standard för it-system inom vård och omsorg.

Delegationen lämnade i Tredje generationens e-förvaltning (SOU 2009:86) förslag till en strategi för myndigheternas arbete med e- förvaltning. I Organisering av framtidens e-förvaltning (SOU 2013:75) föreslås att samordningen av de gemensamma e-förvalt- ningsfrågorna tas om hand av en medlemsorganisation med en uppbyggnad liknande Arbetsgivarverkets. För att stärka samverkan med den statliga och kommunala sektorn föreslås vidare att den nya organisationen upprättar ett särskilt samarbetsorgan med den kommunala sektorn. Det föreslås att en särskild utredare utreder de närmare förutsättningarna för en sådan organisation och förvalt- ning. I Så enkelt som möjligt för så många som möjligt – IT- standardisering inom socialtjänsten (SOU 2013:77) beskrivs resul- tatet av behovsinventeringen inom socialtjänsten i en konsultrap- port med förslag om införande av en nationell tjänsteplattform. E- delegationen bedömer att inga specifika förslag om vilka standardi- seringar som är lämpliga kan lämnas på området. Vidare görs bedömningen att ett fördjupat analysarbete bör genomföras, dels för att värdera de initiativ som föreslås i rapporten, dels för att tyd- ligare belysa informationssäkerheten på området. Utgångspunkten för arbetet ska vara det arbete som skett inom delegationen vad avser digital samverkan och framför allt den vägledning för digital samverkan som utarbetats. Analysarbetet kräver djupare och speci- fik kompetens inom socialtjänsten område och bör därför genom- föras av de organisationer som finns etablerade inom e-hälsoområ- det. För övriga delrapporter, se www.edelegationen.se. Delega- tionen ska lämna en slutrapport senast den 1 juli 2015.

På webbplatsen anges följande om vad E-delegationen gör vad avser informationssäkerhet.

Informationssäkerhet behöver förbättras i projekt där flera aktörer samverkar. Bland annat krävs en gemensam säkerhetskultur, metoder och regler. När it-lösningar koncentreras och integreras uppstår också nya risker. E-delegationen arbetar för att utveckla den gemensamma informationssäkerheten. Arbetet ska på sikt leda till en gemensam säkerhetsinfrastruktur och en större effektivitet i samverkansprojekt.

122

Vidare pågår ett arbete med att ta fram en handlingsplan för att förverkliga de mål som finns i Strategi för informationssäkerhet i e- förvaltning och metodstöd för de projekt som drivs inom dele- gationen.

6.2.14Riksarkivet

Riksarkivet har enligt sin instruktion (3 § förordningen (2007:1179) med instruktion för Riksarkivet och landsarkiven) överinseende över den offentliga arkivverksamheten. Myndigheten ska verka för att de statliga myndigheterna fullgör sina skyldigheter enligt arkivlagen att bevara, hålla ordnade och vårda sina arkiv så att arkiven tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipning och förvaltning samt forskningens behov. Riksarkivet ska också verka för en utveckling av arkiv- verksamheten och en ändamålsenlig gallring av handlingar, ge kommunerna råd i arkivfrågor samt verka för ökad enhetlighet mellan den statliga och den kommunala arkivhanteringen.

Inom ramen för Riksarkivets allmänna regelverk för myndig- heterna har föreskrifter om bl.a. informationssäkerhet, upphand- ling och tekniska krav meddelats beträffande elektroniska hand- lingar (RA-FS 2009:1 och 2009:2).

Myndigheten har i samverkan med Myndigheten för samhälls- skydd och beredskap utarbetat en vägledning för fysisk informa- tionssäkerhet i it-utrymmen. Vidare har förvaltningsgemensamma specifikationer tagits fram inom projektet E-arkiv och e-diarium (eARD) som är knutet till E-delegationen.

123

I regeringens skrivelse (skr. 2009/10:124) Samhällets krisberedskap

– stärkt samverkan för ökad säkerhet har målen för samhällets informationssäkerhet angetts enligt följande:

Säkra samhällets funktionalitet, effektivitet och kvalitet.

Bidra till samhällets brottsbekämpning.

Stärka samhällets förmåga att förebygga och hantera allvarliga störningar och kriser.

Främja näringslivets tillväxt.

Värna medborgares fri- och rättigheter och personliga integritet.

Öka medborgares och verksamheters kunskap om och förtro- ende för informationshantering och it-system.

Myndigheten för samhällsskydd och beredskap (MSB) har haft i uppdrag att tillsammans med övriga myndigheter som ingår i SAMFI att ta fram en strategi för samhällets informationssäkerhet 2010–2015 utifrån dessa mål, se avsnitt 7.3.2.

I Försvarsberedningens senaste rapport, Försvaret av Sverige Starkare försvar för en osäker tid (Ds 2014:20), tar beredningen upp cybersäkerhet i ett eget kapitel. Där konstaterar beredningen, liksom i tidigare rapporter, att människor och stater är alltmer beroende av digitala informations- och kommunikationssystem. Detta har medfört nya former av interaktion, datahantering och datalagring, men även nya sårbarheter. Som utredningen beskrivit i avsnitt 4.4 finns det stora säkerhetsutmaningar i det växande it- användandet och it-beroendet. Utredningen återkommer här till Försvarsberedningens bedömning (sid. 31):

Hot- och riskskalan inom det informationsteknologiska området spänner från mindre omfattande risker för den enskilde medborgaren, till väl planerade och med precision riktade s.k. cyberattacker mot vitala delar i samhällets funktionalitet. Konsekvenserna innefattar spridningseffekter som drabbar samhällsviktig verksamhet i flera sektorer. Samman- kopplingen mellan olika typer av industriella informations-och styrsystem utgör en växande sårbarhet. Störningar eller antagonistiska hot där dessa system tas över av tredje part kan hota samhällsviktiga funktioner och ytterst ett lands suveränitet. Data-och nätverksoperationer har utvecklats till att utgöra ett separat antagonistiskt hot såväl som ett av flera militära maktmedel. Riktade angrepp såväl inom som mot cyberområdet kan utföras av både statliga och icke-statliga aktörer.

126

Försvarsberedningen konstaterar vidare att Sveriges samlade för- måga att förebygga, motverka och aktivt hantera konsekvenserna av civila och militära hot, händelser och attacker på cyberområdet måste öka. För att möjliggöra ett koordinerat beslutsfattande framhåller Försvarsberedningen betydelsen av att det mellan civila myndigheter och Försvarsmakten finns en delad lägesinformation vid händelser. Försvarsberedningen betonar fortsatt behovet av att se på möjligheten att fortsatt stärka it-robustheten i samhället och analysera behovet av att utveckla cyberförmågor.

7.2Arbete i Regeringskansliet

Regeringskansliet är den myndighet under regeringen som förbere- der regeringens ärenden och i övrigt är regeringen behjälplig. I Regeringskansliet ingår Statsrådsberedningen, Förvaltningsavdel- ningen och tio departement. Statsministern är chef för Regerings- kansliet. Förvaltningsärenden och lagstiftningsärenden fördelas mellan departementen på det sätt som anges i bilagan till förord- ningen (1996:1515) med instruktion för Regeringskansliet.

Av Riksrevisionens granskningsrapport Informationssäkerheten i den civila statsförvaltningen RIR 2014:23 s. 72 f. framgår hur Rege- ringskansliet är organiserat för att hantera informationssäkerhet:

I Regeringskansliet har varje fackdepartement på regeringens vägnar ansvar för att följa upp sina respektive myndigheters informations- säkerhetsarbete. I praktiken innebär det att varje myndighetshandläggare hanterar frågor som handlar om myndighetens informationssäkerhet. Detta förutsätter dock att myndighetshandläggaren får signaler om att det finns behov av att uppmärksamma informationssäkerhetsarbetet. Sådana signaler kan vara it-incidenter vid myndigheten, uppmärksamhet i massmedier eller att frågan om informationssäkerhet väcks inom Regeringskansliet.

Hur frågor som berör informationssäkerhet fördelas mellan depar- tementen avgörs tydligast av den ansvarsfördelning som är fastställd i en bilaga till Regeringskansliets instruktion. Beroende på vad inform- ationssäkerhetsfrågan handlar om styrs den till det departement som huvudsakligen berörs. Ett ärende som rör flera departements verksam- hetsområden ska handläggas inom det departement till vilket det huvudsakligen tillhör och beredas i samråd med övriga berörda statsråd (gemensam beredning).

127

7.2.1Departementens beskrivningar

I arbetet med att få en bild av samhällets informationssäkerhet har utredningen kontaktat Justitiedepartementet, Utrikesdepartemen- tet, Försvarsdepartementet och Näringsdepartementet för att få underlag som beskriver respektive departements arbete med in- formations- och cybersäkerhetsrelaterade frågor. Underlaget pre- senteras nedan.

Justitiedepartementet

Justitiedepartementet har en viktig roll i att säkerställa statens ansvar att skydda sina medborgare från att bli utsatta för brott och säkerställa att alla kan åtnjuta sina mänskliga rättigheter fullt ut även i en tid då allt mer av mänsklig interaktion sker genom inter- net. Justitiedepartementet har ansvar för frågor om allmän ordning, säkerhet och krisberedskap, inklusive ansvaret för Regeringskansli- ets egen krisberedskap. Departementet har också ansvar för bevak- ning och hantering av it-relaterad brottslighet, vissa informations- säkerhetsfrågor, inklusive säkerhetsskydd, skydd för personupp- gifter samt it-frågor i bredare bemärkelse kopplat till allmän ord- ning och säkerhet. Beröringspunkterna utgår från horisontella frå- gor såsom grundläggande fri- och rättigheter, krisberedskap och mer specifika frågor om dataskydd, brottsbekämpning och skydd för rikets säkerhet.

Justitiedepartementet hanterar även frågor kopplade till it, in- formationssäkerhet och brottslighet genom myndighetstyrning och lagstiftningsarbete. Detta görs för att skapa förutsättningar för myndigheter som lyder under departementet såsom Polismyndig- heten, Säkerhetspolisen, Myndigheten för samhällsskydd och beredskap och åklagarväsendet, att utföra sina uppdrag på detta område.

Vid departementet ansvarar polisenheten (PO) för förvaltnings- och utvecklingsfrågor som gäller polisen, inklusive Säkerhetspoli- sen och därmed för förutsättningar för dessa myndigheter att ut- reda och beivra it-relaterad brottslighet och förebygga och avslöja brott mot rikets säkerhet. Enheten för samordning av samhällets krisberedskap (SSK) ansvarar för samordning avseende åtgärder m.m. för att utveckla, följa upp och förstärka samhällets krisbered-

128

skap och civilt försvar, vilket inkluderar samhällets informations- säkerhet. Enheten har beredningsansvar för styrning av bl.a. Myn- digheten för samhällsskydd och beredskap. På lagstiftningssidan ansvarar åklagarenheten (Å) för lagstiftningsfrågor som rör allmänt åtal, förundersökning och tvångsmedel i brottmål, vilket innefattar många av de utredningsverktyg som polis och åklagare har till för- fogande för utredning av it-relaterad brottslighet. Enheten för brottmålsärenden och internationellt rättsligt samarbete (BIRS) ansvarar för lagstiftningsfrågor som rör bl.a. internationell rättslig hjälp vilket är särskilt viktigt i gränsöverskridande it-relaterade brottsutredningar. Centralmyndigheten, som är en kontaktpunkt för många in- och utgående ärenden i det internationella straff- rättsliga samarbetet, är vidare placerad på enheten. Enheten för allmän ordning och säkerhet (L4) har lagstiftningsfrågor som gäller bl.a. polisverksamhet och polisregister, internationellt polissam- arbete och säkerhetsskyddslagen. Straffrättsenheten (L5) ansvarar för lagstiftningsfrågor som rör straffrätt, såsom dataintrång och annan it-relaterad brottslighet. Slutligen ansvarar grundlagsenheten (L6) för lagstiftningsfrågor som bl.a. gäller skydd för den person- liga integriteten, skydd för personuppgifter och tryckfrihets- förordningen och yttrandefrihetsgrundlagen.

En stor del av de säkerhetsrelaterade aspekterna på it-området handlar om att förebygga och skydda sig mot olika former av it- incidenter. Hot utgörs av allt ifrån tekniska fel till den mänskliga faktorn och olika typer av uppsåtliga it-attacker av antagonistiska statliga eller icke-statliga aktörer. Utöver detta är det inte ovanligt att t.ex. väderfenomen, naturkatastrofer och olyckor orsakar incidenter med it-inslag. Sådana incidenter tar inte sällan formen av olika typer av uppsåtliga it-attacker av antagonistiska statliga eller icke-statliga aktörer och utgör således även brottslig verksamhet. Av den anledningen berörs även Justitiedepartementet av många frågor för vilket huvudansvaret ligger på andra departement vid Regeringskansliet. Justitiedepartementet har ett ansvar för in- formationssäkerhetsfrågor enligt instruktionen för Regerings- kansliet. Det är dock även andra departement som arbetar med informationssäkerhetsfrågor utifrån olika aspekter. Detta reflekte- ras även i hur samverkan sker mellan en mängd olika myndigheter med ansvar på området som har olika departement som huvudmän. Ett exempel på detta är samarbetet som finns mellan Säkerhetspoli-

129

sen, Militära underrättelse- och säkerhetstjänsten (MUST) och Försvarets radioanstalt (FRA) för kvalificerade it-brott och mer omfattande angrepp på it-system. Detta samarbete, som kallas Nationell samverkan mot kvalificerade it-brott (NSIT), syftar till att bättre utnyttja de expertresurser som de olika myndigheterna besitter.

Utöver dessa nationella frågor finns det frågor kopplade till it- brottslighet och informationssäkerhet med en tydlig gränsöver- skridande dimension. Därför bevakar departementets enheter de internationella frågor som är kopplade till dess ansvarsområden. Här pågår viktigt arbete inom bl.a. EU (bl.a. den lagstiftande verk- samheten och samarbetet med it-brottscentret EC3 vid Europol, samt förhandlingar av NIS-direktivet), FN:s organ för narkotika och brottslighet UNODC och Europarådet (i synnerhet kopplat till konventionen om it-relaterad brottslighet – ETS 185). Främjandet av bilateralt samarbete med tredje länder är också en viktig del i detta.

Utrikesdepartementet

Utrikesdepartementet (UD) ansvarar för Sveriges förbindelser med andra länder och de handlingsalternativ som ligger till grund för regeringens ställningstaganden i utrikespolitiska frågor. Globala frågor som rör internationella informations- och kommunika- tionsteknologier (ICT) har snabbt blivit ett växande och angeläget utrikespolitiskt frågekomplex som spänner över hela bredden av internationella relationer – bl.a. säkerhet, folkrätt, handel, ut- veckling och inte minst demokrati och mänskliga rättigheter – och behandlas i en mängd multilaterala, regionala och bilaterala fora.

Internationella cyberfrågor utgör i allt högre grad en integrerad del av UD:s verksamhet. Det övergripande ansvaret för cyber- området inom UD främst ligger hos UD-FMR och UD-SP som har ett mycket nära samarbete. Därutöver berörs en rad andra en- heter också av cyber- och internetrelaterade frågor, inklusive UD- IH vad gäller handelsaspekter och allmänt för de olika geografiska enheterna.

UD har nära samarbeten med övriga Regeringskansliet, bl.a. Näringsdepartementet vad gäller internets styrning, Justitiedepar-

130

tementet vad gäller arbetet med informations- och cybersäkerhet och cyberbrottsfrågor och Försvarsdepartementet vad gäller cyber- försvarsfrågor. UD ansvarar även för Sveriges säkerhetspolitiska doktrinutveckling där cybersäkerhet förväntas spela en tilltagande roll i framtiden

UD ansvarar för en omfattande mängd svenska ställningstagan- den och hanterande av internationella cyberfrågor ur en rad olika aspekter, exempelvis internationell normbildning, deltagande i en stor mängd konferenser och möten, internationella förtroendebyg- gande åtgärder, resolutionsarbete, kapacitetsbyggande åtgärder och samarbeten och övningar liksom EU:s externa samarbeten och politiska dialoger. Cyberfrågor behandlas numera i en rad multila- terala och regionala organisationer för vilka UD har huvud- eller medansvar för, bl.a. FN, EU, Nato, Europarådet och OSSE.

Cyberfrågorna med sådant perspektiv utgör därmed en del av Sveriges samlade utrikes- och säkerhetspolitik. De grundförutsätt- ningar som är allmänt vägledande för Sveriges utrikes- och säker- hetspolitik återspeglas även i arbetet med cyberfrågorna.

Försvarsdepartementet

Försvarsdepartementet ansvarar bl.a. för Sveriges militära försvar och dess stödmyndigheter samt samordning mellan det militära försvaret och det civila försvaret inom ramen för totalförsvar. Departementet planerar på strategisk nivå insatser och säkerhetsfrämjande verksamhet i och utanför vårt närområde och ger uppdrag till myndigheterna att genomföra samt följa upp dessa insatser.

Försvarsdepartementet handlägger bl.a. förvaltningsärenden som gäller det militära försvaret, bi- och multilateralt försvars- och materielsamarbete och försvarsunderrättelseverksamhet. I dessa ingår bl.a. it-försvars-, signalskydds- och vissa informationssäker- hetsrelaterade frågor.

Försvarsdepartementets organisation framgår av Regerings- kansliets föreskrifter med arbetsordning för Försvarsdepartementet (RKF 2014:11) och består av ett antal sekretariat och enheter.

Sekretariatet för säkerhetspolitik, internationella relationer och analys (SI) svarar för frågor om säkerhetspolitik och internationell samordning.

131

Enheten för samordning av försvarsunderrättelsefrågor (SUND) har till uppgift att löpande följa, inrikta och utveckla försvars- underrättelseverksamheten. Enheten har beredningsansvar för styrning av bl.a. Försvarets radioanstalt (FRA), och Försvarsmakten, såvitt avser myndighetens enhet för underrättelse- och säkerhetstjänst (MUST).

Enheten för materiel, forskning och utveckling (MFU) svarar för materielförsörjning, forskning och utveckling samt annan stöd- verksamhet avseende departementets myndigheter. Enheten har beredningsansvar för styrning av bl.a. Försvarets materielverk (FMV) och Totalförsvarets forskningsinstitut (FOI).

Enheten för militär förmåga och insatser (MFI) svarar för frå- gor om det militära försvaret. Enheten har beredningsansvar för styrning av Försvarsmakten med undantag för de delar av myndig- heten som SUND ansvarar för.

Vissa av Försvarsdepartementets myndigheter löser uppgifter inom informationssäkerhetsområdet, som en del av sina huvud- uppgifter.

Inom Försvarsmakten finns den Militära underrättelse- och säkerhetstjänsten (MUST). MUST:s säkerhetskontor ansvarar för kravställning, granskning, godkännande och vidmakthållande av signalskyddsystem för totalförsvaret samt kravställning och god- kännande av säkerhetsfunktioner för IT-system i Försvarsmakten. Signalskyddstjänsten syftar till att förhindra obehörig insyn och påverkan av telekommunikations- och it-system. MUST:s under- rättelse- och säkerhetsunderrättelseverksamhet bidrar även till att kartlägga yttre it-hot mot Sverige och svenska intressen.

Inom Försvarsmakten finns även ett antal ledningsförband som har till uppgift att skydda Försvarsmaktens it-system mot angrepp. Inom it-försvarsförbandet (ITF) finns funktionen FM CERT (Computer Emergency Response Team) som hanterar IT-säkerhetsincidenter i Försvarsmakten samt analyserar och föreslår förbättringar i myndig- hetens verksamhet utifrån ett informationssäkerhetsperspektiv.

FRA har uppgiften att upprätthålla hög kompetens inom tek- nisk informationssäkerhet och stödjer andra myndigheter och stat- liga företag med informationssäkerhetsanalyser. FRA biträder även Försvarsmaktens signalskyddsverksamhet med expertkompetens inom kryptografi. Inom myndighetens försvarsunderrättelseverk- samhet bedrivs signalspaning för att bl.a. kartlägga allvarliga yttre

132

hot mot samhällets infrastrukturer. Det omfattar t.ex. att upptäcka it-angrepp från utlandet mot känsliga informationssystem i Sverige.

Hos FMV finns Sveriges certifieringsorgan för it-säkerhet (CSEC). CSEC är en oberoende enhet inom FMV, och verkar som Sveriges nationella evaluerings- och certifieringsorgan för it-säker- het i produkter och system enligt standarden Common Criteria. CSEC licensierar företag som utför granskningar enligt dessa reg- ler. Produkter som certifierats av CSEC används av bl.a. Försvars- makten.

FOI bedriver forskning, metod- och teknikutveckling för totalförsvaret, bl.a. inom informationssäkerhetsområdet, t.ex. ut- veckling av försvar av it-system. Till sin hjälp har man bl.a. avance- rade simuleringssystem.

Näringsdepartementet

Inom Näringsdepartementet finns sedan 2015 två enheter som arbetar med digitaliseringen, it-politiska enheten (ITP) och en- heten för elektronisk förvaltning (EF). Verksamheten vid enhet- erna styrs av de mål som beslutats av regering och riksdag samt av de övergripande målen för Näringsdepartementet och it-politiken.

Arbetet vid ITP-enheten handlar om egna sektorsområden (t.ex. myndighetsstyrning av PTS, reglering av elektronisk kommunikation etc.), men också om horisontella frågor och samordning (t.ex. den digitala agendan). Då infrastrukturen och aktörer som utbjuder elektroniska tjänster arbetar på en konkurrensutsatt marknad påverkar det statens möjligheter till påverkan och styrning. Staten och det offentliga (inklusive kommuner och landsting) är å andra sidan en stor it-användare och har i dessa avseenden stora möjligheter att som kund kunna påverka utvecklingen (t.ex. e-förvaltning). Systemet med gemensam beredning innebär att enheterna också blir berörd av it- aspekter inom många politikområden. ITP-enheten ansvarar för över- gripande frågor, reglering, främjande och utveckling inom områdena it och elektronisk kommunikation samt post- och betaltjänster. Enheten arbetar bl.a. med bredbandsmarknaden, nätsäkerhet, radiospektrum- frågor och internets förvaltning. Ansvarsområdet omfattar även styrning och uppföljning av Post- och telestyrelsen, samt Digitaliseringskommissionen. De åtgärder som vidtas syftar till att

133

skapa goda förutsättningar för väl fungerande marknader och effektiv konkurrens. Hushåll och företag ska ha tillgång till effektiv, robust och säker infrastruktur och bästa möjliga utbud av kommunikations- tjänster. Därutöver ska alla i samhället ha tillgång till grundläggande betaltjänster till rimliga priser. Politiken omfattar även åtgärder som syftar till att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter och åtgärder som syftar till att Sverige ska ha bredband i världsklass. Hushåll och företag ska ha goda möjligheter att använda sig av elektroniska samhällstjänster och service via bredband.

EF-enheten ansvarar för övergripande it-frågor i statsförvalt- ningen. Målet är en enklare vardag för medborgare, en öppnare förvaltning som stödjer innovation och delaktighet och en högre kvalitet och effektivitet i verksamheten. Verksamheten omfattar flera delområden. Strategisk styrning och samordning av det myn- dighetsövergripande arbetet med att digitalisera den offentliga verksamheten inklusive strategiska it-investeringar i statsförvalt- ningen. Utveckling, införande och förvaltning av förvaltnings- gemensamma digitala lösningar. Samordning av myndighetsöver- gripande digitala lösningar mellan olika verksamhetsområden. Mjuka infrastrukturella förutsättningar för digitalisering: it-arkitektur, standarder och myndighetsövergripande informationssäkerhet. Uppföljning av myndigheternas it-verksamhet. Myndighetgemen- samma arbetssätt: vägledningar, ramverk och kompetensutveckling. Juridiska förutsättningar för digital samverkan. Styrning och utveckling av e-legitimationsnämnden, E-delegationen och organisa- toriska förutsättningar för det offentliga Sveriges digitalisering. Nämndens uppgift är att stödja och samordna offentliga sektorns behov av säkra metoder för elektronisk identifiering och signering. Delegationen har bl.a. i uppdrag att driva på e-utvecklingen inom offentlig sektor, att arbeta med e-förvaltning, sociala medier och vidareutnyttjande av offentlig information (PSI-direktivet).

ITP-enheten och EF-enheten är involverade i ett stort antal olika internationella samarbeten och EU-samarbeten, till exempel Europeiska Unionens råd (telerådet) och rådsarbetsgrupp H5 telekom/ informationssamhällets tjänster, högnivågrupper för Digital agenda för Europa, Enisa (Europeiska byrån för nät- och informa- tionssäkerhet), Nordiska ministerrådets it-forum, Communications Committee (COCOM) och Radio Spectrum Committee (RSC).

134

Utöver det så deltar ITP-enheten också i olika internationella sam- arbeten rörande internets förvaltning till exempel International Corporation for Assigned Names and Numbers (ICANN), Inter- national Telecommunications Union (ITU), Universal Postal Union (UPU) och flera olika OECD grupper inom it-området. EF-enheten deltar även i genomförandearbetet avseende EU:s eIDAS-förordning (om EU-gränsöverskridande e-signaturer, e-ID) och i projekten e- Sense/Stork 2.0 om e-ID. Samtliga dessa organ hanterar från tid till annan nät- eller informationssäkerhetsrelaterade frågor.

7.3Uppdrag från regeringen

7.3.1Utredningsdirektiv

Regeringen beslutade den 8 december 2011 att tillkalla en särskild utredare med uppdrag att göra en översyn av säkerhetsskyddslag- stiftningen En modern säkerhetsskyddslag (dir. 2013:110). Utred- ningens syfte är främst att bättre anpassa lagstiftningen till det som krävs för att skydda verksamhet som har betydelse för rikets säker- het och till de krav det internationella samarbetet ställer.

Utredningens uppdrag har varit att

analysera vilka verksamheter som är av betydelse för rikets säkerhet eller som behöver skyddas mot terrorism och därför är i behov av säkerhetsskydd,

föreslå hur reglerna om informationssäkerhet, som en del av säkerhetsskyddet, bör vara utformade,

analysera vilka förändringar som kan behövas för att bättre anpassa lagstiftningen till de krav på säkerhetsskydd som ställs i det internationella samarbetet,

analysera hur ett system med säkerhetsklarering kan utformas för svenska förhållanden,

bedöma inom vilka verksamheter registerkontroll till skydd mot terrorism bör få ske,

analysera behovet av förändringar av bestämmelserna om säker- hetsskyddad upphandling,

135

ta ställning till om kravet på svenskt medborgarskap i säkerhets- skyddslagen bör förändras, och

utarbeta nödvändiga författningsförslag.

Utredningen beräknas avsluta sitt arbete under mars månad 2015.

7.3.2Regeringsuppdrag till myndigheter

Under de senaste åren har flera åtgärder initierats för att Sverige ska bli bättre på att utnyttja informationsteknologi i syfte att öka effektiviteten och den konkreta nyttan för medborgare, företag och för regeringens och myndigheternas eget arbete.

Åtgärder för att förbättra samhällets samlade förmåga att förebygga och hantera IT-incidenter

2009 fick Myndigheten för samhällsskydd och beredskap (MSB) i uppdrag lämna förslag på åtgärder för att förbättra samhällets samlade förmåga att förebygga och hantera it-incidenter. MSB redovisade uppdraget 2010 och förslaget gick i huvudsak ut på att skapa ett nationellt operativt samverkanscenter lokaliserat på MSB. Ytterligare förslag var exempelvis att utreda obligatorisk it-incidenthantering och tekniskt intrångsdetekterings- och varningssystem, att informations- säkerhet beaktas i risk- och sårbarhetsanalyser samt att ta fram en nationell plan för att hantera allvarliga it-incidenter.

Nationell hanterandeplan för allvarliga it-incidenter

Regeringen beslutade den 14 april 2010 om ett antal uppdrag till MSB på informationssäkerhetsområdet (Fö2010/702/SSK). Upp- dragen syftar till att stärka samhällets informationssäkerhet och förmåga att förebygga och hantera it-incidenter. MSB fick då i uppdrag att ta fram en nationell plan som klargör hur allvarliga it- incidenter ska hanteras. MSB redovisade uppdraget 2011 och har tagit fram en nationell plan för att hantera allvarliga it-relaterade kriser Nationell hanterandeplan för allvarliga IT-incidenter. Planen

136

syftar till att underlätta för varje aktör genom att tillsammans med andra aktörer ta fram en gemensam lägesbild.

System för obligatorisk it-incidentrapportering för statliga myndigheter

År 2010 fick MSB även i uppdrag att utreda hur ett system för obligatorisk it-incidentrapportering för statliga myndigheter kan utformas. MSB redovisade 2011 ett förslag där systemet för incidentrapportering föreslogs införas stegvis och föregås av en pilotversion i mindre skala. MSB fick 2012 ett tillkommande upp- drag gällande incidentrapportering vilket redovisades senare samma år Nationellt system för it-incidentrapportering. Se vidare i avsnitt 7.5.3.

Utformning av ett sensorsystem benämnt tekniskt detekterings- och varningssystem (TDV)

I april 2010 gav regeringen MSB och Försvarets radioanstalt (FRA) två uppdrag rörande ett tekniskt detekterings- och varningssystem (TDV) för samhällsviktig verksamhet och kritisk infrastruktur. FRA fick i uppdrag att lämna förslag på hur ett sådant system kan utformas. MSB fick i sin tur i uppdrag att lämna förslag på vilka aktörer som ska omfattas av ett sådant system. 2011 redovisade MSB sina förslag, och rekommenderade att alla statliga myndig- heter som är särskilt utpekade i bilagan till krisberedskapsförord- ningen skulle erbjudas att delta i systemet. FRA fick 2011 ett kompletterande uppdrag att komma in med en mer detaljerad redovisning samt att utarbeta en pilotversion av systemet. År 2012 redovisade FRA sitt kompletterande uppdrag och pilotprojektet, vilket innebär att TDV i dagsläget finns i drift hos ett fåtal användare.

137

Tillgänglig och skyddad kommunikationsinfrastruktur för offentlig sektor

År 2010 fick MSB i uppdrag av regeringen att lämna förslag på en säker digital informations- och kommunikationsinfrastruktur för myndigheter, kommuner och landsting. 2011 lämnade MSB sitt förslag på hur en tillgänglig och skyddad kommunikationsinfra- struktur för offentlig sektor skulle kunna skapas. Förslaget går i huvudsak ut på att skapa en sammanhållande organisatorisk struk- tur med uppdrag att samordna, inrikta, ansvara för drift och för- valta. Vissa delar av infrastrukturen ska enligt förslaget tillhanda- hållas genom staten och andra genom näringslivet. Se vidare avsnitt 7.5.4.

Strategi och handlingsplan för samhällets informationssäkerhet

Regeringen gav MSB i uppdrag att tillsammans med övriga myn- digheter som ingår i SAMFI att ta fram en strategi för samhällets informationssäkerhet 2010–2015. Strategin omfattar hela samhället, det vill säga alla statliga myndigheter, kommuner och landsting, företag, organisationer och privatpersoner. Den anger strategiska mål och områden samt principer för informationssäkerhetsarbetet. Strategin förvaltas av MSB.

För att förverkliga strategins intentioner har SAMFI-myndig- heterna tagit fram en nationell handlingsplan för samhällets in- formationssäkerhet. Syftet med handlingsplanen är även att skapa en grund för en aktiv dialog om mål och metoder i det nationella informationssäkerhetsarbetet och en möjlighet för den enskilda organisationen att samordna sitt säkerhetsarbete med det nationella säkerhetsarbetet. Planen innehåller ett trettiotal åtgärdsförslag som syftar till att förverkliga den strategi för samhällets informations- säkerhet som SAMFI-myndigheterna gemensamt lade fram i janu- ari 2011.

Arbetet med handlingsplanen har omfattat diskussioner och samverkan med ett stort antal aktörer. Därigenom har arbetet med handlingsplanen fortlöpande förankrats på olika nivåer i samhället.

Arbetet med handlingsplanen utgör även ett verktyg för myn- digheterna i SAMFI att ta fram prioriterade åtgärder för att stärka samhällets informationssäkerhet. Åtgärdsförslagen ligger inom

138

ramen för de uppdrag som myndigheterna i SAMFI har. Planen är dock inte en komplett redovisning av de informationssäkerhets- främjande åtgärder som de olika myndigheterna genomför inom sina respektive verksamheter.

Handlingsplanen innehåller ett flertal konkreta åtgärder inom informationssäkerhetsområdet, bl.a. hur allvarliga it-incidenter ska hanteras, samt hur tekniska kompetensnätverk av experter kan skapas för att stödja samhället vid allvarliga it-incidenter och förslag på åtgärder för att skapa en ökad förmåga till respons.

Arbetet med 2012 års handlingsplan kommer att avslutas 2015. Under de senaste två åren har myndigheterna i SAMFI och andra aktörer genomfört ett stort antal aktiviteter för att öka samhällets informations- och cybersäkerhet. Arbetet med aktiviteterna pre- senteras efter halva tiden i en statusrapport om läget i arbetet.

Hur det civila försvaret kan utvecklas och stärkas

Regeringen uppdrog i juni 2014 åt MSB att redovisa hur det civila försvaret kan utvecklas och stärkas. MSB lämnade den 16 december 2014 en rapport till regeringen Så kan det civila försvaret utvecklas och stärkas (dnr MSB 2014-3277). Vad avser informations- och cybersäkerhet lade MSB fram ett flertal förslag och slutsatser. Det konstaterades att informations- och kommunikationssystem är en viktig och avgörande resurs inom i stort sett all samhällsverk- samhet. Kris- och krigsviktig verksamhet och kritisk infrastruktur bör kunna skyddas med olika medel och metoder, där krypto- grafiska funktioner är ett sätt. Vidare konstaterade MSB att obligatorisk it-incidentrapportering är mycket väsentlig för att stärka den nationella förmågan att hantera it-incidenter i system som är kritiska för samhällsviktig verksamhet inför och under höjd beredskap. Även aktörer utanför den statliga sfären kommer att behöva omfattas om förmågan ska bli tillfredsställande. MSB drog vidare följande slutsatser. Arbetet med kommunikationssäkerhet i standardprodukter/program bör utvecklas i syfte att säkerställa att en bred krets av samhällsaktörer kan få tillgång till säker kommunikation inför och under höjd beredskap. Förmågan till informationshantering i dag är av stor vikt för samhällets aktörer. Det systematiska informationssäkerhetsarbetet som redan i dag

139

bedrivs bör väga in de krav som gäller under höjd beredskap. Utan kännedom om olika informationshanteringsprocessers betydelse och beroendeförhållanden kan varken rätt prioriteringar eller rätt skyddsåtgärder vidtas. All planeringsverksamhet avseende höjd beredskap, liksom för övrigt även viktiga områden inom krisbered- skapen, inrymmer betydande delar av information som är av den karaktären att den bör omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400). Informationssäkerhet är därför ett område som i olika avseenden måste åtfölja all den planering för höjd beredskap och krig som genomförs inom olika verksamheter som är av betydelse för det samlade försvaret.

MSB konstaterar i rapporten att möjligheten att i förväg träna sin förmåga i praktisk it-incidenthantering är mycket begränsad. För att praktiskt kunna hantera it-angrepp krävs förmågehöjande träning för samhällsviktig verksamhet. MSB har i samverkan med Totalförsvarets forskningsinstitut utvecklat ett så kallat

”cyberrange” avsedd för förmågehöjande träning i hantering av it- incidenter. MSB kommer att se över möjligheterna till en utökad samverkan för praktisk träning av operatörer i samhällsviktig verksamhet som en del av förberedelserna för höjd beredskap.

MSB anser också att kunskap måste byggas upp hos aktörerna i civila försvaret. Under en följd av år har utbildning avseende för- svarssekretess inte genomförts i den omfattning och med den in- tensitet som kommer att bli nödvändig när planeringen inom om- rådet civilt försvar ska påbörjas. MSB bedömer att det är nödvän- digt att utbildning snabbt kommer igång inom alla berörda myn- digheter, liksom även inom kommuner och landsting, vad avser frågor om informationssäkerhet och försvarssekretess.

MSB avser se över behovet av riktlinjer och metodstöd för kommunikation och lägesrapportering i hela hotskalan. I vardagen och vid kris kan rapportering ske via WIS, eller andra motsvarande system. Rapportering vid höjd beredskap bör kunna ske på motsva- rande sätt via SGSI eller andra säkra kryptografiska informations- och kommunikationssystem. MSB kommer verka för ökad anslut- ning till SGSI och leda utvecklingen av andra tekniska system för kommunikation inför och under höjd beredskap och för sam- hällsviktig verksamhet.

140

7.4Aktuella undersökningar

7.4.1Riksrevisionens rapport

Riksrevisionen har år 2014 granskat om arbetet med informations- säkerhet i den civila statsförvaltningen är ändamålsenlig utifrån ökande hot och risker, Informationssäkerhet i den civila statsförvalt- ningen (RIR 2014:23). Granskningen har inriktats mot den inform- ation som samlats in om vilka hot som realiseras samt de skydds- åtgärder som har vidtagits av övriga myndigheter.

Granskningen omfattar regeringen och dess stöd- och tillsyns- myndigheter: Säkerhetspolisen, Myndigheten för samhällsskydd och beredskap, Försvarets radioanstalt samt i viss mån Post- och telestyrelsen. Granskningen avser att besvara följande två frågor.

Är regeringens styrning av informationssäkerhet i den civila statsförvaltningen effektiv?

Har regeringens stöd- och tillsynsmyndigheter vidtagit tillräck- liga åtgärder för att informera sig och regeringen om vilka hot som finns mot den civila statsförvaltningen, i vilken omfattning de realiseras och vilka skyddsåtgärder som vidtas?

Granskningen har visat på omfattande brister i statsförvaltningen. Av underlaget till granskningen framgår att 84 procent av myndig- heterna som själva administrerar sina it-system uppger att de har en informationssäkerhetspolicy. Samtidigt framgår att 38 procent av myndigheterna bedömer att kompetens, mandat eller resurser är otillräckliga för att utföra informationssäkerhetsarbetet på ett till- fredsställande sätt. Vidare uppger 42 procent av myndigheterna att det saknas regler för vad en riskanalys, som ska göras i ett systema- tiskt informationssäkerhetsarbete, ska omfatta eller när den ska ske. Slutligen uppger 65 procent av myndigheterna att de saknar en kontinuitetsplan. Riksrevisionens bedömning är därför att en stor andel myndigheter inte har centrala delar av ett systematiskt in- formationssäkerhetsarbete på plats.

Riksrevisionens slutsats är att granskningen visar att arbetet med informationssäkerheten inte är ändamålsenligt sett till de hot och risker som finns. Regeringen har inte någon samlad lägesbild över hoten mot den civila statsförvaltningen, i vilken omfattning och mot vilka hoten realiseras samt vilka skyddsåtgärder myndig-

141

heterna vidtar. Detsamma gäller för regeringens stöd- och tillsyns- myndigheter.

För att förbättra statens informationssäkerhet rekommenderar Riksrevisionen därför regeringen följande:

Utöka tillsynen av informationssäkerheten i den civila statsför- valtningen, så att den omfattar väsentligt mer än endast de allra mest skyddsvärda delarna.

Låt utreda om regelverket som styr arbetet med informationssä- kerheten är ändamålsenligt i sin nuvarande utformning och om ansvar för att utöva tillsyn över informationssäkerheten i den civila statsförvaltningen kan samlas och koordineras på ett bättre sätt än i dag. Dessa brister konstaterade Riksrevisionen redan 2007, och då bristerna fortfarande inte är åtgärdade är det angeläget med en skyndsam hantering.

Överväg att låta tillsynsmyndigheten få mandat att utfärda sank- tioner mot myndigheter som inte vidtar nödvändiga åtgärder efter en tillsyn som visat på brister.

Inför snarast en obligatorisk incidentrapportering för samtliga myndigheter. Ge en myndighet i uppdrag att hantera denna rap- portering.

Riksrevisionen konstaterar att det inte finns någon samlad central funktion i Regeringskansliet med ansvar för att bereda frågor om informationssäkerhet i statsförvaltningen och att ärenden rörande informationssäkerhet hanteras på flera departement beroende på ärendets karaktär (intern styrning och kontroll, förvaltningspolitik, krishantering, infrastruktur, etc.). Riksrevisionen anser att inform- ationssäkerhet är en viktig strategisk fråga för hela statsförvalt- ningen, att det krävs kraft i styrningen för att skyddet ska kunna höjas till en ändamålsenlig nivå. För att skapa bättre förutsättningar för en effektiv styrning i informationssäkerhet rekommenderar därför Riksrevisionen följande.

Se till att det finns en funktion och en process i Regerings- kansliet med syfte att samlat hantera informationssäkerheten. Denna funktion och process ska kunna bereda alla de ärenden regeringen måste besluta om för att öka informationssäkerheten i statsförvaltningen. Funktionen ska också vara mottagare av

142

MSB:s information om en samlad lägesbild och annan nödvän- dig information om läget för informationssäkerheten i statsför- valtningen.

Beträffande regeringens stöd- och tillsynsmyndigheter anges att Riksrevisionen i granskningen kunnat visa att de inom nuvarande mandat skulle kunna göra mera, både genom att öka kunskapen om säkerhetsläget och att lämna stöd till den övriga statsförvaltningen för att öka skyddet. För att förbättra statens informationssäkerhet lämnar Riksrevisionen följande rekommendationer.

MSB bör fortsätta och även intensifiera sitt arbete med att söka skapa en gemensam lägesbild för informationssäkerhet i stats- förvaltningen.

MSB har enligt 9 § andra stycket förordningen (2006:942) om krisberedskap och höjd beredskap möjlighet att begära att flera myndigheter än i dag lämnar en redovisning av sin risk- och sår- barhetsanalys till Regeringskansliet och MSB. MSB bör utnyttja denna möjlighet för att därigenom öka den samlade kunskapen om informationssäkerhetsläget och därigenom kunna bidra till en förbättring.

MSB bör lämna de myndigheter som inte uppfyller kraven i föreskrifterna om statliga myndigheters informationssäkerhet (MSBFS 2009:10) det stöd som är nödvändigt, så att de uppnår efterlevnad inom rimlig tid.

Såväl Säkerhetspolisen som FRA genererar viktig kunskap om säkerhetsläget inom den mest skyddsvärda delen av statsförvalt- ningen. Säkerhetspolisen och FRA bör därför var för sig syste- matiskt avge aggregerade rapporter om säkerhetsläget till Rege- ringskansliet och MSB.

7.4.2En bild av myndigheternas informationssäkerhetsarbete 2014

Under 2014 har MSB genomfört en kartläggning (enkätundersök- ning) av hur statliga myndigheter tillämpar MSB:s föreskrifter om statliga myndigheters informationssäkerhet (2009:10) och i övrigt

143

arbetar med informationssäkerhet, En bild av myndigheternas in- formationssäkerhetsarbete 2014 – tillämpning av MSB:s föreskrifter.

Föreskrifterna ställer krav på att myndigheterna ska bedriva ett systematiskt informationssäkerhetsarbete. Totalt distribuerades enkäten till 351 myndigheter. 334 myndigheter (drygt 95 procent) besvarade enkäten inom undersökningsperioden och övriga (17 stycken) har inte lämnat något svar. Kartläggningen ger en god bild av hur myndigheterna själva uppfattar sitt arbete med informa- tionssäkerhet och hur de arbetar med föreskrifternas olika krav. Frågorna i kartläggningen hade både direkt koppling till före- skrifternas paragrafer, exempelvis om riskanalys, och frågor av mer generell karaktär beträffande informationssäkerhetsarbete.

MSB har inte tagit del av något underlag från myndigheterna, exempelvis policyer eller informationsklassningsmodeller, och någon närmare bedömning av dokumentens och arbetets ändamåls- enlighet ingår inte i kartläggningen.

Frågor om hur det praktiska informationssäkerhetsarbetet går till har endast ställts till de 227 myndigheter som själva har hand om sitt informationssäkerhetsarbete. Det är således endast dessa som fått besvara enkäten i sin helhet.

Några av resultaten har sammanfattats på följande sätt (s.7–8).

Policy och styrande dokument

84 procent av de myndigheter som besvarat hela enkäten har en informationssäkerhetspolicy.

26 procent av de myndigheter som besvarat hela enkäten kontrollerar inte efterlevnaden, det vill säga ifall policyer och riktlinjer följs av medarbetarna.

Leda och samordna informationssäkerhetsarbetet

74 procent av de myndigheter som besvarat hela enkäten har utsett en informationssäkerhetschef eller motsvarande roll för att leda och samordna informationssäkerhetsarbetet.

144

81 procent av de som leder och samordnar informations- säkerhetsarbetet hos de myndigheter som besvarat hela enkäten rapporterar direkt till myndighetens ledning.

38 procent av de som leder och samordnar informations- säkerhetsarbetet hos de myndigheter som besvarat hela enkäten uppges sakna tillräcklig kompetens, resurser eller mandat för att utgöra uppdraget på ett tillfredsställande sätt.

Informationsklassning

67 procent av de myndigheter som besvarat hela enkäten har en informationsklassningsmodell för att identifiera informations- tillgångarna och kunna ställa rätt krav på informationssäker- heten.

41 procent av de myndigheter som besvarat hela enkäten uppger att det inte är tydligt uttalat vem som ansvarar för att inform- ationsklassning genomförs.

59 procent av de myndigheter som besvarat hela enkäten uppger att det inte är fastslaget när informationsklassning ska ske.

Riskanalys och dokumentation

78 procent av de myndigheter som besvarat hela enkäten har en metod för riskanalys.

42 procent av de myndigheter som besvarat hela enkäten saknar regler för vad riskanalyser ska omfatta eller när det ska ske.

35 procent av de myndigheter som besvarat hela enkäten saknar uttalat ansvar för vem som ska initiera riskanalyserna.

Kontinuitetsplanering

65 procent av de myndigheter som besvarat hela enkäten saknar kontinuitetsplan.

145

59 procent av de myndigheter som besvarat hela enkäten använ- der inte riskanalyserna som stöd vid kontinuitetsplanering.

Ledningens engagemang

45 procent av de myndigheter som besvarat hela enkäten uppger att myndighetens ledning åtminstone i stor utsträckning löpande håller sig informerade om arbetet med informations- säkerhet.

37 procent av de myndigheter som besvarat hela enkäten har ingen eller en mycket begränsad utvärdering av informations- säkerhetsarbetet på myndigheten.

Behov av stöd

Myndigheterna nämnde ett antal områden inom vilka man öns- kade mer stöd, bland annat kravställning, uppföljning, inform- ationsklassning och kontinuitetsplanering.

Myndigheterna önskade sig stöd i flera olika former, bland annat nämndes malldokument, utbildningsdokument, vägled- ningar och praktiska exempel.

7.5Tekniska funktioner för skyddad kommunikation

7.5.1Krypto och signalsskydd

Krypto

Under rubriken krypto ryms en mängd begrepp och metoder som i dag alla bygger på matematisk teoretisk grund. Historiskt sett är ett krypto en metod att förvanska en text eller ett budskap så att avsändaren kan vara säker på att den legitima mottagaren är den ende som kan läsa eller tolka budskapet rätt. Avsikten var också att mottagaren skulle vara övertygad om vem avsändaren var. Nödvän- digt, då som nu, var att mottagaren kände till meddelandets hem- liga nyckel. En kryptonyckel kan sägas vara den minsta inform- ationsmängd som behövs för att fullständigt återskapa det krypte-

146

rade meddelandets information. Dessa principer gäller fortfarande, men de historiska metoderna har ersatts efter hand, och kryptologi är i dag ett forskningsområde inom flera akademiska discipliner. Även moderna krypteringsmetoder har i vissa fall visat sig olämp- liga eller mindre säkra än vad som först bedömdes. Detta kan bero på nya teoretiska landvinningar, kraftfullare datorer för krypto- analys eller att krypteringsmetoden fått annan användning.

Kryptoanalys

Kryptoanalys kan vara antingen (a) att på ett metodiskt sätt för- säkra sig om att en metod för kryptering uppfyller givna krav på säkerhet och funktion, eller, i princip det omvända, (b) att givet resultatet av en kryptering med alla medel försöka återskapa den dolda informationen eller den okända krypteringsnyckeln. En grov beskrivning är att säga att kryptoanalys (a) bedrivs inom signal- skyddsutvecklingen, medan kryptoanalys (b) försiggår inom sig- nalunderrättelseverksamheten. Två traditionellt sett organisatoriskt åtskilda aktiviteter, men där fördelar finns med en närmare relation och ett kunskapsutbyte. Särskilt i riktningen från signalunderrättel- severksamheten till signalskyddsutvecklingen och informations- och cybersäkerhetsarbetet, där vunna erfarenheter kan komma samhället till nytta då det gäller att bygga en säker it -infrastruktur.

Design av krypto

Ett system för informationssäkerhet eller kommunikationssäkerhet

– ett kryptosystem eller ett kryptografiskt protokoll – byggs upp av kryptografiska primitiver som var för sig står för grundläggande egenskaper viktiga för ett krypterande system anpassat till en viss användning. Exempel på primitiver är slumptalsgeneratorer (pseudo random number generator, PRNG), envägsfunktioner (one-way function) och naturligtvis krypteringsfunktioner. Säker- heten hos primitiverna styrks genom att applicera kända attacker och angrepp, och på så sätt få ett visst mått på säkerheten i form av en uppskattning av den tid och datorkraft som skulle krävas för en lyckad attack. Nya attacker upptäcks dock ständigt, och revidering av säkerhetsbedömningen kan behöva göras.

147

Vid design av ett krypto eller kryptosystem är det av största vikt att ta hänsyn till vad kryptot ska användas till. Avvägningar måste göras vad gäller krypteringshastighet, effektförbrukning, minnes- utrymme, nyckelhantering, driftsäkerhet, nationella krav, m.m. Alla dessa faktorer påverkar valet av primitiver och kryptosystemets slutliga utformning.

Forcering av krypto

Att forcera, eller knäcka, krypton är en historiskt sett alltid lika aktuell och fascinerade verksamhet. Att forcera ett krypterat med- delande är att med kryptoanalys, beräkningar och databehandling samt eventuellt med hjälp av någon egenskap hos den dolda in- formationen återvinna hela eller delar av meddelandets innehåll. Det är alltså inte givet att en lyckad forcering också leder till att den hemliga meddelandenyckeln klarläggs.

I de fall krypteringsmetoden är känd och den hemliga nyckeln består av ett lösenord är det enkelt att knäcka kryptot om lösen- ordet är kort eller illa konstruerat. Då prövar kryptoforceraren helt enkelt att dekryptera med alla korta och alla sannolika längre lösenord tills en läsbar text, bild eller annan meningsfull inform- ation erhålls. Vanligt är att krypteringsmetoden är implementerad så att riktigheten hos ett lösenord kan kontrolleras innan dekrypte- ring startar, och detta utnyttjar i så fall forceraren. I detta fall, då man finner ett lösenord genom totalprövning, så talar vi inte om kryptoanalys i egentlig mening eftersom krypteringsmetodens eller kryptots matematiska egenskaper inte utnyttjas.

Metoder för kryptering konstrueras, analyseras och utvärderas av såväl den offentliga forskarvärlden som inom myndigheter och organisationer knutna till nationell säkerhet. Standardiseringsorgan och industrigrupper arbetar fram standarder för hur krypterings- metoder ska implementeras och användas. Nationella säkerhets- myndigheter granskar kryptosystem och utarbetar regler för dess användning innan de godkänns för att skydda information som rör nationens säkerhet eller annan skyddsvärd information. Likväl kan kryptoforceraren under vissa omständigheter ha framgång.

Krypteringsmetodens svagheter, ett insteg som utnyttjas vid forceringsarbetet, kan bero på att de förutsättningar och antagan-

148

den som gällde vid teoretiska analysen inte alltid föreligger då metoden används i praktiken. Avvägningar mellan användarvänlig- het, effektivitet, okunskap och kommersiella hänsyn kan bidra till att mer eller mindre kalkylerade risker accepteras när en standard utformas. Det kan t.ex. vara upp till användaren att göra även säkerhetskritiska konfigureringar när ett krypterande protokoll används för informationsöverföring. Och även om informations- systemet i sig är tillförlitligt, så kan felaktigt handhavande eller brister i nyckelhanteringen bidra till att en kryptoforcerare med tillräckligt stora resurser når framgång.

Under förutsättning att forceraren har tillgång inte bara till den krypterade informationen utan även till det program eller den ut- rustning som utfört krypteringen så öppnar sig andra möjligheter. Det kan vara reverse engineering, som innebär att kryptoutrust- ningens konstruktion och funktion återskapas in i minsta detalj, och att hemliga parametrar på så sätt eventuellt klarläggs. En annan möjlighet är en s.k. sidokanalsattack, där man studerar ström- förbrukning eller annan läckande information, som avslöjar krypto- utrustningens interna tillstånd under krypteringsprocessen.

Signalskydd och krypto för skyddsvärda uppgifter (KSU)

Signalskydd är åtgärder som syftar till att förhindra obehörig insyn i och påverkan av tele- och radiokommunikationer. Signalskydd omfattar bl.a. användning av kryptografiska funktioner i inform- ationssystem. Termen signalskydd har sina rötter i den avlyssning genom signalspaning som ständigt pågår mot telekommunikations- och informationssystem som en väsentlig del av främmande makts underrättelsetjänst

Begreppet signalskydd är starkt reglerat och avser obligatoriskt skydd av elektronisk kommunikation av sekretessbelagda uppgifter som rör rikets säkerhet. Signalskyddssystemens skyddsnivå är dimensionerad att möta hotbilden från andra länders underrättel- setjänster och kräver därför omfattande skyddsåtgärder samt att systemen är företrädesvis är framtagna av en inhemsk kryptoindu- stri.

Behovet av att skydda elektronisk kommunikation i bredare mening än för rikets säkerhet har kommit att bli allt mer aktuellt.

149

Därför har det på senare år tagits fram krypto för skyddsvärda uppgifter (KSU). KSU utgörs av kryptosystem som tillsammans med ett regelverk är nationellt godkända av Försvarsmakten och kan användas vid elektronisk kommunikation av sekretessbelagda uppgifter som inte rör rikets säkerhet. KSU är alltså ingen ersätt- ning utan ett komplement till signalskydd. Termen ”säkra krypto- grafiska” funktioner avser både signalskydd och KSU. Målsätt- ningen med KSU är att kvalitetssäkrade och kommersiellt tillgäng- liga produkter, tillsammans med ett av Försvarsmakten framtaget regelverk och en för organisationen anpassad hantering, ska kunna höja säkerhetsnivån jämfört med i dag.

För att system som använder säkra kryptografiska funktioner ska kunna ge ett effektivt skydd krävs att hela processen, allt från generering av kryptonycklar till slutanvändarnas hantering av systemet, håller en nivå som är anpassad för den information som systemet avser att skydda. Genom nationellt godkännande säker- ställs skyddsnivån och kvaliteten på såväl teknik som regelverk, rutiner och behörighetsutbildning.

I dag har över 160 organisationer godkända signalskyddssystem. För civilt bruk finns 17 godkända signalskyddssystem inom pro- duktområdena datakommunikation, meddelandekrypton och tal- krypton. Dessa system är gemensamma för Försvarsmakten och civila sektorn. Det finns endast ett godkänt KSU-krypto (fil- kryptot KGAI). Detta är dock det nationellt mest utbredda kryp- tosystemet.

Traditionellt har signalskydd framförallt varit en militär angelä- genhet, där det gällt att skydda sin egen kommunikation mot fient- lig signalspaning. Historiskt har det militära behovet av signal- skydd ensamt motiverat omfattande statliga satsningar på ut- veckling av signalskyddssystem.

Det civila behovet har uppstått genom samordningsbehov mellan militärt och civilt försvar inom ramen för totalförsvaret. 1959 skapades därför en totalförsvarsgemensam signalskydds- struktur då Statens signalskyddsnämnd (SN) bildades. Efter det kalla kriget har inriktningen av den civila signalskyddsverksam- heten även kopplats till krisberedskap. I 1992 års försvarsbeslut fick den civila delen av totalförsvaret även uppgift att värna civil- befolkningen under kriser. I 1996 års försvarsbeslut kom det vid- gade säkerhetsbegreppet. Definitionen av totalförsvaret ändrades

150

inte utan insikten om samhällets säkerhet och den vidgade hot- bilden ledde fram till Sårbarhets- och säkerhetsutredningen 2001. Ansvaret för den civila inriktningen och materielförsörjningen övertogs av Krisberedskapsmyndigheten (KBM) från Överstyrel- sen för civil beredskap när KBM inrättades 2002. När KBM lades ned 2008 övergick inriktningsansvaret den civila signalskyddsverk- samheten till den nybildade myndigheten MSB och materiel- försörjningen till FRA. Den civila signalskyddsverksamheten regle- ras i Krisberedskapsförordningen.

År 2007 fick Försvarsmakten i myndighetens instruktion upp- draget att, utöver signalskyddstjänsten, även leda och samordna arbetet med säkra kryptografiska funktioner som är avsedda att skydda skyddsvärd information.

Under senare år har behovet av kryptografiska funktioner för internationell verksamhet ökat markant, särskilt inom EU och NATO. Under 2011 blev Sverige en godkänd andraparts-evaluerare av krypto inom EU. Denna funktion, AQUA (Appropriately Qualified Authority), innehas av Försvarsmakten. Det finns i dag fem svenska kryptosystem som godkänts av Europeiska unionens råd.

7.5.2Sensorsystem

För att skydda information och upptäcka it-säkerhetsincidenter har dagens organisationer ofta ett antal olika säkerhetssystem installe- rade. Det handlar exempelvis om virusskydd, brandväggar, spam- filter och olika intrångsdetekteringssystem. Effektiviteten hos dessa system när det gäller att detektera och hantera it-säkerhets- incidenter med hjälp av olika sensorer beror i stor utsträckning på de kommersiella aktörernas tillgängliga data om skadlig kod, infekterade IP-adresser och motsvarande.

System som använder sensorer för att upptäcka intrång och angrepp (sensorsystem) kan vara utformade på olika sätt och ha som syfte att inte bara stärka organisationens utan även samhällets säkerhet. Vid angrepp som drabbar kritisk infrastruktur och sam- hällsviktig verksamhet på bredare front saknas det för närvarande möjlighet att skapa en sammanhållen lägesbild. I dag förfogar nät- operatörerna, säkerhetsföretag och andra aktörer var och en över

151

sin del av lägesbilden, ingen har direkt tillgång till en helhetsbild. Angrepp eller skadlig kod som drabbar flera verksamheter sam- tidigt riskerar att uppfattas som mindre allvarliga och som enstaka attacker. Det innebär även en risk att varningar samt kunskap om attackens utformning, konsekvenser och möjliga förebyggande åtgärder inte sprids till andra aktörer som kan drabbas av samma angrepp.

Ett sensorsystem består mycket förenklat av tekniska sensorer, en kommunikationslösning och en central funktion för analys som till sin hjälp för att upptäcka angrepp och skadlig kod har en för- teckning över aktuella skadliga koder och IP-adresser. Sensorerna skannar trafik hos anslutna organisationer och om en kod eller IP- adress som finns angiven i förteckningen fångas upp skickas ett larm som kan gå såväl till den verksamhet som är utsatt för it- angreppet som till en central analysfunktion.

7.5.3It-incidentrapportering

I dagsläget finns två former av rapportering av it-incidenter; opera- tiv it-incidentrapportering som sker med frivillighet som grund, och obligatorisk it-incidentrapportering som genomförs kopplat till tillsynsarbete. Det föreligger en viss skillnad emellan de olika formerna av rapportering. Den operativa rapporteringen sker i samverkanssyfte för att dela information och kunskap om inträf- fade incidenter. Genom att kontinuerligt samla information om och analysera it-incidenter utvecklas kunskapen inom detta om- råde. It-incidentrapportering som är kopplad till tillsyn utförs för att skapa underlag för en granskning som sker i ett särskilt syfte.

EU:s arbete med reglering av it-incidentrapportering inom medlemsstaterna präglas av att en enhetlig modell för rapporte- ringen utvecklas inom området. Denna modell återfinns bl.a. i kommissionens förordning 611/2013 av den 24 juni 2013 om åt- gärder tillämpliga på anmälan av personuppgiftsbrott enligt Europaparlamentets och rådets direktiv 2002/58/EG vad gäller personlig integritet och elektronisk kommunikation, artikel 2. Förordningen ligger till grund för operatörernas skyldighet att rapportera integritetsincidenter enligt lagen (2003:389) om elektronisk kommunikation (LEK). En skyldighet att rapportera

152

incidenter av samma modell finns även i Europaparlamentet och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direk- tiv 1999/93/EG, eIDAS, artikel 19. eIDAS börjar tillämpas från den 1 juli 2016.

Operatörerna inom sektorn elektronisk kommunikation om- fattas av en skyldighet att rapportera störningar avseende drift- säkerhet, 5 kap. 6 c § LEK, och integritetsincidenter, 6 kap. 4 a § LEK. Rapportering av incidenter sker till sektorsansvarig myndig- het, PTS. Syftet med operatörernas rapporteringsskyldighet är att skapa ett informativt underlag om inträffade incidenter. Underlaget granskas och utgör i förekommande fall grund för tillsynsärenden.

EU:s reform av reglerna om skydd för personuppgifter inne- håller en skyldighet att rapportera it-incidenter. Sker ett data- intrång ska den nationella tillsynsmyndigheten (i Sverige Data- inspektionen) och de som berörs av intrånget informeras inom 24 timmar. Reformförslaget innebär att Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) ska ersättas av en ny allmän dataskyddsförordning. Dataskydds- direktivet har i Sverige genomförts genom personuppgiftslagen (1998:204) och ett antal särregleringar i förhållande till denna lag (särskilda registerförfattningar).

Sveriges it-incidentcentrum (Sitic) bildades 2003 på PTS som en nationell funktion med uppgift att stödja samhället i arbetet med att hantera och förebygga it-incidenter. Sitic fungerade som en nationell CERT-organisation, dvs. en rikscentral för it-incident- rapportering. 2011 omorganiserades Sitic till MSB och bytte namn till CERT-SE. CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team) med uppgift att stödja samhället i arbetet med att hantera och förebygga it-incidenter. Det finns även andra CERT:ar hos bl.a. Försvarsmakten som hanterar it- säkerhetsincidenter inom de egna organisationerna och samverkar med andra CERT-funktioner vid it-incidenter och i informations- säkerhetsfrågor.

För att stärka samhällets informationssäkerhet och förmåga att förebygga och hantera it-incidenter beslutade regeringen att ge

153

MSB i uppdrag att utreda hur ett system för obligatorisk it- incidentrapportering för statliga myndigheter kan utformas (Fö2010/701/SSK). Uppdraget redovisades 2011 och föreslog en dubbelriktad rapporteringsprocess för inrapportering till MSB/CERT-SE och återkoppling till berörda parter. Det bedöm- des att en kontinuerlig it-incidentrapportering hos statliga myn- digheter skulle kunna bidra till en aktuell lägesbild av tillståndet vid samhällsviktig verksamhet och kritisk infrastruktur.

Regeringen återförde uppgiften till MSB 2012 (Fö2012/717/SSK) med uppdraget att genomföra en fördjupad analys av förslaget om system för obligatorisk it-incidentrapportering för statliga myndig- heter som myndigheten redovisade 2011. I uppdragsredovisningen lämnade MSB förslag på ett nationellt system för it-incident- rapportering. Enligt förslaget skulle det bli obligatoriskt för statliga myndigheter under regeringen att ansluta sig till systemet och frivilligt för övriga aktörer. En grundläggande utgångspunkt var att systemet för obligatorisk och frivillig it-incidentrapportering skulle utformas på ett sådant sätt att det skapas mervärde för anslutna aktörer. Systemet skulle bidra till ökad informationssäkerhet och förmåga till kris- beredskap både på organisations- och samhällsnivå. I redovisningen påpekas att de rapporterande organisationernas förtroende för it- incidentrapporteringssystemet är centralt för dess funktion och effekt. Vidare konstaterades att det redan i dag finns incidentrapporterings- system för specifika syften. I uppdraget ingick inte att utforma ett system som ersätter denna typ av rapporteringssystem. Det föreslagna systemet skulle inte ersätta anmälningar om brottslig verksamhet till Polismyndigheten.

7.5.4Skyddad kommunikationsinfrastruktur

God informationssäkerhet kräver en informationsinfrastruktur som medger säker hantering av information och kommunikation. Informationsinfrastrukturen bör fungera för såväl normala för- hållanden som för krisberedskap och för totalförsvarets behov med bibehållande av en hög nivå av informationssäkerhet.

Regeringen gav den 14 april 2010 MSB i uppdrag att senast den 1 mars 2011 lämna förslag beträffande en säker digital inform- ations- och kommunikationsstruktur för myndigheter, kommuner

154

och landsting (Fö2010/701/SSK). MSB genomförde uppdraget i samråd med andra aktörer, bl.a. SAMFI, FOI, Skatteverket samt Delegationen för e-förvaltning. I uppdraget ingick att beakta såväl befintliga kommunikationsinfrastrukturer, kommersiella system samt alternativa förslag. Samråd skulle även ske med Försvarsmak- ten samt Försvarets radioanstalt i syfte att analysera hur befintliga eller kommande kryptosystem kan användas för att skydda skydds- värd eller sekretessbelagd information. Uppdragsredovisningen föranledde inga vidare åtgärder från regeringen.

Det finns flera informationsinfrastrukturer för offentlig sektor. Försvarsmakten är systemägare av Försvarsmaktens Telenät (FTN) och Försvarsmaktens IP-nät (FMIP). Mer om FTN i följande avsnitt. Nätens robusthet och redundans är anpassade efter Försvarsmaktens behov. Trafiken går krypterad över Försvarsmaktens egen radiolänk, samt i förhyrd fiber i privata nät som leds trafikskyddad till Försvarsmaktens egna noder. Trafiken i FMIP är krypterad med Försvarsmaktens egen kryptering och Försvarsmakten elförsörjer sina egna nät. Externa aktörer vars verksamhet är av kritisk betydelse för samhället har tillgång till FTN och FMIP.

Swedish Government Secure Internet, (SGSI) etablerades ur- sprungligen för att tillgodose behovet av skyddad kommunikation mellan svenska myndigheter och EU-myndigheter. Det är ett vir- tuellt nät som är logiskt separerat från det allmänna kommuni- kationsnätet och som medger krypterad kommunikation med de andra aktörer som är anslutna till nätet. SGSI är anslutet till EU:s säkerhetsskyddade kommunikationsnät, sTESTA (secure Trans European Services for Telematics between Administrations) via en gateway. SGSI administreras av MSB. Försvarsmakten ansvarar för drift av knutpunkt samt kryptering.

För att skapa en skyddad kommunikationsinfrastruktur krävs såväl fysiska som logiska skyddsåtgärder. Arbetet med de fysiska skyddsåtgärderna bedrivs på olika sätt beroende av om staten väljer att bygga, äga och förvalta hela kommunikationsstrukturen själv, eller att hyra svartfiber i existerande privata nät, såsom Teracom, Svenska Kraftnät och liknande aktörer. Det logiska skyddet om- fattar bl.a. ett krypterat skydd för trafiken och andra åtgärder.

Oavsett vilken lösning som är aktuell är det angeläget att beställaren äger tillräcklig kunskap om vilken säkerhet som krävs för att skydda olika typer av kommunikation. Den statliga förvalt-

155

ningen omfattar verksamheter vars behov av skydd är av olika karaktär. För att kunna ställa adekvata krav vid upphandling och avtals ingående krävs kunskap om informationssäkerhet och en bred samverkan inom den statliga förvaltningen.

En säker informationsinfrastruktur för den statliga förvalt- ningen är en förutsättning för dess informationssäkerhet. Det finns i dagsläget alternativ som erbjuder skyddad informationshantering och kommunikation. En avvägning mellan kostnader och behovet av säkerhet behöver ske inför arbetets utveckling. Kostnads- drivande lösningar måste ställas emot behovet av en säker kommu- nikationsinfrastruktur som är dimensionerad för den statliga för- valtningens behov. Skyddet måste vara adekvat och anpassat för att fungera för såväl krisberedskap som för totalförsvarets behov. Det kan dock finnas anledning att särskilt beakta konsekvenserna av att involvera privata aktörer då det i dagsläget inte finns någon regle- ring som kräver att de privata aktörerna inom sektorn elektronisk kommunikation ska bedriva sin verksamhet sammanhållet inom Sverige. Dessutom behöver arbetet med en skyddad kommuni- kationsinfrastruktur ta hänsyn till att det finns frågor avseende det fortifikatoriska skyddet som kvarstår som olösta.

Försvarets telenät

Hela vårt moderna samhälle är beroende av att telekommuni- kationerna fungerar bra. Information måste snabbt, säkert och oförvanskad kunna nå fram till rätt mottagare. Detta gäller i särskilt hög grad försvarets olika delar. Såväl i fred som i kris och krig kan störningar i teletrafiken få ödesdigra konsekvenser. I Sverige finns ett separat landsomfattande telenät som skapats för att tillgodose militära behov av ett skadetåligt nät för telekommunikationer. Det kallas Försvarets Telenät (FTN) och är uppbyggt som ett komplement till de publika (allmänt tillgängliga, kommersiella) telenäten. FTN är logiskt avskilt från de publika telenäten, vilket är en grundförutsättning för att kunna säkerställa erforderligt samband när publika nät utsätts för extrema påfrestningar och överbelastningar. Erfarenheter visar att även förhållandevis vardagliga händelser kan generera så mycket trafik att publika nät överbelastas.

156

Anläggningar i FTN:s stomnät utgörs av fortifikatoriskt skyddade byggnader utformade för obemannad teknisk drift. Anläggningarna är militära skyddsobjekt och tillträdeskontrollerade.

FTN har tillkommit av flera skäl. Det viktigaste är att de mili- tära kraven i vissa avseenden är så höga att de publika telenäten inte uppfyller dem. Ett annat viktigt skäl är att de publika telenäten finns främst i tätbefolkade områden där den kommersiella efter- frågan är störst. Försvaret, å andra sidan, måste kunna verka i hela landet.

Abonnenterna i FTN är främst förband inom mark-, sjö- och luftstridskrafterna samt bemannade och obemannade anläggningar tillhörande dessa stridskrafter. FTN har även abonnenter inom det civila totalförsvaret och antalet civila abonnenter har ökat med tiden. Luftförsvarsutredningen 2040 skriver följande i betänkandet SOU 2014:88 s. 23:

”Robusta lednings- och sambandssystem utgör en viktig grund för den sammanlagda funktionen inom luftstridskrafterna. Att säkerställa ett robust, och inom Försvarsmakten väl balanserat gemensamt ledningssystem, är inte bara en fråga för luftförsvaret utan är en betydelsefull komponent i det civila samhället.”

7.6Samverkan

7.6.1Samverkansgruppen för informationssäkerhet (SAMFI)

I gruppen SAMFI samverkar i dag myndigheter med särskilda upp- gifter och särskilt ansvar inom området informationssäkerhet. Gruppen träffas cirka sex gånger per år och syftet är att underlätta samarbetet genom informationsutbyte och samverkan. De myndig- heter som medverkar är följande.

Myndigheten för samhällsskydd och beredskap (MSB)

Post- och telestyrelsen (PTS)

Försvarets radioanstalt (FRA)

Säkerhetspolisen (Säpo) och Nationella operativa avdelningen (NOA, tidigare Rikskriminalpolisen) i samverkan

157

Försvarets materielverk (FMV)/Sveriges Certifieringsorgan för it-säkerhet (CSEC)

Försvarsmakten (FM)/Militära underrättelse- och säkerhets- tjänsten (MUST)

SAMFI bildades 2003 efter att regeringens då nya strategi för samhällets informationssäkerhet föreslagits i propositionen Sam- hällets säkerhet och beredskap (prop. 2001/02:158). Strategin skulle i huvudsak bäras upp av de fyra myndigheterna Krisberedskapsmyn- digheten (KBM), PTS, FMV samt FRA. För att underlätta sam- arbetet mellan dessa myndigheter bildades SAMFI och i samband med detta inbjöds även FM/MUST samt Säpo och Rikskriminal- polisen att medverka. I samband med att MSB bildades år 2009 övertog myndigheten ansvaret för SAMFI.

MSB har i samverkan med övriga myndigheter i SAMFI tagit fram strategin för samhällets informationssäkerhet 2010–2015. År 2012 publicerade MSB tillsammans med de myndigheter som ingår i SAMFI en handlingsplan som ska stärka informationssäkerheten i samhället och förverkliga strategin, se avsnitt 7.3.2.

SAMFI verkar för säkra informationstillgångar i samhället avse- ende förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet. Genom informationsutbyte och samverkan stödjer SAMFI deltagande myndigheter varandras arbete avseende samhällets informationssäkerhet.

SAMFI berör frågeställningar inom huvudsakligen följande aktivitetsområden:

Strategi, handlingsplan och regelverk

Tekniska frågor och standardiseringsfrågor

Nationell och internationell utveckling inom informationssäker- hetsområdet

Informationsaktiviteter

Övningar och utbildning

Hantering och förebyggande av it-incidenter

MSB avsätter resurser för ett SAMFI-kansli. Övriga SAMFI–myn- digheter bidrar med resurser vid behov och efter förmåga.

158

Representanter för de myndigheter som ingår i SAMFI träffas för att diskutera pågående arbete och aktuella frågor inom samhällets informationssäkerhet. Efter koncensus i SAMFI kan arbetsgrupper tillsättas för att arbeta med aktuella frågor. En SAMFI-myndighet har rätt men inte skyldighet att delta i dessa arbetsgrupper. Som exempel på SAMFI:s arbetsgrupper kan nämnas följande.

SAMFI Ag Handlingsplan: Arbetsgruppen etablerades för att stödja MSB i arbetet med att ta fram handlingsplanen för sam- hällets informationssäkerhet 2012.

SAMFI Ag Skyddsprofiler: Arbetsgruppen arbetar med utveck- lingen av skyddsprofiler, enligt standarden Common Criteria, för prioriterade produktkategorier.

SAMFI Ag Informationssäkerhetskonferens: Arbetsgruppen planerar och genomför den årliga informationssäkerhetskonfe- rensen för offentlig sektor.

SAMFI Ag Terminologi: Arbetsgruppen har arbetat med att bearbeta underlag för den kommande utgåvan av SIS HB 550

Terminologi för informationssäkerhet.

7.6.2Nationell samverkan till skydd mot allvarliga it-hot (NSIT)

Säkerhetspolisen, Försvarsmakten (Must) och Försvarets radio- anstalt (FRA) har inom området it-hot sedan 2012 ett samarbete kallat Nationell samverkan till skydd mot allvarliga it-hot (NSIT). Inom ramen för NSIT-samarbetet analyseras och bedöms hot och sårbarheter när det gäller allvarliga eller kvalificerade it-angrepp mot våra mest skyddsvärda nationella intressen. Syftet är att ut- veckla samverkan för att försvåra för en kvalificerad angripare att komma åt eller skada svenska skyddsvärda civila och militära resur- ser.

159

7.6.3Nationella telesamverkansgruppen (NTSG)

Inom sektorn elektronisk kommunikation arbetar bl.a. de största operatörerna i den nationella telesamverkansgruppen NTSG. NTSG har initierats av PTS och är ett frivilligt samarbetsforum med syfte att stödja återställandet av den nationella infrastrukturen för elektroniska kommunikationer vid extraordinära händelser i samhället. I gruppen ingår bl.a. operatörer, Svenska Kraftnät, Teracom, Trafikverket ICT, Försvarsmakten, Myndigheten för samhällsskydd och beredskap samt Post- och telestyrelsen.

Gruppen verkar i syfte att stödja återställandet av den nationella infrastrukturen för elektroniska kommunikationer vid extraordinära händelser i samhället. Vid stora kriser eller extraordinära händelser kan det uppstå situationer som underlättas av att operatörerna bistår varandra. Vid en kris sammanställer gruppen skadeläget, åter- rapporterar läget till berörda parter och ger vid behov förslag till åtgärder. Gruppen kan också om så krävs, koordinera insatser.

I NTSG bedrivs arbetet med Gemensam lägesuppfattning (GLU). Syftet med GLU är att reducera störningar och minska effekten av dem för andra sektorer i samhället vars verksamhet är beroende av elektronisk kommunikation. Syftet är också att öka samhällets förmåga att hantera konsekvenser av störningar och avbrott i näten. Målet är att skapa en gemensam lägesuppfattning hos aktörerna inom sektorn elektronisk kommunikation i händelse av stora störningar. En gemensam lägesuppfattning ökar sam- verkansmöjligheterna, då operatörerna på ett snabbt sätt kan erhålla och utbyta detaljerad information om status och prognos för pågående störningar i viktiga tjänster i näten. Hos operatörerna utnyttjas informationen i arbetet för att återställa kapaciteten och minska konsekvenserna av störningarna.

Delar av informationen i GLU går att formulera så att den kan göras förståelig och delges andra intressenter. Operatörernas kunder kan exempelvis vara andra teleoperatörer, företag, myndig- heter, kommuner och enskilda personer. I GLU får dessa och andra aktörer i samhället inom exempelvis elsektorn, krisansvariga myndigheter, medierna och allmänheten tillgång till information om läget via internet och respektive operatörs webbplats.

Driftinformation mellan operatörer, DIO, är ett system som används mellan operatörer och innebär att driftinformation kan

160

utbytas på ett standardiserat sätt. DIO syftar till att skapa en mer ekonomisk, säkrare och effektivare överföring av information om driftstörningar orsakade av akuta fel eller planerade avbrott.

7.6.4Nationellt arbete med fokus på industriella informations- och styrsystem

Inom området industriella informations- och styrsystem är det centralt att upprätthålla en hög nationell kompetens kring säkerhet i industriella informations- och styrsystem (SCADA-system). Se avsnitt 4.4.3 avseende hot och risker inom området. Det är också viktigt att genom internationell samverkan följa och ibland leda arbetet med harmonisering av standarder och branschpraxis och att länder lär av varandra.

För att stötta den speciella situation som råder i verksamheter som hanterar industriella informations- och styrsystem driver Myndig- heten för samhällsskydd och beredskap, sedan ett antal år tillbaka dessa frågor i en samlad satsning, ett program för ökad säkerhet i industriella informations- och styrsystem. Arbetet riktar sig såväl mot den offentliga som privata sektorn och fokuserar på medvetande- höjning, kunskapshöjning och förmågehöjning av berörda aktörer. De mer precisa målgrupperna är de aktörer som driver industriella informations- och styrsystem, exempelvis elbolag, vattenproducenter, transportföretag och kemiska processindustrier. Även kommuner och myndigheter med ansvar för en ”sektor” är viktiga målgrupper, liksom leverantörer av teknisk utrustning som ingår i industriella informations- och styrsystem. En central del i detta arbete är det kunskapscentrum som MSB har etablerat i samverkan med Total- försvarets forskningsinstitut (FOI). Arbetet mellan MSB och FOI har bedrivits de senaste sju åren och för fyra år sedan etablerade myndig- heterna tillsammans, Nationellt centrum för säkerhet i styrsystem för samhällsviktig verksamhet (NCS3). Inom ramen för NCS3 genomförs bland annat teknisk utbildning av aktörer från samhälls- viktig verksamhet. Under det senaste året har bland annat ett nytt koncept för praktisk träning i att motstå it-angrepp tagits fram. I ett så kallat cyberrange får de olika aktörerna öva och se effekterna av hot- och risker mot samhällsviktig verksamhet.

Inom centrumbildningen (mellan MSB och FOI samt andra berörda aktörer) genomförs också studier som syftar till att analy-

161

sera säkerhetsproblem kopplade till industriella informations- och styrsystem. Dessa studier kan vara av både teknisk och strategisk karaktär och de färdiga rapporterna används sedan för att öka olika aktörers medvetenhet om hot och risker i denna domän.

De utbildningsinsatser som bedrivs inom NCS3 är av med- vetandehöjande, kunskapshöjande och förmågehöjande natur.

En av de centrala delarna i MSB:s program för ökad säkerhet i industriella informations- och styrsystem är medvetandehöjande aktiviteter. Dessa består bl. a. i att hålla föredrag på mässor och branschträffar för att belysa vikten av säkerhet i industriella informations- och styrsystem. I detta sammanhang är det viktigt att nå ut till personer på ledningsnivå. MSB har beskrivit för utred- ningen att det är slående ofta som ansvariga chefer inte känner till skillnaden mellan kraven på it-säkerhet ”på kontoret” och kraven som råder i industriprocesserna. Industriella informations- och styrsystem ”faller mellan stolarna” och betraktas inte som it- system utan som produktionssystem. Det kan få till följd att det inte finns någon som tar ansvar för säkerheten i dessa system eller ställer krav på att säkerheten ska utvecklas. Genom NCS3 har programmet också utvecklat ett antal så kallade demonstratorer som på ett pedagogiskt sätt kan gestalta effekten av ett angrepp mot ett industriellt informations- och styrsystem. I dagsläget används främst en modell av ett vattenreningsverk, ett portabelt system med trafikljus samt en uppsättning ”fabriker” som kan angripas. Detta ger pedagogiska effekter som gör presentationerna mer levande och verklighetsnära. Behovet av medvetandehöjande aktiviteter är dock stort och åtgärder som dessa skulle behöva öka avsevärt.

En annan central komponent i arbetet är kunskapshöjande akti- viteter. Det är viktigt att även den tekniska personal som arbetar med informations och styrsystem har kunskap och förståelse om vikten av att dessa system är skyddade. Därför har NCS3 tagit fram en tvådagars-utbildning kring säkerhet i industriella informations- och styrsystem. Utbildningen varvar teori med praktik och genom- förs fyra till fem gånger per år. Varje kurstillfälle, som är öppet för 16 personer, är anpassat till en specifik målgrupp – exempelvis elproducenter eller vattenproducenter. Den här sektorsanpass- ningen innebär att både de teoretiska och de praktiska delarna kan anpassas tydligare mot den verklighet som aktörerna befinner sig i

162

till vardags. Den innebär också att deltagarna får möjlighet att under förtroliga former diskutera sektorsspecifika frågor och att bygga nätverk. De praktiska delarna anpassas utifrån deltagarnas förkunskaper. Generellt går övningarna ut på att experimentera med olika verktyg för säkerhetsanalys. Deltagarna får också försöka sig på att angripa ett industriellt informations- och styrsystem (där riktiga styrsystem finns bakom). Praktiska övningar genomförs också i form av grupparbeten där en säkerhetsanalys av en fiktiv verksamhet ska genomföras. Om förkunskaperna är väldigt olika mellan deltagarna anpassas arbetet utifrån deltagarnas egna förut- sättningar. En ny aktivitet är också alumni-träffar där deltagare från de senaste tre årens kurstillfällen bjudits in. Denna typ av samman- komster stärker också förmågan över tiden och säkerställer ett vidmakthållande av nätverken mellan tekniker. En effekt som kursen har haft, utöver den individuella kunskapshöjningen, är att deltagarna tar med sig kunskap till sina respektive organisationer vilket leder till att stärka hela verksamheten. Nätverkandet mellan tekniker inom en bransch men också mellan branscher är centralt; det är dessa personer som åtgärdar problemen när de uppstår. Den kunskap som de besitter och de möjligheter de har att hjälpa varandra är i slutänden vad som avgörför hur effektivt vi kan hantera en allvarlig händelse mot samhällsviktig verksamhet.

Sista steget i utbildningstrappan består av förmågehöjande akti- viteter. Även om kunskapen finns är det viktigt att praktiskt träna sig i att hantera it-incidenter. Hantering skiljer sig ofta mellan in- dustriella informations- och styrsystem och vanliga administrativa system. I ett industriellt informations- och styrsystem är det vik- tigt att i möjligaste mån upprätthålla produktionen samtidigt som angreppet analyseras och avstyrs. Hanteringen av angreppet bör också ske på ett sätt som underlättar den efterkommande foren- siska analysen. I den förmågehöjande utbildningen används den

”cyberrange” som nämnts tidigare. Den består av cirka 300 ihop- kopplade datorer som, men hjälp av virtualisering, kan skapa en närmast oändlig mängd olika tekniska nätverkskonfigurationer. Det tekniska nätverk som används för de förmågehöjande insat- serna i dag är t.ex. en replikering av ett produktionssystem, exem- pelvis en läkemedelsprocess, där övningsdeltagarna ska upprätthålla produktionen samtidigt som systemet angrips.

163

Tekniska och strategiska studier

En annan viktig del är de studier som tas fram inom ramen för MSB och FOIs samarbete NCS3. Varje år genomförs studier som går ut på att djupanalysera något tematiskt område inom it-säkerhet för industriella informations- och styrsystem. Exempel på studier kan vara hur säkert det är med virtuella nätverk i en processmiljö, eller hur säkert det är att använda vitlistning för att hindra att skadlig kod tar sig vidare ner i styrdatorerna. Studierna har ofta koppling till den omvärldsanalys som bedrivs inom MSB:s program.

Inom olika sektorer sker också särskilda studier för att identifi- era hot och risker, många av dessa är på grund av sakens natur dock sekretessbelagda. Inom ramen för Säkerhetspolisens arbete sker också mycket kvalificerade analyser mot de mest skyddsvärda objekten i samhället. Det finns dock ett stort behov av ytterligare studier i och med att utvecklingen som beskrivits ovan sker i en oerhört hög takt.

Nationell och internationell samverkan

Inom ramen för MSB:s arbete med industriella informations- och styrsystem drivs sedan 2004 ett samverkansforum för informationsdelning mellan olika aktörer från det offentliga och privata. Forumet heter FIDI-SC och har 10–12 medlemmar från olika verksamheter som hanterar industriella informations- och styrsystem. Forumet träffas fyra gånger per år och diskuterar under förtroliga former faktiska hot, risker och sårbarheter. Varje möte innehåller också en omvärldsanalys och en gästföreläsare inom relevant område. Utöver den information som utbyts inom forumet skapas viktiga förtroliga kontakter mellan aktörerna som borgar för en ökad medvetenhet om säkerheten i industriella informations- och styrsystem.

En central del i det arbetet som bedrivits av MSB är skriften

Vägledning till ökad säkerhet i industriella informations- och styr- system. 2014 gavs den tredje utgåvan av vägledningen ut. Vägled- ningen har under årens lopp blivit ”de-facto” standard i Sverige. De tidigare utgåvorna har varit översatta till så väl engelska som japanska. Den nya utgåvan kommer också att ges ut på engelska

164

vilket har varit efterfrågat från internationella organ som bland annat IAEA och ENISA.

Inom ramen för MSB:s breda arbete inom krishanterings- området så är olika typer av forskning centralt. MSB finansierar här olika typer av forskning där ett område är en generell utlysning av medel för ett akademiskt forskningsprogram kring säkerhet i industriella informations- och styrsystem. Tanken är att, utöver NCS3, också bilda ett forskningscentrum där mer långsiktig forskning kan bedrivas. Forskningscentrumet ska ha ett nära samarbete med NCS3. En annan viktigt komponent där MSB är drivande är forskning tillsammans med Departement of Homeland Security (DHS). Inom ramen för detta arbetar också FOI med sina motsvarigheter i USA.

7.6.5Övningar

I samhället är allt fler verksamheter och tjänster sammanlänkande med varandra på någon nivå. Detta beroende medför att en hän- delse kan få organisationsöverskridande, samhälleliga konsekven- ser, som inte initialt förutsetts. För att stärka verksamheters för- måga att hantera uppkomna händelser eller kriser vidtas en mängd åtgärder från medvetandehöjande insatser till åtgärder för att stärka redundansen i system. En central komponent i detta är övningar.

Med övningar ges förmåga att hantera kriser både genom att förbereda individer och organisationer i sin helhet men även för hur organisationer ska samverka med andra aktörer i samhället. I Sverige har händelser som influensan A(H1N1) 2009 belyst beho- vet av åtgärder för att hantera uppkomna kriser.

I Sverige har MSB uppdraget att samordna, genomföra och stödja regionala, nationella och internationella övningar inom området samhällsskydd och beredskap. Arbetet har sin utgångspunkt i ett uppdrag från regeringen. I budgetpropositionen 2014 gör regeringen bedömning att ”utbildningarna vid MSB, samt myndigheternas övningsverksamhet, internationell utbildnings- och övningsverk- samhet, samt det övningsstöd som lämnats av MSB har bidragit till en ökad förmåga att hantera olyckor och kriser nationellt och internationellt”(prop. 2013/14:1 utgiftsområde 6 s. 86).

165

Informations- och cybersäkerhetsövningar

Behovet av att förbereda sig för att hantera incidenter och kriser återfinns även inom informations- och cybersäkerhetsområdet. Den globala marknaden för informations och kommunikations teknologi (IKT) uppskattas till 2 500 miljarder euro och upphand- lingar av IKT-produkt- och tjänster inom EU uppskattas till att motsvara 16 procent av all BNP i EU. Under de senaste åren i Sve- rige har driftproblem hos leverantörer (Tieto- och Evry-händel- serna) visat hur incidenter i informationssystem fått stora konse- kvenser för organisationer vilket bl.a. kan påverka samhällsviktig verksamhet.

EU-kommissionen betonar betydelsen av cybersäkerhetsövningar och ser det som strategiskt viktigt för att förbättra skyddet av kritisk informationsinfrastruktur. I European Cyber Security Strategy uppmanas medlemsländerna att delta i övningar på nationell och pan- europeisk nivå. Internationellt finns det flera stora aktörer, såväl länder som mellanstatliga organisationer, som identifierat behovet av cybersäkerhetsövningar och numera anordnas det årligen en mängd sådana. Flertalet strävar efter att utveckla samarbetet mellan incident- hanteringsfunktioner från olika länder, företrädelsevis nationella och militära CERT-liknade organisationer.

Sverige var tidigt med att planera och genomföra cybersäker- hetsövningar. Under 2008 genomförde svenska myndigheter till- sammans med Nato CCD CoE i Estland en teknisk cyberövning (CDX). Samma år genomfördes också SAMÖ2008 vilket utgick från en finansiell kris. Ett viktigt moment i denna övning var stör- ningar i betalningssystemet.

För att utveckla samhällets förmåga att hantera incidenter är det viktigt att öva organisationers eller funktioners förmåga som en helhet och inte endast tekniska experters förmåga att lösa tekniska problem. I Sverige betonas därför vikten av simuleringsövningar och då särskilt tvärsektoriella nationella cybersäkerhetsövningar och tekniska cybersäkerhetsövningar med virtuell övningsmiljö. Med simuleringsövning avses en övningsform där deltagarna övas i sina ordinarie roller, där miljön och uppgiften efterliknar verklig- heten i så stor utsträckning som möjligt, och där händelseutveck- lingen är baserad på ett övergripande scenario.

166

Nationella tvärsektoriella övningarna, som övningsserien Nationell informationssäkerhetsövning (NISÖ) syftar till att utveckla samordning och samverkan i samhället och är särskilt viktiga för att nå ut till en bredare krets av kritiska aktörer inom privat och offentlig sektor. De möjliggör att öva koordination, beslutsprocesser och policysamverkan mellan berörda aktörer. NISÖ har genomförts 2010 och 2012. Övningen 2010 genomfördes med centrala myndigheter och de stora energibolagen. Övningen 2012 genomfördes också med centrala myndigheter, energibolagen men också transportsektorn samt ett stort telekombolag. Med på övningen fanns också de nordiska nationella CERT-funktionerna. Denna typ av sektorsövergripande övning kommer att genomföras med regelbundenhet.

För att nå alla nivåer vid hantering av händelser kompletteras tvärsektoriella övningar med tekniska cybersäkerhetsövningar i virtuell övningsmiljö. I dessa hanterar de övade funktionerna tek- niska problem i en virtuell miljö som återspeglar verkligheten i form av tekniska infrastrukturer och system. På så vis kan funk- tionerna öva samverkan med andra aktörer, sina processer och tekniska förmåga för att hantera incidenter samtidigt.

Exempel på genomförda övningar nationellt och internationellt de senaste åren där Sverige deltagit i någon form är:

Cyber Defence Exercise – Locked Shields (2008, 2010): Övnings- serie som anordnas av Nato CCD CoE årligen och där Försvarshögskolan (FHS) deltar i planering och genomförande i övningsledningen. Syftet med övningen är att öva hantering av it- incidenter och skydd av civil kritisk infrastruktur.

Cyber Storm (2010, 2013): Övningsserie som anordnats av U.S. Department of Homeland Security med deltagande av 15-tal länder där syftet bland annat har varit att öva processer för inci- denthantering mellan deltagande länder.

Cyber Europe (2010, 2012, 2014): Paneuropeisk övningsserie som anordnas av ENISA med syfte att utveckla samarbetet och processer för informationsdelningen mellan utpekade nationella funktioner.

Nationell informationssäkerhetsövning, NISÖ (2010, 2012): Nationell övningsserie med syfte att stärka samhällets förmåga att hantera it-relaterade kriser.

167

Nato Crisis Management Exercise, CMX (2012): Övningsserie som övar den politiska beslutsstrukturen i Nato och deltagande länder. Under 2012 var cybersäkerhet ett av två huvudteman.

Nato Cyber Coalition Exercise (2011–2014): Övningsserie som anordnas av Nato i syfte att utveckla samarbetet och teknisk in- cidenthantering.

Nationell teknisk informationssäkerhetsövning (2013): Svensk teknisk övning i syfte att utveckla deltagande organisationers förmåga såväl som de övade individernas färdigheter att hantera it-incidenter samt att utveckla teknisk operativt samarbete vid it-incidenthantering mellan deltagarna.

Nordisk nationell CERT-övning (2015): Planerad övning under 2015 med syfte att utveckla den gemensamma incidenthante- ringen, inklusive lägesbilder och informationsdelning mellan de nordiska CERT-funktionerna.

Telö-serien är en övning som hålls vartannat år för aktörer inom sektorn för elektronisk kommunikation. Syftet är att vara en lärande övning avseende samverkan inom sektorn och med andra sektorer och myndigheter under en extraordinär händelse.

7.7Privat-offentligt

7.7.1Informationssäkerhetsrådet

Myndigheten för samhällsskydd och beredskap (MSB) har, för att utnyttja samhällets samlade kompentens på informationssäkerhets- området, knutit till sig ett informationssäkerhetsråd med bred representation från både offentlig förvaltning och näringslivet. Informationssäkerhetsrådet består av representanter från Polis- myndigheten, Post- och telestyrelsen, Säkerhetspolisen, Försvarets radioanstalt, Vattenfall AB, .SE (Stiftelsen för Internetinfrastruktur), Karlstads Universitet, Försvarsmakten, L M Ericsson, Sveriges Riksbank, Västra Götalandsregionen, Försvarshögskolan, Riksgälden, Försvarets materielverk och Scania AB.

Informationssäkerhetsrådet har i uppgift att bistå MSB med:

168

information om utvecklingstrender inom området informations- säkerhet, det vill säga skydd av information och säkring av in- formationssystem.

synpunkter på inriktning, prioritering och genomförande av MSB:s arbete inom området.

kvalitetssäkring och trovärdighet till MSB:s arbete genom att vara rätt sammansatt och ha koppling till vitala samhällsfunktioner.

att bidra till spridning av information om MSB:s arbete med informationssäkerhet i omvärlden.

7.7.2Ytterligare privat-offentliga samverkansforum inom området

Utöver informationssäkerhetrådet ovan finns ett antal privat- offentliga samverkansforum på nationell nivå och till detta kommer även ett stort antal mer eller mindre formella nätverk. När det gäl- ler privat-offentliga samverkansforum av den typ som nämnts ovan om industriella styrsystem, FIDI-SC, så kan även nämnas MSB:s forum FIDI-Finans som engagerar ett 15 tal aktörer i sam- hällssektorn finansiella tjänster samt FIDI-Vård och omsorg som både engagerar privata och offentliga aktörer inom sektorn. Här bör även nämnas samverkansforumet NTSG (se avsnitt 7.6.3) som omfattar aktörer inom sektorn elektroniska kommunikationer och som leds av PTS. När det gäller arbetet med att förebygga och hantera it-incidenter är även den nyligen startade nationella samverkan mellan olika CSIRT-funktioner av stor vikt. Gruppen benämns informellt Svenskt CERT-forum och samordnas av MSB.

7.7.3Standardisering av informations- och it-säkerhet

Standarder kan beskrivas som frivilligt och i samförstånd framtagna gemensamma lösningar på ofta återkommande problem. Standarder formaliserar och överför kunskap avseende säkerhet, prestanda, begrepp och processer. På detta sätt ger standarder ofta en värde- full möjlighet att överföra resultat från forskning och utveckling till praktiskt arbete och vidare till specialisering. Inom offentlig upphandling möjliggör lagarna för den upphandlande myndigheten

169

och enheten att hänvisa till standarder men hänvisningarna ska följas av ordet ”likvärdiga” för att säkerställa konkurrens på lika villkor.

Standardisering är en privaträttslig verksamhet och är i huvud- sak en fråga för näringslivet. Det finns emellertid ett antal formella regler som påverkar förhållandet mellan myndigheterna och stan- dardiseringsverksamheten.

För näringslivet är standardisering och kontroll av att produkter tillverkade enligt harmoniserade standarder på marknaden uppfyller föreskrivna krav (marknadskontroll) nog så angeläget som reduce- ring av antalet regler. Standarder är instrument för samarbete mellan näringsliv och förvaltning samt för förenklad lagstiftning. En modern standard måste ta hänsyn till en lång rad av ibland mot- stridande aspekter och krav som alla ska vägas in i arbetet. Teknik- skiftet är tydligast inom it-området då det sammankopplade och uppkopplade samhället berör snart sagt allting.

Området elektroniska kommunikationer kännetecknas av en snabb teknisk utveckling och en pågående sammansmältning av tekniker och tjänster. Tillgången till och användningen av olika typer av standarder är av utomordentligt stor betydelse inom in- formationstekniken. Samtidigt är området svåröverskådligt genom förekomsten av ett mycket stort antal standarder för liknande funktioner och ett stort antal organisationer som utformar, föreslår eller fastställer nya eller modifierade standarder.

Certifiering och ackreditering

Certifiering är en bedömning av överensstämmelse och en bekräf- telse på att en produkt, process eller tjänst uppfyller kraven i t.ex. en standard. Ackreditering är en formell bekräftelse på kompetens hos certifierings- kontroll- och provningsorgan.

7.8Den privata sektorn

Stora delar av samhället är beroende av att vara uppkopplat mot internet för att fungera. Elektronisk kommunikation är av den anledningen att anse som en kritisk resurs för samhällets funktion och en förutsättning för att samhällets övriga it-infrastruktur ska

170

fungera. Detta kräver att ett systematiskt informationssäkerhets- arbete genomförs som beaktar alla former av hot och risker som kan inträffa.

1994 upphävdes det statliga monopolet inom telefoni och mark- naden öppnades för privata aktörer. I samband med det bildades Post- och telestyrelsen (PTS) då en öppen marknad krävde att en regulatorisk myndighet bildades. PTS arbetar med regulatoriska och främjande åtgärder gentemot operatörer och nätägare i syfte att tillse att samhället har väl fungerande och tillförlitliga elektro- niska kommunikationer. Myndigheten verkar även som en statlig kontaktyta för operatörerna.

Lagen (2003:389) om elektronisk kommunikation (LEK) anger vilken grundläggande nivå av informationssäkerhet som operatörerna är skyldiga att ha för att bedriva verksamhet på marknaden för elektronisk kommunikation. Utöver lagens krav kan operatörernas kunder ställa högre krav på säkerhet mot en högre kostnad i enlighet med marknadens villkor. Dessutom har samhället särskilda säkerhetskrav på vissa delar av den elektroniska kommunikationsinfrastrukturen, exempelvis avseende robusthet och redundans. I dessa fall kan PTS bidra med medel. Dessa ekono- miska satsningar inriktas på att stärka infrastrukturen, så att kon- sekvenser av allvarliga händelser ska kunna minimeras, vilket stär- ker samhällets informationssäkerhet.

7.8.1Teleoperatörer

Operatörernas verksamhet bedrivs på kommersiella grunder på en fri marknad. Reglering av operatörernas verksamhet får av den anledningen inte vara mer ingripande än som framstår som rimligt och proportionella med hänsyn till den fria konkurrensen. För att säkerställa att informationssäkerheten i operatörernas verksamhet når en grundläggande nivå, omfattas de dock av olika regulatoriska och främjande åtgärder inom informationssäkerhetsområdet.

Operatörer har en skyldighet enligt LEK att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att verksamheten uppfyller rimliga krav på säkerhet. De åtgärder som vidtas ska vara ägnade att skapa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra

171

åtgärderna, är anpassad till risken för störningar och avbrott. I egenskap av tillsynsmyndighet meddelar PTS föreskrifter och allmänna råd som förtydligar kraven på god funktion och säkerhet. Syftet med kraven är att skapa säkra och effektiva elektroniska kommunikationer för enskilda och myndigheter. Dessutom ska operatörerna bedriva ett kontinuerligt och systematiskt säkerhets- arbete för att uppnå säkrare elektroniska kommunikationer.

Operatörerna är skyldiga enligt 5 kap. 6 b § LEK att upprätthålla en viss nivå av driftsäkerhet. Med driftsäkerhet avses upprätthål- lande av funktion och tillgänglighet, men även uthållighet vid extraordinära händelser. 2007 utarbetade PTS allmänna råd om god funktion och teknisk säkerhet som förtydligar regleringen i LEK. De utgör rekommendationer om hur driftsäkerhetsarbetet kan bedrivas för att uppfylla kraven som ställs i författningen. Kraven på driftsäkerhet kommer att förtydligas ytterligare i de föreskrifter som PTS arbetar med att ta fram under 2015.

Operatörerna har även ett ansvar för informationssäkerheten avseende integritet och skyddet mot obehörig insyn. Uppgifter som behandlas i samband med tillhandahållandet av tjänster ska skyddas. Bestämmelser om operatörernas skydd för abonnenternas trafikuppgifter finns i 6 kap 3 § LEK och kompletteras av Post- och telestyrelsens föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter, PTSFS 2014:1. Föreskrifterna innehåller bestämmelser om de tekniska och organisatoriska skyddsåtgärder som den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta.

Enligt 6 kap. 3 a § LEK ska operatörerna i samband med trafik- datalagring vidta de särskilda tekniska och organisatoriska åtgärder som behövs för att skydda de lagrade uppgifterna vid behandling. Operatörerna är även skyldiga att följa PTS föreskrifter och allmänna råd om skyddsåtgärder i samband med lagring och annan behandling av uppgifter för brottsbekämpande ändamål (PTSFS 2012:4). Föreskrifterna innehåller bestämmelser om de särskilda tekniska och organisatoriska skyddsåtgärder som operatörerna är skyldiga att vidta.

Enligt 1 kap. 8 § LEK samt de föreskrifter som PTS utfärdar av- seende beredskap och totalförsvar är operatörerna skyldiga att delta i totalförsvarsplanering och i samband med det, vidta åtgärder i syfte att skapa större informationssäkerhet.

172

7.8.2Stiftelsen för internetinfrastruktur (.SE)

Stiftelsen för internetinfrastruktur (.SE) bildades 1997 och är en oberoende allmännyttig organisation som verkar för en positiv ut- veckling av internet i Sverige. .SE ansvarar för internets svenska toppdomän .se, med registrering av domännamn samt admi- nistration och teknisk drift av det nationella domännamnsregistret. Sedan september 2013 sköter .SE också drift och administration för toppdomänen .nu.

I slutet av 2014 fanns det över 1,3 miljoner registrerade .se- domäner .SE är och ska vara det självklara valet för företag, privat- personer och organisationer som vill ha ett domännamn med anknyt- ning till Sverige.

När någon registrerar en .se- eller .nu-domän går en del av av- giften som .SE tar ut för domännamnsregistrering till projekt som på olika sätt främjar en positiv utveckling av internet i Sverige. 2013 satsade stiftelsen cirka 78 miljoner kronor på internetutvecklande verksamhet. Den överordnade målsättningen är att alla ska kunna ta tillvara internets möjligheter.

.SE:s internetutvecklingsprojekt har sin grund i stiftelsens urkund och stadgar. Mottot för projekten är Internet för alla. I detta ligger att alla människor i vårt land ska ha samma rätt och samma möjligheter att utnyttja internets tjänster. Internet ska också vara säkert, så att användarna känner sig trygga och litar på tjänsterna som finns där. Även internets infrastruktur är i fokus för

.SE. Den ska vara säker, stabil och skalbar så att internet blir så användbart som möjligt för alla.

Med det övergripande målet att skapa ett internet för alla blir bredden i de olika projekt som .SE driver stor. Här ryms allt från skol- tävlingen Webbstjärnan, bokpublicering, statistik, satsningar på ökad digital delaktighet, konferensen Internetdagarna och seminarier till testverktyg, utveckling av program med öppen källkod, stöd vid införandet av internetprotokollet version 6 (IPv6) samt finansiering av fristående projekt genom Internetfonden.

.SE har sedan 2007 genomfört en undersökning av nåbarhet på nätet och hälsoläget i .se. Syftet med den årliga undersökningen är att kartlägga och analysera kvaliteten och nåbarheten i framför allt domännamnssystemet (DNS) i .se-zonen och några andra viktiga funktioner för domäner registrerade i .se. Genom att undersökningen

173

har genomförts flera år i rad kan .SE också visa på utveckling och trender inom de undersökta områdena. Undersökningen görs på både ett urval av domäner som representerar viktiga funktioner i samhället och ett slumpmässigt urval motsvarande en procent av samtliga domäner i .se

Internet Corporation for Assigned Names and Num- bers, ICANN har utsett .SE att administrera den svenska toppdomä- nen, .se. .SE:s verksamhet regleras av lagen (2006:24) om nationella toppdomäner för Sverige på internet. PTS är tillsynsansvarig myndighet för .SE, vilket ska garantera en stabil drift av det svenska domännamnssystemet.

7.8.3Stiftelsen för telematikens utveckling (TU-stiftelsen) och Netnod

Stiftelsen för telematikens utveckling (TU-stiftelsen) bildades 1997 med ändamålet enligt stiftelsens urkund och stadgar att främja forskning, utbildning och undervisning inom data- och telekom- munikation särskilt såvitt avser internet. Stiftelsen ska bland annat kunna lämna bidrag till inköp av utrustning, anslag till forskar- stipendier och bidrag till studieresor. För tillgodoseende av stiftel- sens ändamål får stiftelsen äga dotterbolag.

TU-stiftelsen driver dotterbolaget Netnod i syfte att utgöra en oberoende huvudman för etablering och drift av knutpunkter och andra operatörsgemensamma internetfunktioner.

Netnod driver fem internetknutpunkter, så kallade IXP:er, i Sve- rige och en i Danmark. Till dessa knutpunkter kan internetoperatörer koppla sig och utbyta trafik med andra (så kallad peering).

Netnod erbjuder också mervärdestjänster som distribution av spårbar svensk tid via NTP (network time protocol). Netnod han- terar även ett antal DNS-tjänster på uppdrag från toppdomänadmi- nistratörer över hela världen. Slutligen är Netnod operatör av en av internets logiska rotnamnservrar för DNS (i-roten). Den tjänsten erbjuds allmänheten som en tjänst utan kostnad.

174

7.8.4Svenskt Näringsliv

Föreningen Svenskt Näringsliv är företagens företrädare i Sverige. Det långsiktiga målet med verksamheten är att Sverige ska återta en tätposition i den internationella välståndsligan, vilket ska uppnås genom en bred intressegemenskap kring värdet av företagande och företagsamhet. Svenskt Näringslivs uppdrag är att öka förståelsen för företagens verklighet och att verka för att alla företag i Sverige ska ha bästa möjliga villkor för att verka och växa.

Svenskt Näringsliv företräder närmare 60 000 små, medelstora och stora företag med totalt över 1,6 miljoner anställda. Två av tre medlemsföretag har färre än tio medarbetare. Medlemsföretagen är organiserade i 49 bransch- och arbetsgivarförbund. Förbunden utgör föreningen Svenskt Näringslivs medlemmar.

Verksamheten täcker ett brett fält och vänder sig till olika mål- grupper. Föreningen arbetar med opinionsbildning och kunskaps- spridning, utvecklar nya idéer och tar fram konkreta förslag för att skapa ett bättre klimat för företagsamheten. Medlemsorganisation- erna ger medlemsföretag konkret och anpassad service, till exempel rådgivning, omvärldsinformation och utbildning. De arbetar även med att påverka politiker och myndigheter i branschspecifika frågor.

Svenskt Näringsliv och dess medlemsorganisationer arbetar brett med säkerhetsfrågor och riskhantering, bland annat inom området informationssäkerhet, där medlemsorganisationen it-företagen intar en framträdande roll. Samverkan sker med ett flertal andra organisationer, bland andra International Chamber of Commerce, ICC, och SIS, Swedish Standards Institute, samt särskilt med Näringslivets Säkerhetsdelegation (NSD) vars kansli finns hos Svenskt Näringsliv.

Näringslivets Säkerhetsdelegation

Svenskt Näringslivs externa arbete med säkerhet och riskhantering bedrivs huvudsakligen via Näringslivets Säkerhetsdelegation, NSD, som är ett informellt nätverk. NSD är registrerat som varumärke men all verksamhet bedrivs formellt under Svenskt Näringslivs organisationsnummer. NSD har cirka 600 medlemmar från privat och offentlig sektor med tillsammans cirka 900 kontaktpersoner. NSD

175

finns i sex regioner (södra, västra, östra, Stockholm, Bergslagen och norra) med en arbetsgrupp i varje region.

NSD är ett nätverk för lönsam riskhantering, vilket ska uppnås genom att stimulera det medvetna risktagandet. Verksamheten sker i form av konferenser, utbildningar, erfarenhetsutbyte, rådgivning och opinionsbildning samt utvecklingsprojekt. Verksamheten har under många år haft informationssäkerhet som en prioriterad fråga och bland annat producerat ett flertal rapporter.

176

I kampen för frihet, demokrati och utveckling är individens tillgång till yttrande- och informationsfriheten ett centralt instrument. Fri och öppen tillgång till internet både stärker demokrati och mänskliga rättigheter samtidigt som det utgör en viktig och växande drivkraft för social och politisk utveckling världen över. Internet öppnar nya kanaler för människor att ta emot och sprida information och kunna uttrycka sina åsikter i en globaliserad värld. Dessa möjligheter har gjort att vissa stater söker begränsa yttrandefriheten genom att t.ex. blockera och filtrera information eller stänga ned internet. De nya möjligheterna till övervakning har lett till omfattande internationella diskussioner om rätten till privatliv. Sverige driver en aktiv utrikes- politik som värnar och främjar ett öppet och säkert internet där mänskliga rättigheter till fullo respekteras. Flerpartssamverkan är en viktig del av att främja respekten för folkrätt och mänskliga rättigheter på internet, och inom detta område samarbetar Utrikesdepartementet (UD) internationellt med civilsamhällesorganisationer, privata företag och forskningsvärlden.

Sverige har varit pådrivande vad gäller normbildande kring internetfrågor, särskilt vad gäller rättighetsfrågor. Sverige var t.ex. en av initiativtagarna till den nydanande resolutionen 20/8 (2012) i FN:s råd för mänskliga rättigheter som bekräftar att samma rättig- heter som individer har offline gäller även online, liksom uppfölj- ningsresolutionen 26/13 (2014), som också tar upp frågor om internets styrning och rätten till utbildning. Sverige är en aktiv medlem inom den så kallade Freedom Online Coalition (FOC), som driver frågor rörande mänskliga rättigheter och rättstatsprin- ciper på internet framåt. Sverige är ordförande för en av FOC:s tre arbetsgrupper, som specifikt driver frågan om hur rättstatsprinci- per ska kunna implementeras på internet.

När det gäller internets styrning och förvaltning har UD fått en alltmer aktiv roll i samarbete med Näringsdepartementet. Vissa län- der som t.ex. Ryssland, Iran och Saudiarabien driver frågan om en övergång mot en mer statsledd förvaltning av internets resurser i flera multilaterala fora. Dessa stater vill föra över kontrollen över internets tekniska förvaltning till FN-systemet, skapa ett nytt mellanstatligt organ och utveckla rättsliga instrument för internet- relaterade policyfrågor. Många befarar att skapandet av nya inter- nationella ramverk kan komma att undergräva etablerade univer- sella politiska och medborgerliga rättigheter. En sådan utveckling

178

skulle därmed legitimera ökad censur och övervakning på internet och leda till betänklig inskränkning vad gäller personlig frihet och integritet.

Inför hösten 2015 finns en överhängande risk att frågor rörande utökad mellanstatlig kontroll av internets tekniska funktioner, normer, standarder m.m. åter dyker upp i diskussionerna inom FN. Det är möjligt att den alliansfria gruppen G77 kommer att villkora ett fortsatt mandat för flerpartsforumet Internet Governance Forum mot instiftandet av ett rent mellanstatligt organ, alternativt att låta Internationella teleunionen (ITU) få en framskjuten roll i processerna.

Frågorna kring internets globala styrning har på relativt kort tid gått från att vara en huvudsakligen teknisk angelägenhet till en diplomatisk sådan. Såväl externa faktorer, såsom de senaste årens övervakningsavslöjanden, som den allmänna geopolitiska utveck- lingen och strategiska hänsyn har drivit på utvecklingen.

Den grundläggande skillnaden i synen på internet och informationsfrihet, liksom de säkerhetspolitiska och folkrättsliga mot- sättningarna, manifesteras i en rad olika fora, som t.ex. i FN:s general- församlings olika utskott, den statliga expertgruppen inom FN:s ram om ICT-frågor och internationell säkerhet (GGE), Internationella teleunionen (ITU), Unesco, The Economic and Social Council (ECOSOC) m.m. Sverige arbetar aktivt tillsammans med andra likasinnande länder för att hålla emot dessa staters många förslag och initiativ. Denna linje innebär bl.a. att motverka att ett enskilt FN- organ skulle ta ett övergripande policyansvar för internetrelaterade frågor. Svensk hållning är att varje specialiserat FN-organ bör hantera frågorna inom sitt ansvarsområde, oavsett om de är internetrelaterade eller inte. För att förbättra samordningen mellan organisationer och med civilsamhälle stödjer UD att den årliga, öppna flerparts- konferensen Internet Governance Forum, ska fungera som länk mellan olika policyområden.

Frågorna om cyberområdets betydelse för global utveckling och därigenom för biståndspolitiken har också ökat, allteftersom ICT- teknologier har kommit även breda befolkningslager till del och brister i institutionell kapacitet och infrastruktur i allt högre grad framstått som utvecklingshinder i låg- och medelinkomstländer. Sverige har arbetat med ICT-relaterade frågor inom det internationella utvecklingssamarbetet sedan slutet på nittiotalet, då Sida bidrog till att bygga upp ICT-infrastruktur i bl.a. Kenya. Under slutet av 2000-talet

179

– till stor del som respons på händelseutvecklingen i Mellanöstern – fokuserades insatserna i högre grad på att stödja MR- och demokratiseringsaktörer med verktyg för säker kommunikation i repressiva miljöer. Det arbetet fortsätter nu inom ramen för strategin för särskilda insatser för demokratisering och yttrandefrihet. Frågorna om ICT och internets betydelse för utveckling lyfts särskilt fram i senare års strategi-, styr- och policydokument för biståndet. Frågan har under senare år också breddats till att förutom MR- och demokratiaspekter också omfatta ICT och internets bidrag till ekonomiskt hållbar utveckling. Sida bedriver nu ett omfattande arbete på området. UD bidrar också i samarbete med Sida till den snabbt växande diskussionen om kapacitetsbyggnad på området (cyber capacity building) inom EU och andra multilaterala processer.

En viktigt handelspolitisk målsättning med koppling till cyber- området är att främja en fri, öppen och konkurrensutsatt marknad för ICT-produkter såväl inom EU som globalt. Frågan om data- överföringar spelar en allt viktigare roll i internationella handels- politiska relationer. Flera länder kräver striktare regler för data- överföringar, och vissa har gått så långt som att diskutera krav på att data måste lagras inom landets gränser. För Sverige är det vik- tigt att driva på för bättre integritetsskydd och informationssäker- het som samtidigt tar hänsyn till behovet av att dataöverföringar ska vara så okomplicerade som möjligt. För närvarande diskuteras dataöverföringar inom ramen för TiSA-förhandlingarna (Trade in Services Agreement), och i TTIP-förhandlingarna mellan EU och USA. Möjligheterna till dataöverföringar kan påverkas avsevärt av frågan om nätets framtida styrning.

Det ökande samarbetet inom EU på cyberområdet har lett till framtagandet av en EU-cybersäkerhetsstrategi och etablerandet av den horisontella gruppen Friends of the Presidency Group on Cyber Issues för att kunna hantera övergripande, strategiska cyber- frågor inom EU. UD bereder och samordnar svenska positioner i denna grupp.

Det pågår också samarbeten kring cyberfrågor på ad hoc-basis inom ramen för internationella och regionala samarbetsgrupper. Ett viktigt exempel är det nordisk-baltiska säkerhetspolitiska sam- arbetet som i stor uträckning har kommit att omfatta cyberfrågor, ofta i samarbete med andra likasinnade partner som t.ex. USA, Storbritannien eller Polen. Sverige har också deltagit inom den så

180

kallade Londonprocessen, som inneburit en rad återkommande internationella konferenser med syfte att bidra till ökad global samsyn inom cyberområdet. Nästa internationella cyberkonferens i detta format, som är på utrikesministernivå, äger rum våren 2015 i Haag och kommer att hantera ett brett spektrum av frågor: inter- nationell säkerhet, mänskliga rättigheter, kapacitetsbyggnad och governance-frågor.

8.2Europeiska unionen

Inom EU regleras nät- och informationssäkerhet inom sektorn elektronisk kommunikation främst genom regler i de s.k. ram- direktivet och e-dataskyddsdirektivet. I ramdirektivet regleras tele- operatörers driftsäkerhet och incidentrapportering. I e-dataskydds- direktivet regleras operatörernas skydd av personuppgifter och s.k. integritetsincidenter. Båda dessa regleringar är införda i svensk rätt genom lagen (2003:389) om elektronisk kommunikation.

8.2.1ENISA

Europeiska unionens byrå för nät- och informationssäkerhet (European Union Agency for Network and Information Security, ENISA) inrättades 2004 med säte i Heraklion på Kreta, Grekland. Medan byråns ledning och administrationen alltjämt är kvar i Heraklion har den operativa avdelningen flyttat till Aten. Byrån är ett expert- och kompetenscentrum för informationssäkerhetsfrågor och ska öka gemenskapens och medlemsstaternas, och därigenom även näringslivets, förmåga att förebygga, åtgärda och lösa problem som rör nät- och informationssäkerhet.

Byråns arbete bygger på insatser som Europeiska unionens medlemsstater har gjort och insatser som har gjorts på EU-nivå. Byrån ska ge råd till Europaparlamentet och Europeiska kom- missionen. Sammanfattningsvis är byråns arbetsuppgifter bl.a. att:

analysera framväxande risker, framför allt på europeisk nivå,

bidra till större medvetenhet om nät- och informationssäkerhet,

181

förbättra samarbetet mellan och inom till exempel näringslivet, forskare, leverantörer och användare av produkter och tjänster inom informationssäkerhetsområdet,

möjliggöra samarbete om utveckling av metoder för att före- bygga och hantera informationssäkerhetsproblem, och

att bidra till det internationella samarbetet utanför EU.

ENISA:s nät- och informationsverksamhet bestäms mer i detalj genom årliga arbetsprogram som fastställs av byråns styrelse. Sty- relsen består av alla medlemsstater och Europeiska kommissionen. EES-länderna får delta men utan rätt att rösta. För närvarande är den svenske styrelseledamoten även styrelseordförande. Myndig- heten leds av en verkställande direktör.

ENISA deltar i många av de initiativ på området som initierats eller leds av kommissionen, som exempelvis EFMS (en informell grupp för medlemsstaternas utbyte av information om nät- och informationssäkerhetsfrågor) och NIS-plattformen (en informell grupp under kommissionen för att få input kring nät- och inform- ationssäkerhet från näringslivet).

I enlighet med Europeiska kommissionens önskemål en översyn av den digitala agendan för Europa i december 2012 har det inom EU tagits fram en ”cybersäkerhetsstrategi” (se avsnitt 8.2.4) och före- slagits ett direktiv på området (se avsnitt 8.2.2 om NIS-direktivet). I genomförandet av denna strategi har det inte identifierats några åtgärder som gäller specifikt sektorn för elektronisk kommunikation. NIS-direktivet föreslås avseende driftssäkerhet och incident- rapportering inte träffa dagens teleoperatörer (vilkas driftssäkerhet och incidentrapportering regleras i annan lagstiftning, se ovan) men däremot andra it-företag.

I den digitala agendan för Europa (DAE) understryks stärkt politik för nät- och informationssäkerhet. Det enda med direkt relevans för sektorn elektronisk kommunikation avsåg modernise- ringen av ENISA:s mandat som beslutades 2013.

182

8.2.2Direktiv om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet inom hela unionen

Det pågår för närvarande förhandlingar inom EU avseende ett direktiv (NIS-direktivet) om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen. Syftet är att uppnå och vidmakthålla en hög gemensam nät- och informationssäkerhet inom hela EU för att förbättra den inre marknadens funktion.

Direktivet ska bl.a. innehålla skyldigheter för alla medlemsstater rörande förebyggande åtgärder och åtgärder för att hantera och svara på allvarliga risker och incidenter som påverkar nätverk och informationssystem. Aktörer som omfattas av direktivet kan vara både myndigheter, kommuner, landsting och enskilda (inom sektorerna transport, vattenförsörjning, hälso- och sjukvård, bank och finans samt informationssamhällets tjänster). Direktivet ska innehålla krav på bestämmelser om sanktioner om operatörerna inte uppfyller sina skyldigheter och en överklagandemöjlighet.

Direktivet ska vidare innehålla krav på en nationell strategi för nät- och informationssäkerhet, att det ska finnas en eller flera nationella myndigheter för nät- och informationssäkerhet, en nationell kontakt- punkt för nät- och informationssäkerhet, nationella incident- hanteringsorgan (CSIRT). Det ska också etableras ett nätverk för samarbete mellan medlemsstaterna, EU-kommissionen och the European Network and Information Security Agency, ENISA samt ett nätverk för de nationella incidenthanteringsorganen, CSIRTs, inklusive CERT-EU. Genom nätverk för behöriga nationella myndigheter ska medlemsstaterna utbyta information och samarbeta på grundval av den europeiska planen för samarbete inom detta område för att bekämpa nät- och informationssäkerhetshot och nät- och informationssäkerhetsincidenter.

Direktivet kommer troligen att beslutas under våren 2015. Ut- redningen konstaterar att de skyldigheter som direktivet förväntas ålägga medlemsstaterna kan komma att behöva regleras för att Sve- rige ska kunna genomföra direktivet på ett korrekt sätt.

183

8.2.3EU:s digitala agenda och allmän uppgiftsskyddsförordning

EU-kommissionens digitala agenda för Europa (KOM[2010] 245) är ett av huvudinitiativen inom ramen för Europa 2020 – En strategi för smart och hållbar tillväxt för alla, (KOM[2010] 2020), kallad Europa 2020-strategin. Strategin lanserades i mars 2010 som ett led i att ta Europa ur den finansiella krisen och förbereda EU:s ekonomi för nästa årtionde. Den beskriver bland annat hur viktig användningen av informations- och kommunikationsteknik är för att Europa ska kunna uppnå de i strategin angivna målen.

Förslag till åtgärder omfattar sju olika områden:

En pulserande digital inre marknad

Interoperabilitet och standardisering

Tillit och säkerhet

Snabb och ultrasnabb internettillgång

Forskning och innovation

Främjande av digital kompetens, digitala färdigheter och digital integration

Vinster för EU-samhället som möjliggörs av it

8.2.4Europeisk cybersäkerhetsstrategi

Europeiska kommissionen och utrikestjänsten (EEAS) presente- rade den 7 februari 2013 en övergripande europeisk cybersäkerhets- strategi – En öppen, säker och trygg cyberrymd. Strategin berör it- frågor i ett brett perspektiv och presenterar unionens vision och principer för hur dess centrala värderingar och intressen ska komma till uttryck i cyberrymden. Strategin berör både EU-interna som externa aspekter av internetrelaterade frågor i ett brett per- spektiv och lyfter fram EU:s vision och principer för hur unionens centrala värderingar och intressen ska tydliggöras och tillvaratas inom cyberområdet. It-säkerhet, it-brottslighet, industri- och han- delsrelaterade frågor liksom utrikes-, säkerhets- och försvarspoli- tiska frågor inom cyberområdet är viktiga delar av strategin.

184

Implementeringen och uppföljning av strategin och rådslutsatserna samt frågor som berör EU:s internationella cyberpolitik hanteras övergripande i den tillfälliga arbetsgruppen inom rådet, Friends of the Presidency Group on Cyber issues (FoP). Gruppen tillsattes av Coreper (de ständiga representanternas kommitté, Comité des représentants permanents) den 7 november 2012. Syftet med FoP är att förbättra det horisontella arbetet, öka medlemsstaternas insyn och stärka samordningen såväl internt som externt avseende cyberfrågor i vid mening. Gruppen ska utgöra ett strategiskt verktyg för unionens övergripande politiska mål på området. Under hösten 2013 fattades beslut om att utsträcka FoP-gruppens mandat med ytterligare tre år.

Inom FoP verkar Sverige för en övergripande och strategisk inriktning och hantering av cyberfrågorna. Sverige har varit dri- vande såväl vid tillsättande av gruppen som i diskussionerna om dess fortsatta arbete mot bakgrund av vikten av att bidra till ut- vecklingen av EU:s cyberpolicy. Detta arbete tar utgångspunkt i grundläggande värderingar som mänskliga rättigheter, demokrati och rättsstatsprincipen. Sverige fortsätter att bidra till policy- utvecklingen när det gäller globala cyberfrågor inom EU och verkar aktivt för att utveckla uppföljningsarbetet till EU:s cybersäkerhets- strategi. Övergripande rådslutsatser på basis av strategin antogs 2013 och under 2014 har olika områden inom strategin följts upp, t.ex. med rådslutsatser om internets förvaltning och förhandlingar om rådslutsatser om EU:s cyberdiplomati.

Ett ramverk för cyberförsvarsfrågor inom den gemensamma säkerhets- och försvarspolitiken (GSFP) har antagits som svar på en begäran från Europeiska rådet i december 2013, vilket också återspeglas i rådslutsatserna allmänt om GSFP från november 2014.

Genomförande och uppföljning av strategin, liksom andra frågor som berör EU:s internationella cyberpolitik, hanteras övergripande inom rådet i vängruppen för cyberfrågor som tillsattes i slutet av år 2012 och vars mandat förlängdes med tre år under hösten 2013. Syftet med gruppen är att förbättra det horisontella arbetet, öka medlems- staternas insyn och stärka samordningen såväl internt som externt när det gäller cyberfrågor i vid mening. Vängruppen ska vara ett strategiskt verktyg för unionens övergripande politiska mål på området.

Sverige verkar för en övergripande och strategisk inriktning och hantering av cyberfrågorna inom vängruppen. Sverige har varit dri-

185

vande för att såväl strategin och dess uppföljningsarbete som grup- pens fortsatta arbete ska bidra till policyutvecklingen av en global cyber- och internetpolitik för EU, i linje med grundläggande värde- ringar och politiska prioriteringar som fred, säkerhet, mänskliga rättigheter och utveckling.

8.2.5Europol

Sedan den 1 januari 2013 finns det ett Europeiskt Cybercrime Center (EC3) vid Europol i Haag. EC3 är knutpunkten för EU:s it-brottsbekämpning och ska bl.a. bidra till kortare reaktionstid vid online-brott. EC3 ska stödja medlemsstaternas myndigheter i upp- byggnaden av operativ och analytisk kompetens för utredning och för samarbete med internationella partner. EC3 har fem huvud- funktioner inom den digitala brottsligheten:

6.Information och stöd: Insamling och bearbetning av inform- ation samt funktion som ”helpdesk” för medlemsländerna inom it-brottsbekämpning.

7.Operativt stöd: Stöd till medlemsländerna i det operativa arbetet inom teknik, analys, forensik och samordning.

8.Framtagande av strategier: Hotbedömningar, trendutvecklingar och analyser.

9.Forskning, utveckling och utbildning.

10.Uppsökande verksamhet: Utveckla samarbete med den privata sektorn och andra viktiga funktioner inom området.

EC3 fokuserar på följande kärnområden av it-relaterad brottslig- het:

Organiserad brottslighet som genererar stora brottsvinster, t.ex. internetbedrägerier.

Brott som orsakar stora skador hos brottsoffret som t.ex. it- relaterade sexualbrott mot barn.

Brott som påverkar kritisk infrastruktur och informations- system inom den Europeiska Unionen, t.ex. dataintrång.

186

Den 1 september 2014 inrättade Europol som ett pilotprojekt en Joint Cybercrime Taskforce (J-CAT) som ska stärka bekämp- ningen av it-brottslighet inom EU och globalt. Aktionsgruppen ska samordna internationella utredningar i syfte att agera mot de vik- tigaste hoten och aktörerna. I gruppen ingår både medlemsstaters brottsbekämpande myndigheter, myndigheter utanför EU och EC3. Förutom samordning av operativa insatser kommer aktions- gruppen att samla information från myndigheter och privata part- ner, analysera och bearbeta den för att kunna rikta in arbetet mot olika mål och nätverk.

8.3OECD

8.3.1OECD:s arbete inom områdena informationssäkerhet och integritet

OECD, som grundades 1961, är ett samarbetsorgan för 34 länder och har sitt säte i Paris. Syftet med samarbetet är att bidra till till- växt, sysselsättning och ökad levnadsstandard i medlemsländerna, att bidra till sund ekonomisk utveckling, både i medlemsländerna och i omvärlden, samt att bidra till expansion av världshandeln. Samarbetet sker på marknadsekonomisk grund.

OECD utgör ett forum för utbyte av idéer och erfarenheter samt analyser av frågor inom ett stort antal politikområden. Ett viktigt syfte är att medlemsländerna ska lära av varandra, diskutera gemensamma problem och aktuella internationella ekonomiska frågor. Insamling av statistik är omfattande, liksom publikations- verksamheten.

OECD har cirka 200 kommittéer och arbetsgrupper. I dessa arbetar medlemsländerna, partnerländer och inbjudna organi- sationer tillsammans med OECD:s sekretariat med studier, rekom- mendationer och riktlinjer som stöd till medlemsländernas policy- utveckling. Dessa är inte juridiskt bindande, men förutsätts ändå ha en påverkan och efterföljas. Sekretariatet har drygt 2 500 anställda och den årliga budgeten ligger på cirka 350 miljoner euro. Beslut fattas med consensus, dvs. enhälligt.

Verksamheten inom OECD är indelad i olika direktorat, där direktoratet för vetenskap, teknologi och industri (Directorate for Science Technology and Industry) har fyra underkommittéer. Den

187

ena av dessa arbetar med den digitala ekonomin (Committe on Digital Ecomony Policy, CDEP) som i sin tur har tre arbetsgrup- per. Arbetsgruppen för informationssäkerhet och integritet (Wor- king Party on Information Security and Privacy in the Digital Eco- nomy – WPSPDE) bildades redan 1992 och är den som närmast hanterar områden av betydels för utredningen.

Arbetsgruppen förvaltar och reviderar löpande ett flertal rekommendationer och riktlinjer som redovisas nedan. Därutöver sker för närvarande arbete med att ta fram indikatorer för att mäta informationssäkerhet, bl.a. via data från CSIRTs, fortsatt arbete med ID-management samt utveckling av ”Privacy Risk Manage- ment”. En rapport har färdigställts tillsammans med hälsokommit- téen avseende säkerhet och integritet vid återanvändning av hälso- data. Tidigare arbete har bl.a. handlat om analys av medlemsstaters nationella strategier för informationssäkerhet, informationssäker- hetsfrågor avseende ”Internet of Things” och ”Big Data”, framta- gande av en rekommendation avseende skydd av barn som är upp- kopplade på internet (Protection of Children Online), analyser av nationella strategier avseende informationssäkerhet för kritisk in- frastruktur m.m. Artbetsgruppen bedriver också ett omfattande arbete med olika analyser inom dataskyddsområdet (personlig in- tegritet).

8.3.2OECD:s rekommendationer och riktlinjer – Security Guidelines

1992 utvecklade OECD sina första riktlinjer för att understödja medlemsstaternas arbete inom informationssäkerhetsområdet. Dessa reviderades år 2002 och genomgår för närvarande en ny revision som beräknas bli klar under våren 2015. Den pågående revisionen tar fasta på informationssäkerheten i nätverk och system utifrån ekonomiska och sociala välfärdsaspekter i en öppen, inter- nationell och uppkopplad teknisk miljö.

Internet har blivit en allt viktigare plattform för samhällets funktionalitet. De digitala hoten ökar med mer sofistikerade aktö- rer. Nya former av ekonomiska och sociala störningar har uppkom- mit. Ökad digital mobilitet, molntjänster, sociala nätverk, sakernas internet (internet of things) m.m. är nya parametrar för informa- tionssystemen. Ambitionen är att de nya riktlinjerna ska ta dessa

188

och andra förändringar i beaktande utifrån ett holistiskt synsätt. Utgångspunkt är också ett riskbaserat synsätt då system och nätverk i dag bli med internationella, större och komplexa. Både förebyggande åtgärder och krishanteringsförmåga förutsätts.

Den nya rekommendationen är indelad i tre sektioner: generella principer, operationella principer och om nationella strategier. Till rekommendationen finns också ett förklarande annex.

De generella principerna handlar om att medvetandegöra alla berörda om vilka digitala säkerhetsrisker som de kan utsättas för genom utbildning och därigenom också ge nödvändiga färdigheter för att kunna bedöma och hantera dessa. Alla har ett gemensamt ansvar, utifrån den egna rollen eller verksamheten, beaktat att en viss risknivå är oundviklig utifrån ekonomiska eller sociala målsätt- ningar i en öppen och sammanvävd internationell miljö. Lednings- system för riskhantering (risk management) bör införas för att få en styrning av säkerhetsarbetet på ett transparent sätt och i enlig- het med mänskliga rättigheter och andra fundamentala värden. Global uppkoppling innebär också att alla aktörer behöver sam- arbeta internationellt och över landsgränser.

De operationella principerna handlar om systematiska risk- och sårbarhetanalyser samt hantering av risker. Riskhanteringen kan resultera i att risken accepteras, reduceras, överförs, undviks eller kombinationer i de olika alternativen. Vidare handlar den andra sektionen om säkerhetsåtgärder, innovation och kontinuitetsplane- ring.

OECD rekommenderar medlemsstaterna att anta nationella strategier, vilket behandlas i den tredje sektionen. Avsikten är att minska de digitala säkerhetsriskerna på alla nivåer, inom landet och över landsgränser, utan onödiga restriktioner som påverkar det fria dataflöden eller teknikutvecklingen. Andra aspekter är att skydda individer från digitala säkerhetshot (t.ex. dataintrång, identitets- stölder eller bedrägerier), att beakta behovet av nationell säkerhet och suveränitet samt att bevara mänskliga rättigheter och funda- mentala värden. Det sägs att strategierna ska riktas mot alla aktörer och vara anpassade för såväl små och medelstora företag som indi- vider. Allas ansvar och agerande utifrån den egna verksamheten och roller ska påtalas. Viktigt är också att stödja utbildning och träning av personal.

189

Det anges att nationella strategier ska inkludera åtgärder som bör utföras av regeringarna. Exempel på sådana åtgärder anges också. Det handlar bl.a. om framtagande av en holistisk handlings- plan för den offentliga förvaltningen baserade på risk- och sårbar- hetsanalyser, bättre koordinering mellan relevanta myndigheter, inrättande av CSIRT, ökade informationssäkerhetskrav i offentliga upphandlingar och anställning av fler säkerhetsexperter, att stimu- lera FoU, innovation samt utvecklig av öppna standarder.

Behovet av internationellt samarbete och assistans understryks. Deltagande i internationell fora, etablering av bilaterala och multi- laterala nätverk för utbyte av erfarenheter och bästa tillämpade teknik är vägar att gå. Internationellt samarbete för att bemöta gränsöverskridande hot och risker kan t.ex. ske via samarbete mel- lan CSIRT och genom internationell övningsverksamhet.

Skapande av förtroendefullt samarbete mellan aktörer sker inte över en natt då informationen i många fall kan vara känslig eller t.o.m. hemlig och leda till skada om den kommer i orätta händer. Partnerskap och olika samarbeten mellan offentliga och privata aktörer, formella och informella, kan stimuleras med syfte att få till stånd förtroendefulla kunskaps- och erfarenhetsutbyten.

Andra åtgärder som regeringarna kan vidta för att stimulera den digitala säkerheten är stöd till frivilliga märkningsordningar, upp- muntra till certifieringar och rapportering av incidenter. Statistiken på området behöver också utvecklas genom framtagande av nya och internationellt jämförbara indikatorer.

8.3.3Privacy Guidelines

Skydd av personuppgifter vid dataöverföring och datalagring är ett område som OECD arbetat med över 35 år. De första riktlinjerna beslutades år 1980 med bl.a. Australien och Sverige som pådrivande länder. Vid denna tid inrättades också Datainspektionen.

Olaglig lagring av persondata, bevarande av inaktuella data och utlämnande av känsliga persondata är områden som berörs i rikt- linjerna. Persondata behöver emellertid också kunna hanteras på ett rationellt sätt inom viktiga sektorer av ekonomin, inom sjukvården och av myndigheter samt för forskningsändamål. Återanvändning av data är ett annat område. För att undvika skillnader i lagstift-

190

ningen mellan länder och därigenom bl.a. underlätta för fria data- flöden över landsgränser utvecklades riktlinjerna.

Åtta olika principer togs fram med begränsningar och krav på mängden insamlade persondata, datakvalitet, syftet, användningen, säkerhet, öppenhet kring användningen, individens rättigheter samt om ansvar för datahanteringen. Dessa kvarstår än i dag och har ut- vecklats ytterligare vid en revidering som slutförts år 2013. Två nya aspekter tillfördes då, dels behovet av att införa ett riskbaserat led- ningssystem för skydd av personuppgifter, dels att skapa ökad glo- bal interoperabilitet för området genom internationella regelverk. Nya koncept har också introducerats, bl.a. behovet av att utarbeta nationella strategier för hantering av persondata, behovet av led- ningsprogram för organisationer och om incidentrapportering vid dataläckage. Organisationers ansvar vid hantering av persondata lyfts särskilt fram.

8.3.4Recommendation on the Protection of Critical Information Infrastructure (CIIP)

Rekommendationen bygger på studier och analyser utförda 2006– 2007 i sju OECD-länder. Området var då under utveckling och visade på skillnader i utveckling av policyer, praktisk riskhantering, uppfölj- ning och hantering av sårbarheter, roller och ansvar m.m. Rekommen- dationen beskriver olika koncept för skydd av kritiska infrastrukturer och hur dessa definieras i olika länder. Behovet av att även införa nationella handlingsplaner, i enlighet med ovan nämnda ”security guidelines”, rekommenderas. Fokus ligger på hur regeringarna kan demonstrera ett ledarskap och engagemang när det gäller risk- hantering i samarbete med den privata sektorn. Informationsspridning på såväl regional som global nivå är exempel på åtgärder som kan initieras.

Under 2014 presenterades förslag till ändringar i CIIP-rekom- mendationen utifrån vunna erfarenheter från revisionen av “secu- rity guideline”. Översynen kommer enligt planeringen att slutföras under 2016.

191

8.3.5Guidelines for Cryptography Policy

Kryptografi möjliggör överföring av information på ett skyddat sätt, där möjligheterna att förvanska innehållet försvåras eller omöjliggörs. De flesta OECD-länder har utvecklat och infört policyer och lagstiftningar kring användningen av kryptografi. Olikheter i dessa regelverk kan emellertid skapa hinder vid ut- veckling av t.ex. nationella och globala nätverk för elektronisk kommunikation och därmed vara handelshindrande. 1996 initierade OECD därför ett projekt kring kryptografi då medlemsstaterna såg behovet av att skapa en bättre harmonisering kring utvecklingen av en effektivare och säker it-infrastruktur. Avsikten var att nå enig- het kring viss policy- och regleringsfrågor vid användning av kryp- ton i elektroniska nätverk. Hänvisning finns också till digitala sig- naturer. Riktlinjerna, med åtta grundläggande principer, har en stor bredd och ger uttryck för medlemsstaternas olika uppfattningar. Dessa finns också i ett bakgrundsdokument. Något behov av att i dagsläget revidera rekommendationen har inte framställts.

8.4FN:s arbete och internationella initiativ inom cyberområdet

8.4.1FN:s generalförsamlings första utskott

I FN:s generalförsamlings första utskott som tillägnas nedrustning och internationell säkerhet har cybersäkerhet behandlats utifrån ett internationellt säkerhetspolitiskt perspektiv. Tongivande har bl.a. en rysk utskottresolution varit som sedan 1998 har uppmärksam- mat utvecklingen av informations- och telekommunikationstekno- logier i en internationell säkerhetskontext. Resolutionen tar bl.a. upp frågan med risker och hot i samband med användande av dessa teknologier, liksom möjliga samarbetsåtgärder som skulle kunna vidtas för att hantera denna utveckling, inklusive utvecklandet av normer och förtroendebyggande åtgärder. Resolutionen, som oftast antagits utan omröstning och under tidigare år inte getts så stor uppmärksamhet, har gett mandat till statsexpertgrupper inom området, Group of Governmental Experts (GGE). Sådana grupper har utsetts vid fyra tillfällen, och två gånger har konsensus nåtts kring en rapport om gruppens överläggningar. Särskilt den GGE-

192

rapport som antogs 2013 har setts som ett viktigt framsteg då den bl.a. konstaterade att internationell rätt, och särskilt FN-stadgan, var applicerbar inom cyberområdet. Den fjärde GGE-gruppen (med utökat deltagarantal till 20 experter) tillsattes förra året och har nyligen påbörjat sitt arbete med syfte att rapportera till UNGA 2015.

Sedan några år tillbaka har hanteringen av dessa frågor i UNGA:s första utskott föranlett ett särskilt svenskt engagemang; Sverige har sedan 2011 tagit initiativ till ett särskilt gemensamt anförande för att förklara vår och andra likasinnades hållning till den ryska resolutionen. En huvudorsak till detta initiativ med ett gemensamt anförande var de utkast till uppförandekod och konvention kring informationssäkerhet som Ryssland tillsammans med Kina, Tadzjikistan och Uzbekistan cirkulerade för några år sedan. Utformningen och innehållet i dessa dokument ansågs inte acceptabelt av flera skäl, inte minst i ett människorätts- och yttrandefrihetsperspektiv.

Samtidigt som de framsteg som den statliga FN-expertgruppen har gjort välkomnas, har det gemensamma anförandet betonat behovet av ett brett säkerhetsperspektiv som lyfter fram mänskliga rättigheter men även flerpartsmodellen för internets styrning. Sverige – för första gången i nationell kapacitet – rapporterade 2014 till FN:s generalsekreterare om vår syn på ICT-relaterade frågor i ett internationellt säkerhetsperspektiv, i enlighet med inbjudan att göra så som framförs i den ryska resolutionen.

8.4.2FN:s generalförsamlings andra utskott

FN:s generalförsamlings andra utskott behandlar allmänt ekonomiska och sociala frågor, inklusive utvecklingsfrågor. En viktig resolution som lyfter fram vikten av den potential som ICT (Information and Communications Technology) kan innebära för ekonomisk och social utveckling är den så kallade ICT4D-resolutionen i FN:s general- församlings andra utskott. Ett högnivåmöte kommer att äga rum inom ramen för de så kallade World Summit on the Information Society (WSIS) som avses hållas under hösten 2015. De omfattande förberedande förhandlingarna inför översynen i ITU och Unesco är avslutade. Den så kallade Commission for Science and Technology for

193

Development (CSTD) förbereder en syntesrapport som ska delges UNGA inför hösten. Textförhandlingar inför WSIS-toppmötet 2015 påbörjas under våren 2015.

8.4.3FN:s generalförsamlings tredje utskott

FN:s generalförsamlings tredje utskott ägnas åt människorätts- frågor, inklusive vad gäller fullt åtnjutande av mänskliga rättigheter på internet. En aktuell fråga i detta utskott har berört det brasi- liansk-tyska initiativet att introducera en resolution om rätten till privatliv i den digitala eran. Detta genererade en omfattande för- handlingsprocess som även Sverige deltog mycket aktivt i. Resolutionen ombad FN:s högkommissarie för mänskliga rättig- heter att ta fram en rapport på området, som nu publicerats och diskuterats i FN:s råd för mänskliga rättigheter.

8.4.4FN:s råd för mänskliga rättigheter

I FN:s råd för mänskliga rättigheter i Geneve antogs 2012 reso- lution 20/8 med Sverige som en av initiativtagarna. Resolutionen togs med konsensus och bekräftar – för första gången i sådant sammanhang – att samma rättigheter som finns offline också gäller online. En uppföljningsresolution antogs under 2014, där även frågor rörande rätten till utbildning och styrningsfrågor togs upp.

Högkommissariens rapport om Right to Privacy in the Digital Age diskuterades i en panel i FN:s råd för mänskliga rättigheter i september och presenteras i UNGA:s tredje utskott i oktober. Det är också möjligt att frågan om en ny specialrapportör för rätten till privatliv kommer att avhandlas under vårens sessioner i FN:s råd för mänskliga rättigheter. Debatten kan förväntas beröra ställ- ningstaganden kring bl.a. extraterritoriell tillämpning av mänskliga rättigheter och rapportens kritik mot användandet av hemliga dom- slut i underrättelsedomstolar.

194

8.4.5World Summit on the Information Society

I FN-kontexten har en viktig konfliktyta funnits kring den så kal- lade WSIS-processen (World Summit on the Information Society)

–en i grunden utvecklingsfokuserad process som påbörjades genom två toppmöten i Geneve 2003 och Tunis 2005, där Sverige deltog med en 40-mannadelegation. Den ursprungliga bärande idén, att förbättra FN:s arbete för att bättre tillgång till ICT i låg- och medelinkomstländer, hamnade snart i skymundan till förmån för skarpa motsättningar kring huruvida kontrollen över internets centrala tekniska resurser, standarder m.m. skulle styras i en flerpartsmodell eller genom instiftandet av nya FN-organ.

En kompromisslösning, som inbegrep skapandet av en öppen, global mötesplats i FN:s regi – Internet Governance Forum – samt ett löfte om att de närmaste tio åren etablera ”enhanced cooperation”, en formulering utan tydlig definition, gjorde att den så kallade Tunisagendan kunde antas.

Tio år efter toppmötet i Tunis har en utvärderingsprocess – där Internationella teleunionen och Unesco spelat framträdande roller

–precis avslutats. Sverige har varit mycket aktiv i båda processerna. Ett högnivåmöte inom ramen för WSIS-processen kommer att hållas hösten 2015. Textförhandlingar kring ett slutsatsdokument kommer inledas under senvåren 2015.

8.4.6Working Group on Enhanced Cooperation, Commission on Science and Technology for Development (CSTD) inom ECOSOC

Sverige var ett av ett fåtal EU-länder som under 2013–2014 deltog i förhandlingarna i den arbetsgrupp inom Commission on Science and Technology for Development (CSTD), en kommitté under ECOSOC, som uppdrogs av FN:s generalförsamling att hitta en väg ur de låsningar i synen på mellanstatligt samarbete på internet- området som var resultatet av WSIS-toppmötet i Tunis. Motsätt- ningarna i arbetsgruppen var dock alltför stora och förhandlingarna resulterade inte i några gemensamma rekommendationer av sub- stansvärde. Konflikten som gruppen sattes att lösa kvarstår därmed och kommer sannolikt att åter komma i fokus under WSIS-hög- nivåmötet hösten 2015.

195

8.4.7Internationella teleunionen (ITU)

FN-organet den Internationella teleunionen (ITU) hanterar vissa frågor relaterade till cybersäkerhet. Den verkställande delen av ITU är IMPACT (International Multilateral Partnership Against Cyber Threats), vilket även är den första internationella alliansen mot digitala hot. IMPACT ger ITU:s 193 medlemsstater tillgång till expertis, utrustning och resurser för att effektivisera hanteringen av cyberhot samt att bistå för att skydda infrastrukturen hos samtliga FN organ.

ITU:s senaste fullmaktskonferens hölls mellan den 20 oktober och den 7 november 2014 i Busan, Sydkorea.

8.4.8NETmundialkonferensen i Brasilien

Under april 2014 tog Brasilien ett fristående initiativ genom att bjuda in till det s.k. NETmundial-mötet i Sao Paulo. Mötet arrangerades som en direkt konsekvens av de avslöjandena om massövervakning som framkomit under året, men kom till slut att i mycket begränsad utsträckning hantera övervakningsfrågorna. Deltagandet var brett och förhandlingarna öppna och inkluderande. Sverige betonar gärna utfallet från detta initiativ, snarare än den nu alltför politiserade WSIS-processen, som normgivande för det bredare internet governance-området.

8.4.9Londonprocessen

Den så kallade Londonprocessen har informellt fått beteckna de internationella cyberkonferenser som tog sin början genom ett brittiskt initiativ. I London anordnades 2011 en konferens med Storbritanniens dåvarande utrikesminister William Hague för att diskutera normer inom ramen för cybersäkerhetsfrågor, med för- hoppningen om att öka samstämmigheten inom dessa frågor i den internationella debatten. Diskussionerna fortsatte i Budapest 2012 och i Seoul 2013, där 87 länder deltog. Denna konferenskedja går närmast vidare med ”Global Conference on Cyberspace” i Haag i april 2015. Samtliga konferenser har berört aspekter angående eko- nomiska möjligheter på internet, kapacitet främjande, cyberbrott

196

SOU 2015:23 Internationella utvecklingslinjer, organisationer och dialoger

och internationell säkerhet. Haagkonferensen kommer därtill behandla frågor rörande internets globala styrning.

8.4.10Freedom Online Coalition (FOC)

Freedom Online Coalition (FOC) är en koalition av 23 länder som grundades 2011. Initiativet till koalitionen togs av Nederländerna och Sverige ingick i den första kretsen av 14 medlemmar. Koalitionens ursprungliga mål var att samarbeta mot övergrepp av de mänskliga rättigheterna på internet och i internationella fora samt att stötta bloggare och andra i repressiva miljöer och att stärka dialogen med it-branschen om företagens ansvar för att respektera yttrandefrihet på internet. Vid grundandet antogs en handlingsplan och en gemensam fond för skyndsamma insatser till stöd för ut- satta MR-aktivister och bloggare etablerades. Fonden (Digital Defenders Partnership) har sedan detta blivit operativ och mottar stöd från bl.a. Sida.

Samarbetet inom FOC har under bara ett fåtal år fördjupats av- sevärt. Koalitionen har ett gemensamt sekretariat som för när- varande finansieras av Nederländerna och USA och som effektivt driver arbetet framåt. De i alliansen ingående länderna samordnar positioner inför möten i multilaterala forum, bereder gemensamma inlagor till internationella organisationer och gör gemensamma ut- talanden. Tre arbetsgrupper har etablerats inom FOC. Dessa ska i samarbete med näringslivet, akademi och civilsamhälle, upprätthålla och föra diskussionerna framåt mellan ministerkonferenserna. Sve- rige har nyligen påbörjat arbetet kring en arbetsgrupp om rule of law- och utvecklingsfrågor. Sverige deltar också i en arbetsgrupp om ”Privacy and transparency online” som leds av Storbritannien. Arbetsgrupperna förväntas öka i betydelse allteftersom förvänt- ningarna och intresset från näringsliv och civilsamhället tilltar.

Ett stort antal informella samordningsmöten har hållits inom FOC:s ram, inom bland annat OSSE, Unesco, UNGA, ITU m.m. Likaså arrangeras varje år, under den årliga flerpartskonferensen Internet Governance Forum, en öppen diskussionspanel samt sär- skilda möten med företrädare för civilsamhället och MR-försvarare. Ordförandeskapet i koalitionen roterar och tas över av det land som arrangerar påföljande konferens. Således är Estland för när-

197

varande ordförande fram till det att Mongoliet tar över under våren 2015.

Förutom den grundande konferensen i Haag 2011 har tre FOC- konferenser genomförts på ministernivå – i Nairobi 2012, Tunis 2013 samt i Tallinn 2014. Nästa ministerkonferens kommer att hållas i Ulan Bator, Mongoliet under 2015.

8.5OSSE

Den 3 december 2013 beslutade medlemsstaterna i Organisationen för säkerhet och samarbete i Europa (OSSE) att anta en första upp- sättning av förtroendeskapande åtgärder (”Confidence-building measures” – CBMs) inom cybersäkerhetsområdet. Åtgärderna syftar till att främja samarbete, transparens, förutsägbarhet och stabilitet och således minska risken för missförstånd, eskalering eller konflikter i cyberrymden. I beslutet betonas att implemente- ringen av åtgärderna ska vara i linje med internationell rätt (särskilt FN-stadgan, den Internationella konventionen om medborgerliga och politiska rättigheter och Helsingforsslutakten).

Enligt de överenskomna förtroendeskapande åtgärderna åtar sig de deltagande staterna att frivilligt deklarera aspekter av nationella och transnationella hot angående information- och kommuni- kationsteknologi. Staterna kan även, på en frivillig basis, bistå med konsultationer för att minska riskerna för missförstånd och politisk spänning. För att ytterligare reducera missförstånd i brist på en gemensam syn på terminologifrågor har stater möjlighet att till- kännage nationellt definierade termer relaterade till cybersäkerhet.

EU har tillsammans med USA varit drivande i arbetet som syf- tar till att skapa förtroendebyggande åtgärder för cybersäkerhet inom OSSE. Sverige har särskilt värnat en tvärdimensionell ansats för att säkerställa att såväl människorätts- som säkerhetsaspekter bejakas. För svenskt vidkommande har det således varit angeläget att åtaganden inom den så kallade mänskliga dimensionen (som en av tre huvudinriktningar av OSSE:s arbete) har en framskjuten plats i arbetet. Vidare avses att redan beslutade förtroendebyggande åtgärder ska implementeras och utvecklas, samt att nya åtgärder bör främjas. Ett normativt ramverk för statsagerande anses kunna främja global utveckling inom området.

198

8.6Europarådet

Europarådet arbetar med sina 47 medlemsländer, den privata sek- torn, civilsamhället och andra aktörer för att forma ett internet som baseras på mänskliga rättigheter, en pluralistisk demokrati och rättsstatsprincipen. Den övergripande målsättningen är att bidra till en säker och öppen internetmiljö där yttrandefrihet, mötesfrihet, mångfald, kultur, utbildning och kunskap kan blomstra.

Europarådets verksamhet omfattat konventioner inom områden som it-brottslighet, dataskydd och skydd för barn, via utveckling av rekommendationer till medlemsländerna och av riktlinjer för internetaktörer inom den privata sektorn.

Organisationen är aktiv i olika internationella internetrelaterade forum, inklusive det FN-ledda forumet Internet Governance Forum (IGF), den europeiska dialogen om Internetstyrningsfrågor (EuroDIG) och är observatör till den mellanstatliga rådgivande kommittén (GAC) till ICANN (Internet Corporation för Assig- ned Names och Numbers).

Den 23 november 2001 antogs Europarådets konvention om it- relaterad brottslighet, också känd under namnet Budapest- konventionen. Detta är första internationella konvention som berör brott som begås över internet och utgör fortfarande det enda bindande rättsinstrumentet vars övergripande mål är att skydda och främja frihet, säkerhet och mänskliga rättigheter på internet. Kon- ventionens syfte är primärt att skapa en gemensam straffrättslig policy för skyddet av samhället mot cyberbrottslighet. Konventionen trädde i kraft den 1 juli 2004. Majoriteten av EU:s medlemsländer har ratificerat konventionen. Även stater som inte är medlemmar i Europarådet kan ansluta sig till konventionen, bland annat har den undertecknats av USA, Kanada, Japan och Sydafrika. Sverige undertecknade konventionen samma dag den öppnades för signering. Frågor om kriminalisering av gärningar av rasistisk och främlings- fientlig natur som begåtts med hjälp av datorsystem behandlas i ett tilläggsprotokoll till konventionen – vilket tillkom den 28 januari 2003. Sverige undertecknade protokollet samma dag. Det trädde i kraft den 1 mars 2006. Beredning för att förbereda en svensk ratificering av konventionen och dess tilläggsprotokoll pågår.

I mars 2012 antog Europarådet en ny strategi för internetstyr- ning; (Council of Europe Strategy 2012–2015 on Internet Gover-

199

nance). Strategin avser att identifiera prioriteringar och målsätt- ningar för perioden 2012–2015, med syftet att utveckla och skydda respekten för mänskliga rättigheter, rättsstaten samt demokrati på nätet.

I april 2014 lanserade Europarådet en guide för nätfrihet –

”Recommendation CM/Rec(2014)6 of the Committee of Ministers to member States on a Guide to human rights for Internet users” – avsedd att informera internetanvändare om deras rättigheter på internet samt vad de kan göra om rättigheterna inskränks. Guiden anger att medlemsstaterna i Europarådet har skyldighet att säkra mänskliga rättigheter i enlighet med Europakonventionen även på internet. Dokumentet anger även att andra instrument som reglerar frågor angående yttrandefrihet på nätet, rättighet till information, skydd av privatliv samt skydd från cyberbrott är tillämpliga online.

8.7Nato

Natos strategiska koncept som antogs vid toppmötet i Lissabon 2010 betonar vikten av att Nato utvecklar sin förmåga på cyber- försvarsområdet. Cyberförsvar ingår som del av Natos kärnuppgift kollektivt försvar, vilket bekräftades av deklarationen från topp- mötet i Wales 2014. Nato beslutar i varje enskilt fall om ett cyber- angrepp mot en medlemsstat ska utlösa de ömsesidiga försvars- förpliktelserna i Artikel 5 i Natofördraget.

Ett av initiativen under senare tid för att öka förståelsen och kunskapen om hotbilder inom cybersäkerhetområdet är det Nato- ackrediterade cyberförsvarscentret NATO Cooperative Cyber Defence Centre of Excellence (CCD-COE), vilket har upprättats i Tallinn, Estland. År 2013 presenterade en expertgrupp knutna till centret olika perspektiv på hur folkrättsliga normer kan appliceras inom cyberområdet. Arbetet har sammanställts i en rapport –

”Manual on the International Law Applicable to Cyber Warfare” –

även känt som Tallinnmanualen. Detta dokument är inte bindande utan ger endast uttryck för ett antal experters syn. Manualen upp- märksammar internationell lag som reglerar genomförandet av väp- nade konflikter.

Försvarsmakten samverkar med Nato inom ramen för plane- rings- och utvärderingsprocessen PARP i syfte att utveckla sam-

200

arbetet på cyberförsvarsområdet vad avser internationell militär krishantering.

I Försvarsdepartementets rapport ”Raminstruktion för det civila krisberedskapsarbetet inom NATO (EAPR/PFF)” framgår att

Sverige ska vara ett drivande partnerland samt att cyberförsvar är ett prioriterat område. Sverige ska utnyttja möjligheterna till erfa- renhetsutbyte och deltar således också i övningar på området.

8.8Interpol

Den 30 september 2014 invigdes Interpol Global Complex for Innovation (IGCI) i Singapore som kan beskrivas som ett forsk- nings- och utvecklingscentrum. Inom IGCI inryms Interpols Digital Crime Centre som har till uppdrag att öka informations- säkerhet och motverka it-relaterade brott. I centret inryms ett kri- minaltekniskt laboratorium för att stödja utredningar rörande digitala brott. Det bedrivs forskning- och utvecklingsverksamhet som syftar till att testa protokoll, verktyg och tjänster samt till att utveckla praktiska lösningar i samarbete med polisen, forsknings- laboratorier, universitet, offentlig och privat sektor. Centret anlyserar också trender rörande it-attacker.

IGCI:s tre viktigaste initiativ i förhållande till medlemsstaterna fokuserar på harmonisering, kapacitetsuppbyggnad samt operativt och kriminaltekniskt stöd.

Harmonisering: jämförande granskningar av nationell lagstift- ning, strategiutveckling rörande informationssäkerhet och råd- givning till enskilda medlemsstater rörande nationella strategier.

Kapacitetsuppbyggnad: brett utbud av utbildningar rörande nya trender inom it-brottslighet, utredningsteknik, digital krimi- nalteknik, m.m. Särskilt fokus på training-the-trainers.

Operativt och kriminaltekniskt stöd: Stöd till nationella utred- ningar och samordning av internationella insatser. Regional samordning i arbetsgrupper för Afrika, Amerika, Europa och Asien samt Mellanöstern och Nordafrika. Arbetsgrupper har skapats för att underlätta utvecklingen av regionala strategier, teknik och delning av information om de senaste brottstrenderna.

201

9.1.2Bakgrund

I propositionen. 2001/02:158 s. 103 gjorde regeringen följande bedömning i fråga om en strategi för informationssäkerhet i sam- hället och skydd av samhällsviktiga it-beroende system.

Målet bör vara att upprätthålla en hög informationssäkerhet i hela samhället som innebär att man skall kunna förhindra eller hantera störningar i samhällsviktig verksamhet. Strategin för att uppnå detta mål bör liksom övrig krishantering i samhället utgå från ansvarsprinci- pen, likhetsprincipen och närhetsprincipen. Principiellt gäller att den som ansvarar för informationsbehandlingssystem även ansvarar för att systemet har den säkerhet som krävs för att systemet skall fungera till- fredsställande. En viktig roll för staten är därför att se till hela sam- hällets behov av informationssäkerhet och vidta de åtgärder som rimli- gen inte kan åvila den enskilda systemägaren. För att förhindra allvar- liga informationsattacker mot Sverige bör underrättelse- och säker- hetstjänsternas arbete förstärkas.

I betänkandet Säker information Förslag till informationssäkerhets- politik (SOU 2005:42 s. 56 f.) sammanfattade InfoSäkutredningen de överordnade målen för informationssäkerheten, utifrån ett verk- samhetsorienterat perspektiv:

–Infrastruktur: Samhällets infrastruktur för informationstjänster ska vara robust och säker i förhållande till de funktioner den utför. Kritiska informationssystem ska vara så säkra att en skada inte får större verkningar än som kan anses acceptabla.

–Verksamhet: Det ska byggas en säkerhetskultur runt användan- det och utvecklingen av IT i Sverige. Informationssäkerhet ska vara en central faktor vid användandet av IT i Sverige.

–Medborgare: Sverige ska ha en allmänt tillgänglig samhällsinfra- struktur för elektroniska signaturer, autentisering av avsändare av elektronisk information samt säker överföring av känslig in- formation.

–Styrning: Regelverk som berör informationssäkerhet ska tillhan- dahållas och vidareutvecklas på ett samordnat och för använ- darna enkelt och översiktligt sätt.

–Utbildning: Det ska finnas möjligheter till utbildning inom in- formationssäkerhetsområdet för alla målgrupper.

204

–Agerande: Den informationssäkerhet som byggs upp ska stödjas av möjligheter till ingripande vid hot, incidenter, angrepp eller IT-relaterad brottslighet.

InfoSäkutredningen föreslog en strategi som innefattade att:

11.utveckla Sveriges position inom EU och i internationella sam- manhang

12.skapa förtroende, trygghet, säkerhet, och öka integritetsskyddet

13.främja ökad användning av IT

14.förebygga och kunna hantera störningar i informations- och kommunikationssystem

15.förstärka underrättelse- och säkerhetstjänstens arbete samt utveckla delgivningen

16.förstärka förmågan inom området nationell säkerhet

17.utnyttja samhällets samlade kapacitet

18.fokusera på samhällsviktig verksamhet

19.öka medvetenheten om säkerhetsrisker och möjligheter till skydd

20.säkerställa kompetensförsörjningen

I dåvarande Krisberedskapsmyndighetens regleringsbrev för bud- getåret 2007 gav regeringen myndigheten i uppdrag att ta fram en nationell handlingsplan för samhällets informationssäkerhet (Fö2009/2566/SSK). Handlingsplanen redovisades till regeringen i april 2008. Enligt handlingsplanens tredje åtgärdsförslag skulle den nationella strategin som hade redovisats av InfoSäkutredningens delbetänkande uppdateras.

I regeringens skrivelse Samhällets krisberedskap – stärkt samver- kan för ökad säkerhet (skr. 2009/10:124 s. 65 ff.) behandlades in- formationssäkerhet särskilt och sex olika områden togs upp nämli- gen en nationell strategi för samhällets informationssäkerhet, sam- hällets samlade förmåga att förebygga och hantera it-incidenter, it- incidentrapportering och it-säkerhetsanalyser, rapportering avse- ende hot, sårbarheter och risker samt internationell samverkan kring informationssäkerhet. När det gällde den första punkten om

205

en nationell strategi angavs att det behövdes en tydlig strategi med bred förankring i samhället för att kunna bedriva ett strategiskt och sammanhållet informationssäkerhetsarbete på nationell nivå i Sve- rige. Regeringen tillade följande.

Strategin bör ange långsiktiga målsättningar och arbetssätt för inform- ationssäkerhet i Sverige och omfatta informationssäkerhet i verksam- heter, kompetensförsörjning, informationsdelning, samverkan och respons, kommunikationssäkerhet, samt säkerhet i produkter och system där nyckelorden är helhetssyn, ansvar och samverkan. Strategin bör omfatta hela samhället, dvs. alla statliga myndigheter, kommuner, landsting, företag, organisationer och privatpersoner. Målen för sam- hällets informationssäkerhet, som förväntas uppnås genom strategin, är följande:

-Säkra samhällets funktionalitet, effektivitet och kvalitet.

-Bidra till samhällets brottsbekämpning.

-Stärka samhällets förmåga att förebygga och hantera allvarliga stör- ningar och kriser.

-Främja näringslivets tillväxt.

-Värna medborgares fri- och rättigheter och personliga integritet.

-Öka medborgares och verksamheters kunskap om och förtroende för informationshantering och IT-system.

Utredningen menar att den av regeringen tidigare redovisade stra- tegin (prop. 2001/02:158) liksom den i betänkandet SOU 2005:42 föreslagna i grunden var riktiga. Utredningen anser dock att de båda har sökt åtgärda samtliga problem och utmaningar i hela sam- hället i ett sammanhang, något som ställer genomföranden inför överväldigande utmaningar.

9.1.3Behovet av en strategi

I utredningens uppdrag ingår att föreslå en strategi för hantering och överföring av information i elektroniska kommunikationsnät och it-system, en nationell strategi som utredningen bedömer bör antas av regeringen. Det finns anledning att från utredningens sida betona att behoven på informations- och cybersäkerhetsområdet är så omfattande i Sverige, att det ter sig mest förnuftigt att redan från början acceptera att Sverige inte behöver en, utan flera strategier. Tidigare utredningar på området har i full enlighet med sina uppdrag sökt föreslå allomfattande strategier för hela samhället, vilket har fördelen att inte utelämna någon del av samhället; nack-

206

delen är att de inte beaktar de svårigheter och utmaningar som kan föreligga med att inom ett begränsat område av samhället åstad- komma normering och styrning utan kännedom om ekonomiska och andra förutsättningar som kan föreligga. Vad som föreslås nedan är endast det första steget, en första strategi som endast söker åtgärda de mest angelägna bristerna i statsförvaltningen. Den här föreslagna strategin träffar statsförvaltningen på bredden och höjer, om den genomförs, den generella informations- och cyber- säkerheten i statsförvaltningen, till gagn för samhällets resurser för att förebygga och bekämpa de yttersta hoten mot rikets säkerhet, vilka följaktligen mer odelat kan inriktas mot dessa hot.

Utredningen anser i stället att staten, för att kunna bli en effek- tiv och trovärdig ledande och kravställande kraft i samhället, måste ägna sin kraft åt att skapa säkerhet inom den statliga sfären. Den strategi som här föreslås ägnas därför uteslutande åt att åstad- komma det. Först därefter är staten i en position där den kan enga- gera hela samhället.

En höjd informations- och cybersäkerhet måste bygga på att regeringen i en första strategi lyckas skapa en grundstruktur för att sedan kunna fånga in frågeställningar som kan omfattas av flertalet aktörer och intressenter.

Mot bakgrund av detta resonemang föreslår utredningen en strategi som uppställer sex mål för staten under regeringens led- ning:

1.Staten förstärker styrning och tillsyn av informationssäkerheten i staten.

2.Staten blir en tydlig kravställare.

3.Staten kommunicerar säkert.

4.De statliga myndigheterna ska rapportera it-incidenter.

5.Statens förebyggande och bekämpande av it-relaterad brottslighet stärks.

6.Sverige ska vara och uppfattas som en stark internationell partner.

207

9.1.4Strategins innehåll

Enligt utredningen bör en strategi för statens informations- och cybersäkerhet ha ett medellångt perspektiv som kan ligga till grund för åtgärder på två till tre års sikt. Strategin vänder sig först och främst till regeringen, Regeringskansliet och till de statliga myn- digheterna. Indirekt kan strategin även påverka den del av närings- livet och de organisationer som samverkar eller ingår affärsrelat- ioner med staten. I det följande redovisar utredningen några ut- gångspunkter som bör kunna ligga till grund för det fortsatta arbetet.

Strategin inriktas för att kunna ligga till grund för politiska beslut och prioriteringar inom informationssäkerhetsområdet, och förbättra samordningen av samhällets informationssäkerhetsarbete. Om den genomförs bidrar strategin till att reducera sårbarheten och uppnå en effektiv risknivå i statens olika informationssystem och till trygg elektronisk kommunikation i offentlig sektor, samt säkrar pålitliga nättjänster från offentlig sektor.

Strategin innehåller sex målsättningar, till vilka de olika försla- gen i kapitlets senare delar bidrar.

Det första målet är förstärkt styrning och tillsyn av inform- ationssäkerheten i staten. Bland åtgärderna finns krav för alla myn- digheter att driva ett ledningssystem för informationssäkerhet, vilket måste uppfylla internationellt erkända säkerhetsstandarder. Arbetet med informationssäkerhet professionaliseras och tillsynen över de statliga myndigheterna stärks.

Det andra målet är att staten blir en tydlig kravställare som upp- handlare av tjänster som innehåller informationshantering eller av it-tjänster. Statliga myndigheter ska arbeta mer systematiskt med att ställa konkreta it-säkerhetsmässiga krav i anslutning till upphandling och avtal på it-området. Dessutom ska det ske löpande uppföljning på den säkerhetsmässiga leverantörstyrningen i staten. Dialogen mellan privata och offentliga aktörer samt relevanta utbildnings- och forskningsinstitutioner på området fördjupas.

Det tredje målet är tillgång till säker kommunikation i staten. Information som kommuniceras i staten är skyddsvärd och vital för att statsförvaltningen ska kunna fungera. I orostider ökar detta skyddsbehov, varför lägstanivån måste säkerställas dessförinnan.

208

Informationen omfattas bl.a. av tryckfrihetsförordningen, offent- lighets- och sekretesslagen (2009:400) och arkivlagen (1990:782) varför medborgarna har rätt att förvänta sig att staten har full kon- troll över informationens säkerhet och inte sparat någon möda för att omsätta statens skyldigheter i praktisk handling.

Det fjärde målet är att alla statliga myndigheter ska rapportera it- incidenter för att skapa kunskap och lägesbeskrivningar. I målet ingår också att konkretisera samordningsansvaret för att hantera allvarliga it-incidenter. Detta kan ses som ett delmål till det tredje målet, men är dessutom ett av kraven som EU kommer att ställa på samtliga medlemsstater.

Det femte målet är att stärka förebyggande och bekämpande av it-relaterad brottslighet. Denna verksamhet ställer särskilda krav på ansvariga myndigheter för att upprätthålla samma nivå av skydd för individer som i samhället i stort. De verktyg som ställs till ansvariga myndigheters förfogande måste hålla jämna steg med den tekniska utvecklingen och balanseras mot skyddet av den enskildes integritet.

Det sjätte målet är att Sverige ska vara och uppfattas som en stark internationell partner. I detta mål ingår att regeringen stärker och samordnar insatserna för att främja Sveriges ställning i internationellt samarbete om cybersäkerhet.

Senare strategier bör omfatta bl.a. kompetensförsörjningen av- seende informationssäkerhet i samhället i stort, nationell forskning och utveckling om informations- och cybersäkerhet, informations- säkerhet inom verksamheter hos landsting och kommuner, liksom försvaret av riket och dess oberoende mot antagonistiska hot med såväl defensiva som offensiva förmågor.

De åtgärder som utredningsdirektivens andra delar har lett ut- redningen att föreslå kan, på sätt som visas i bilaga 5, hänföras till de olika strategiska målen.

209

9.1.5Strategigenomförande och handlingsplan

Förslag:

1.Inrättandet av en genomförandekommitté övervägs.

2.MSB ges i uppdrag att i samverkan med ett nybildat myndighetsråd ta fram en ny handlingsplan.

Flera tidigare utredningars resultat (se exempelvis SOU 2005:42) har endast i begränsad omfattning kommit att genomföras. Då ingen studie har gjorts över skälen till att förslagen inte kommit att realiseras ligger det nära till hands att anta att det hänger samman med dels kostnaderna för vissa av de föreslagna åtgärderna, dels den omfattande krets av myndigheter med olika intressen och roller som är involverade, tillsammans med de departement som ansvarar för styrningen och dess myndigheter. Med förstärkningen av säkerhetsfrågornas hantering inom regeringen som statsministerns inrättande av ett säkerhetspolitiskt råd innebär och den kraftsam- ling som mandatet för inrikesministern möjliggör, föreligger i dag bättre förutsättningar än tidigare att förmå den centrala statsför- valtningen att agera samfällt.

Vissa av strategins åtgärder kommer att behöva tas omhand av lagstiftningsansvariga inom Regeringskansliet, medan andra åtgärder främst kommer att beröra ansvariga för myndighetsstyrning. Rege- ringen kan här överväga om man vill hantera de olika strategiska åtgärderna enligt gängse beredning av regeringsärenden, vilket med ansvarsfördelningen efter regeringsbildningen 2014 torde innebära att inrikesministern ”äger” strategin, eller om man vill låta en för ända- målet inrättad genomförandekommitté (se exempelvis den s.k. polis- samordningen, dir. 2012:129) genomföra de i strategin ingående åtgärderna.

Koncentrationen av ansvar och myndighetsresurser under in- rikesministern skapar goda förutsättningar för att effektivt styra verksamheten under regeringens politik för informations- och cybersäkerhet. Att det i avsaknad av ett definierat politik- och ut- giftsområde finns relaterade och i viss mån tangerande ansvars- områden ställer stora krav på samordning inom Regeringskansliet. I ljuset av Riksrevisionens påpekanden och av erfarenheterna från tidigare försök att genomföra strategiska kursändringar från rege- ringens sida, finns det anledning att noggrant övervaka att de en-

210

skilda åtgärdernas beredning sker i full enlighet med den politiska viljan som ligger i inrikesministerns mandat och att denna bered- ning vid behov också stöttas proaktivt från politisk nivå.

Även om flera åtgärder som föreslås nedan är regeringsfrågor kommer de att behöva genomföras av myndigheter. Det är därför lämpligt att de ansvariga myndigheterna inom det föreslagna myn- dighetsrådet under MSB:s ledning utarbetar en handlingsplan för de åtgärder som krävs som följd av förslagen i betänkandet, på lik- nande sätt som skett under SAMFI-strategin. Då behovet av poli- tisk vägledning även framgent kan förväntas vara stort bör rege- ringen överväga att med jämna mellanrum följa upp arbetet i myn- dighetsrådet och vid behov kalla rådet till sig för uppföljning; med hänsyn till rådets uppgifter föreligger inga hinder enligt 12 kap. 2 § regeringsformen för ett nära samarbete mellan regering och råd.

9.2Ansvar, styrning, samordning och tillsyn

9.2.1En nationell styrmodell

Bedömning: En nationell styrmodell för informationssäkerhet i samhället bör etableras.

Förändrade förutsättningar för informationssäkerhetsarbete

Förändringarna i informationshantering innebär att informations- säkerhetsarbete måste utföras på ett förändrat sätt jämfört med tidigare. Information hanteras inte enbart inom en enskild myn- dighet eller organisation utan även mellan sådana, exempelvis genom direktåtkomst till olika databaser. Konsekvensen av detta är att informationssäkerhetsarbete för att fungera måste bedrivas i former som är myndighetsöverskridande. För att detta ska kunna genomföras krävs en långsiktig och uthållig nationell styrning, stödd av en kontinuerligt utvecklad kompetens. I detta samman- hang är det viktigt att notera att styrning kan ske i olika former och bör avpassas efter de aktuella förutsättningarna.

Övergripande kan sägas att den offentliga informationshante- ringen tidigare skett i en renodla offentlig styrning, dvs. en situ- ation där offentligt finansierad verksamhet utförts av i huvudsak

211

offentliga aktörer. Nu utförs en allt större andel av den offentligt finansierade verksamheten av privata aktörer. Därmed är det nöd- vändigt att lagstiftning och föreskrifter kompletteras med olika former av avtal för att styrningen ska kunna nå samtliga aktörer som deltar i den gemensamma informationshanteringen. Det inne- bär att det offentliga på ett helt annat sätt än tidigare måste lägga mycket mer tid på att vara en kvalificerad beställare.

En alltmer nationellt integrerad informationshantering ställer krav på en sammanhållen nationell styrning och kontroll av in- formationssäkerheten i all den informationshantering som det offentliga ansvarar för. För att detta ska fungera bör det systema- tiska informationssäkerhetsarbete som bedrivs i statliga myndig- heter sammanfogas i en nationell struktur.

Det är inte längre möjligt att göra enskilda bilaterala överens- kommelser inom en och samma sektor kring säkerhetsåtgärder när hundratals aktörer, eller i vissa fall tusentals som inom hälso- och sjukvård, är involverade i samma system för informationshantering. Den fragmentiserade kravställningen utgör en stor utmaning för de privata organisationer som ska leverera de olika tjänsterna till det offentliga. Att ta fram ett stort antal unika men snarlikna lösningar är inte rationellt vare sig för kund eller för leverantör.

Inom e-förvaltning och e-hälsa samverkar ett stort antal aktörer, offentliga såväl som privata, med mycket olika förutsättningar. Ett exempel är när en liten kommun som har begränsade ekonomiska resurser och små möjligheter att tillförsäkra sig informationssäker- hetskompetens delar information med bland annat landets största landsting. Det innebär att den lilla kommunen kan äventyra säker- heten i hela den gemensamma infrastrukturen om inte gemen- samma regler finns och kommunen inte har resurser att genomföra de säkerhetsåtgärder som regelverket kräver. På detta sätt kan även de investeringar som andra aktörer gör i sin och den gemensamma säkerheten blir underminerade. Detta förhållande gäller inom ett stort antal samhällsområden. Det är därför viktigt att börja skapa en utveckling där säkerheten stärks både hos den enskilda organi- sationen och i den gemensamma infrastrukturen.

Under de senaste åren har staten gjort ett antal satsningar på nationell informationshantering både i form av tjänster som Mina meddelanden, en svensk e-legitimation och i organisatoriska for- mer som i Statens servicecenter (SSC) och E-hälsomyndigheten.

212

Det har även bedrivits ett aktivt arbete från E-delegationen och inom vårdområdet för att främja utvecklingen mot ett e-samhälle. I dessa satsningar finns en stor potentiell möjlighet att höja den nationella informationssäkerhetsnivån inom viktiga områden. Myndigheter har också i olika utsträckning ålagts att överföra sin informationshantering till Statens servicecenter och att använda de nationella tjänsterna.

En nationell styrmodell för systematiskt informationssäkerhetsarbete

Förändringarna i myndigheternas informationshantering har skett under förhållandevis kort tid. Till det kommer att tiden för själva genomförandet av respektive åtgärd har varit kort. Koncentration av informationshantering på nationell nivå sammantaget med otyd- ligheter i ansvarsförhållanden och i vilka krav och förväntningar på informationssäkerheten som ska gälla, gör att ett samlat grepp behöver tas för att se till att ansvar för informationssäkerheten klargörs och säkerställs på ett betryggande sätt.

Det behövs således enligt utredningens bedömning en nationell satsning på systematiskt informationssäkerhetsarbete i statlig verk- samhet. Utredningen föreslår därför att ett gemensamt ramverk, en nationell styrmodell, för statens informationssäkerhetsarbete eta- bleras. Genom denna ska ett för de statliga myndigheterna gemen- samt förhållningssätt till informationssäkerhetsfrågor säkerställas. Styrmodellen blir en gemensam bas för statligt informationssäker- hetsarbete. Utredningens förslag avser i första hand de statliga myndigheterna och ska vara normerande för dessa men styr- modellen kan på sikt utsträckas till att omfatta hela den offentliga sektorn.

En gemensam styrmodell syftar till att myndigheters informat- ionssäkerhetsarbete ska utföras på ett ensat sätt. Därigenom tas ett samlat grepp om informationssäkerheten i det offentliga. Syftet är att skapa en gemensam syn på en lägsta nivå av informationssäker- het i staten och samtidigt höja denna från dagens situation.

Det ska alltså skapas en samlad modell innefattande bl.a. gemen- samma metoder för riskanalys, riskhantering, informationsklass- ning och kontinuitetshantering, definierade skyddsnivåer med till- hörande skyddsåtgärder och gemensamma kravbilder, stöd för

213

informationsklassning och säkerhetsnivåer, terminologi för in- formationssäkerhetsarbete och regelverk. Styrmodellen ska baseras på existerande krav i författningar och verksamheternas behov.

Genom etablering av en sådan styrmodell möjliggörs att inform- ation kan överföras mellan myndigheter med samma skydd, eftersom en ensad modell för informationsklassning inklusive skyddsnivåer skapas.

Av särskild betydelse att generellt besluta om är ansvarsförhål- landen i informationshanteringen och därmed för olika delar av informationssäkerhetsarbetet.

Ytterst handlar kraven om hur lösningar för drift och kommu- nikation ska utformas och detta kommer att i hög grad påverka privata leverantörer av denna typ av tjänster. För att leverantörerna ska kunna få en tillräckligt god förutsägbarhet och därmed kunna utveckla standardiserade och prisvärda lösningar är gemensamma regelverk också ett mycket gott stöd. Den statliga sektorn skulle på så sätt också utveckla sin beställarkompetens och som följd skulle utvecklingen av den nationella säkerhetsarkitekturen styras av verksamhetskrav i stället för att, som ofta nu är fallet, vara händel- sestyrd och teknikdriven.

En nationell satsning på systematisk informationssäkerhet skulle innebära att de beskrivna förhållandena kan hanteras på ett över tiden sammanhållet och proaktivt sätt. En viktig del i detta är att skapa sektorsspecifika strukturer för informationssäkerhet uti- från en generisk nationell styrmodell.

Genom en nationell styrmodell för systematiskt informations- säkerhetsarbete skulle ett effektivt stöd för de aktörer som ingår i den integrerade informationsinfrastrukturen skapas. Styrmodellen skulle också verka sammanbindande eftersom såväl andra offentliga som privata organisationer på sikt skulle kunna ansluta sig till den.

Att ett sådant gemensamt ramverk tas fram på nationell nivå måste också vara det mest ekonomiskt försvarbara sättet att bedriva systematiskt informationssäkerhetsarbete i staten med hänsyn till att metodarbetet då inte behöver utföras hos varje enskild myndighet även om varje myndighet måste göra sin egen riskbedömning, kartlägga sina egna skyddsvärda tillgångar och bestämma över sitt eget behov av skyddsnivå.

Samverkan, långsiktighet och uthållighet är nödvändiga förut- sättningar för att en nationell styrmodell för systematisk inform-

214

ationssäkerhet ska fylla den funktion som är önskvärd. Genom en styrmodell skapas en långsiktighet och tydlighet i samhällets arbete med informationssäkerhet.

En styrmodell skapar också en indirekt styrning mot det privata näringslivet då staten, jämte landstingen och kommunerna, är de största beställarna av privata tjänster. Det blir på detta sätt tydligt vilka regler och ramar som gäller vid leverans av olika tekniska lös- ningar vilket med hänsyn till förutsägbarheten kommer att inne- bära ekonomiska fördelar för privata aktörer.

MSB ges i uppdrag att utveckla styrmodellen

Enligt utredningen är MSB den myndighet som bör får i uppdrag att utveckla, förvalta och vidareutveckla styrmodellen. MSB bör utveckla denna med stöd från övriga myndigheter i det av utred- ningen föreslagna Myndighetsrådet för informationssäkerhet, se följande avsnitt. Med sitt regeringsuppdrag att stödja samhällets arbete med informationssäkerhet ska MSB alltså även få ett utvidgat uppdrag att efter samverkan i myndighetsrådet och i sam- verkan med andra myndigheter utveckla, förvalta och vidareut- veckla en styrmodell för statens informationssäkerhet. Myndig- heter som ingår i myndighetsrådet bör ges i uppdrag att stödja för- valtningen och utvecklingen av styrmodellen.

9.2.2Inrättande av ett myndighetsråd

Förslag: Regeringen inrättar ett statligt myndighetsråd för in- formationssäkerhet bestående av företrädare för de relevanta myndigheterna på området.

Samordning på informationssäkerhetsområdet i dag

I gruppen SAMFI samverkar i dag myndigheter med särskilda upp- gifter och särskilt ansvar inom området informationssäkerhet (se avsnitt 7.6.1). MSB har en uttalad samordningsroll när det gäller samhällets informationssäkerhet och myndigheten har ett samord- nande ansvar i SAMFI. Utöver detta har MSB för att utnyttja sam-

215

hällets samlade kompetens i övrigt knutit till sig ett informations- säkerhetsråd med bred representation från både offentlig förvalt- ning och näringslivet (se avsnitt 7.7.1).

SAMFI träffas sex gånger per år och syftet är att underlätta sam- arbetet genom informationsutbyte och samverkan. De myndig- heter som medverkar är följande.

Myndigheten för samhällsskydd och beredskap (MSB)

Post- och telestyrelsen (PTS)

Försvarets radioanstalt (FRA)

Säkerhetspolisen (Säpo) och Nationella operativa avdelningen (NOA, tidigare Rikskriminalpolisen) i samverkan

Försvarets materielverk (FMV)/Sveriges Certifieringsorgan för IT-säkerhet (CSEC)

Försvarsmakten (FM)/Militära underrättelse- och säkerhets- tjänsten (MUST)

Samordningens betydelse

Det finns ett stort behov av ledning på informationssäkerhetsom- rådet och det gäller såväl samordning av myndigheter som styrning av informationssäkerhetsarbetet.

De allvarliga brister i informationssäkerheten i den civila stats- förvaltningen som påtalats såväl i Riksrevisionens granskning RiR 2014:23 Informationssäkerheten i den civila statsförvaltningen som i MSB:s kartläggning En bild av myndigheternas informations- säkerhetsarbete 2014 av hur statliga myndigheter tillämpar MSB:s föreskrifter och i övrigt arbetar med informationssäkerhet gör att det är angeläget att åtgärder vidtas för att stärka säkerheten. För att stärka informationssäkerheten är samordning av statliga myndig- heters arbete av central betydelse.

Regeringen har i sin skrivelse Samhällets krisberedskap – stärkt samverkan för ökad säkerhet (Skr. 2009/10:124) betonat betydelsen av SAMFI:s arbete: ”SAMFI (…) har en särskilt viktig roll då den syftar till att åstadkomma samverkan mellan de statliga myn- digheter som har särskilda uppgifter på informationssäkerhets- området.”

216

Grunden för samhällets krisberedskap är ansvarsprincipen (pro- positionen Stärkt krisberedskap – för säkerhets skull, prop. 2007/08:92, bet. 2007/08:FöU12, rskr. 2007/08:193-194). Det innebär att den som har ansvar för en verksamhet under normala förhållanden också har det under allvarliga händelser, kriser eller krig. I ansvarsprincipen ingår även att initiera och bedriva sektors- övergripande samverkan. Det finns flera statliga myndigheter med särskilda uppgifter eller uppdrag på informationssäkerhetsområdet, såväl nationellt som internationellt, och frågorna spänner över en mängd olika områden och nivåer. I ansvarsprincipen ingår att sam- verka och samordna sig med andra aktörer i den omfattning som krävs för att effektivt förebygga och hantera en allvarlig händelse. I utredningens direktiv anges särskilt att de statliga myndigheterna bör utveckla sin förmåga att samverka inom informationssäker- hetsområdet.

Fördjupad samordning

Samordning av ansvariga myndigheter är alltså en central fråga för arbetet med statens informationssäkerhet. Den samverkan mellan myndigheter som i dag sker inom ramen för SAMFI är enligt ut- redningens mening mycket betydelsefull. Dagens komplexa och snabba utveckling av informationsteknik och it-tjänster och sam- hällets sårbarhet gör att det är nödvändigt att ytterligare fördjupa samordningen mellan myndigheterna. Med hänsyn till denna ut- veckling och påtalade brister är behovet av att stärka informations- säkerheten stort. Det är därför av vikt att insatser görs för att stärka säkerheten inom området för att Sverige ska kunna upprätt- hålla säkerhet, robusthet och integritet i samhällsviktig it-infra- struktur. Detta kan bl.a. ske genom en utveckling och fördjupning av det arbete som i dag sker inom ramen för SAMFI.

Ett myndighetsråd inrättas

I syfte att ytterligare formalisera, utveckla och fördjupa samord- ningen av arbetet även i de delar av statens informationssäkerhet som inte främst gäller krisberedskap bör regeringen inrätta ett myndighetsråd för informationssäkerhet. Rådet ska främst bestå av

217

företrädare för relevanta statliga myndigheter på området. Genom inrättandet av rådet ges förutsättningar för en bättre systematisk analys av hot och risker och uppfattning om genomförda säkerhetsåtgärder. Genom att etablera rådet skapas också bättre förutsättning för det bredare informationssäkerhetsarbetet. Försla- get ger MSB och deltagande myndigheter förbättrade möjligheter att uppfylla arbetet med en gemensam lägesbild och därigenom ett bättre stöd till samhället.

Ett annat samordningsorgan, Samverkansrådet mot terrorism, kan nämnas. Detta samverkansråd består av fjorton myndigheter. Nätverket har visserligen inget formellt uppdrag men ett uttalat stöd från regeringen.

Med hänsyn till MSB:s samordnande roll inom området för in- formationssäkerhet bör myndigheten leda myndighetsrådet samt sköta administrationen. Myndighetsrådet bör också kunna sam- mankallas under Regeringskansliets ledning för diskussioner av policykaraktär (jfr konstruktionen i Rådet för rättsväsendets in- formationsförsörjning). Även de övriga myndigheter med särskilda uppgifter och särskilt ansvar inom området informationssäkerhet som i nuläget samverkar i SAMFI bör ingå i rådet. Utöver nämnda myndigheter kan även andra myndigheter och aktörer som inte direkt omfattas av regeringens uppdrag ges en viktig roll. Exempel- vis kan sektorsmyndigheter bjudas in för samverkan i rådet. Rådet skulle också efter utvärdering kunna överta flera av de funktioner som i dag handhas av SAMFI-gruppen. Vidare föreslås att det i en förordning för statliga myndigheters informationssäkerhet (se avsnitt 9.2.3) föreskrivs att arbetsgrupper kan inrättas. På detta sätt skapas en flexibilitet som över tiden kan adressera den dynamiska it-utvecklingen och de utmaningar som e-samhället efterhand ställs inför.

Att inrätta ett råd för informationssäkerhet ligger i linje med de synpunkter och rekommendationer som Riksrevisonen lämnat i sin rapport (RIR 2014:23).

218

Myndighetsrådets uppgifter

Myndighetsrådet för informationssäkerhet ska ha som uppgift att förebygga, följa och åtgärda brister i statens informationssäkerhet. Ett särskilt inrättat myndighetsråd medför en kontinuitet och tyd- lighet i det samordnade arbetet jämfört med SAMFI som baseras på frivillighet. Inrättandet av ett myndighetsråd innebär således en förstärkning av insatserna för säkerheten på området. För att när- mare tydliggöra myndighetsrådets uppgifter bör dessa slås fast på förordningsnivå.

Myndighetsrådet ska agera inom SAMFI:s nuvarande aktivitets- områden (se avsnitt 7.6.1) samt inom de områden som kan följa av den nya förordningen för statliga myndigheters informations- säkerhet (se avsnitt 9.2.3). Arbetet ska ske genom samråd och samverkan och grundas på informations- och erfarenhetsutbyte mellan myndigheterna och samordning av insatser. Myndighets- rådet föreslås inte ha egen beslutanderätt utan myndigheterna fattar beslut inom respektive ansvarsområden efter samråd i rådet. Myndighetsrådet kan fungera som en gemensam remiss- och beredningsinstans i informationssäkerhetsfrågor. Vid framtagande av styrmodellen kan MSB inhämta kommentarer i rådet. Sektors- ansvariga myndigheter som inte ingår i rådet bör kunna ges stöd i rådet inför utfärdande av föreskrifter på informationssäkerhets- området.

Myndighetsrådet ska, vid sidan av den föreslagna genom- förandekommittén (se avsnitt 9.1.5) säkerställa verkställandet av den nationella informations- och cybersäkerhetsstrategin. Vidare ska myndighetsrådet, baserat på ett system för incidentrapporte- ring, förses med lägesbeskrivningar av hot- och risknivåer i den statliga verksamheten (se vidare avsnitt 9.5).

En uppgift för myndighetsrådet ska vara att förvalta och ut- veckla tillämpliga krav på standarder och certifiering för produkter och tjänster med bäring på informationssäkerhet i samhällsviktig verksamhet. All anskaffning av produkter som av myndighetsrådet bedöms vara kritiska för säkerställandet av säker kommunikation i staten skulle kunna göras till föremål för en certifieringsprocess där rådet skulle kunna spela en viktig roll (se vidare avsnitt 9.3.1 om säkra it-produkter i staten). För det fall ett behov uppstår av nationella evalueringslaboratorier kan myndighetsrådet få i uppgift

219

att vara remissinstans för de regler och krav som utfärdas av det nationella certifieringsorganet CSEC inordnat vid FMV.

Myndighetsrådet bör med bland annat stöd av den nationella styrmodellen och tillsammans med den nya upphandlingsmyndig- heten ge stöd till myndigheter som har behov av expertkompetens vad gäller it- och informationssäkerhet. Stödet bör ges till myndig- heter som står inför upphandling av informations- och it-lösningar och bör bestå av allmänna rekommendationer om bl.a. it-standar- der och krav på certifiering.

I uppgifterna för det av regeringen inrättade myndighetsrådet bör ingå att identifiera andra frågor än de ovan nämnda som kan göras till föremål för rådets behandling.

En utvärdering av rådets verksamhet bör genomföras efter två

år.

Kansli

Som stöd för myndighetsrådet ska ett kansli inrättas med uppgift bl.a. att säkerställa informationsutbytet och samordning av de sam- verkande myndigheterna samt förse rådet med beslutsunderlag. MSB driver i nuläget på frivillig väg SAMFI:s kansli. Myndighets- rådets kansli bör med hänsyn till MSB:s roll vara placerat hos denna myndighet.

9.2.3En ny förordning för statliga myndigheters informationssäkerhet

Förslag: En ny förordning för statliga myndigheters inform- ationssäkerhet införs.

Utredningen föreslår att en förordning för statliga myndigheters informationssäkerhet införs. I en sådan förordning kan existerande regler på området samlas. Vidare kan också nya regler, bl.a. sådana som föreslås i detta betänkande, införas. På detta sätt regleras tyd- ligare den civila statsförvaltningens arbete med informationssäker- het och en gemensam lägstanivå kan skapas. Existerande regelkrav, främst hämtade från förordningen (2006:942) om krisberedskap

220

och höjd beredskap (KBF), förs till förordningen. Placeringen i en ny förordning med generellt tillämpliga regler gör att bestämmel- serna tydliggörs när de placeras i annan kontext än krisberedskap. Härigenom kan också tillämpningen förenklas.

Skyldigheten i 30 a § KBF för myndigheter att ansvara för att de egna informationshanteringssystemen uppfyller säkerhetskraven bör flyttas till den nya förordningen.

Utredningen föreslår att följande bestämmelser ska införas.

Inledande bestämmelser (1–3 §§)

Nya bestämmelser som klargör förordningens bl.a. syfte och innehåll ska införas. 1 § motsvarar i huvudsak 30 a § i KBF. Vidare krävs en reglering som stadgar att bestämmelserna om MSB:s tillsyn och föreskriftmandat samt bestämmelsen om särskilda krav på informationssäkerhetsarbete gäller för statliga myndigheter med undantag av Regeringskansliet, kommittéväsendet och Försvars- makten samt att bestämmelserna tillämpas för utlandsmyndigheterna endast i den utsträckning som bestäms i föreskrifter som meddelas av Regeringskansliet. Avseende föreskriftsmandatet motsvarar skriv- ningen 3 § KBF.

Definitioner (4 §)

Definitioner av informationssäkerhet och samhällsviktig verksamhet ska införas i en inledande bestämmelse. Det ska anges att med informationssäkerhet avses förmågan att upprätthålla konfidentialitet, riktighet, tillgänglighet och spårbarhet i sin informationshantering. När det gäller samhällsviktig verksamhet bör den definition av samhällsviktig verksamhet ur ett krisberedskapsperspektiv som används av Myndigheten för samhällsskydd och beredskap användas (se Myndigheten för samhällsskydd och beredskap, Faktablad augusti 2009 Samhällsviktig verksamhet Definition av samhällsviktig verk- samhet ur ett krisberedskapsperspektiv).

221

Regler rörande det interna säkerhetsarbetet (5–10 §§)

Paragraferna bygger på och förtydligar 30 a § KBF. Det förslås att en inledande bestämmelse slår fast att statliga myndigheter ska säkerställa att den information de ansvarar för eller hanterar i tjänster som myndigheten levererar till en annan organisation, upprätthåller en tillräcklig nivå av informationssäkerhet, varvid ska anges att detta ska ske genom ett risk- och sårbarhetsbaserat, systematiskt och processinriktat arbetsätt. Vidare ska stadgas att myndigheterna särskilt ska beakta behovet av ledningssystem och etablerade standarder för informationssäkerhet.

Ledningens ansvar och roller i verksamheten ska slås fast. Det ska stadgas att det i ledningen ska finnas en person med utpekat ansvar för informationssäkerhetsfrågor samt att myndigheten ska peka ut vem som leder och samordnar det praktiska arbetet med informationssäkerhet. Myndigheten ska också enligt denna bestämmelse tydliggöra roller och ansvar för informationssäker- hetsarbetet i myndighetens organisation. Vidare ska anges att myndigheten aktivt ska verka för att en god säkerhetskultur etableras i organisationen och att detta ska ge genom utbildning och övning.

En ny bestämmelse föreslås som slår fast hur informations- klassning ska genomföras, att inträffade it-incidenter ska kunna identifieras och hanteras och att lämpliga säkerhetsåtgärder ska vidtas. Det ska anges att myndigheter ska kartlägga sina informations- processer och klassificera sin information med utgångspunkt i krav på informationssäkerhet i enlighet med den i 4 § fastslagna definitionen. Vidare ska stadgas att säkerhetsåtgärder ska vidtas beroende på klassning samt identifierade hot, risker och sårbarheter. I detta arbete ska utvecklade krav och skyddsnivåer följas.

Ett krav ska införas på myndigheter att välja och använda säkra it- produkter vid hantering av information där bristande informations- säkerhet kan medföra en betydande försämring av myndighetens förmåga att bedriva sin verksamhet. Det förslås att it-produkter som finns utpekade i verkställighetsföreskrifter som meddelats med stöd av förordningen ska användas.

En ny bestämmelse ska införas om uppföljning och dokumentation av informationssäkerhetsarbete samt om kontinuitets- planering. Det ska införas krav på att upprätta en årlig informations-

222

säkerhetsplan som tydliggör hur arbetet med informationssäkerhet för att uppnå ställda krav ska bedrivas och krav på att med stöd av kontinuitetsplanering upprätthålla en sådan nivå av informations- säkerhet att myndigheten har god förmåga att hantera sina uppgifter i kris och under höjd beredskap. Det ska slås fast att myndigheter ska följa upp sitt informationssäkerhetsarbete, dokumentera bedömningar avseende hot, risker och sårbarheter samt redogöra för arbetet som bedrivs med kartläggning av informationsprocesser, klassificering av information, identifiering och hantering av inträffade it-incidenter, säkerhetsåtgärder samt användning av säkra it-produkter.

Kravet på kontinuitetsplanering förtydligar behovet av att även beakta krisberedskaps- och kontinuitetshanteringsperspektivet i informationssäkerhetsarbetet. Detta följer implicit av det faktum att nuvarande krav på att statliga myndigheter arbetar med informationssäkerhet är placerad i krisberedskapsförordningen. I detta avseende förtydligas alltså 30 a § KBF.

Vidare ska det införas en bestämmelse som anger att kraven i 5– 9 §§ endast gäller i tillämpliga delar för sådana myndigheter vars informationshantering eller informationssäkerhetsarbete administreras av en annan myndighet. Syftet är att omhänderta de särskilda förutsättningar som informationssäkerhetsarbete hos exempelvis nämndmyndigheter vars hela informationshantering administreras av en annan myndighet skapar. Målsättningen är inte att undanta arbetet den här typen av myndigheter utför åt annan myndighet från kraven, utan i stället nyansera kravbilden så att förordningen blir praktiskt möjlig att tillämpa. I bestämmelsen benämns en myndighet som sköter arbetet åt en annan myndighet

”värdmyndighet”. Det föreslås att ett krav ställs på en värdmyndighet att informera den anlitande myndigheten om it-incidenter som har eller kan ha påverkat säkerheten för information hos den anlitande myndigheten.

Särskilda krav på informationssäkerhetsarbete (11 §)

En bestämmelse föreslås som ger möjlighet att ställa särskilda krav på de myndigheter som anges i KBF att vidta säkerhetsåtgärder, nya bestämmelser om krav på utpekade resurser för informationssäkerhet och kompetenskrav (såsom certifiering eller motsvarande erfarenhet)

223

för informationssäkerhetschef eller motsvarande i statliga myndig- heter som omnämns i KBF. Även denna bestämmelse förtydligar innebörden av de särskilda krav på informationssäkerhet som ställs i 30 a § KBF.

Säkra kryptografiska funktioner (12–14 §§)

Bestämmelserna i 31–33 §§ KBF om säkra kryptografiska funktioner föreslås flyttas över till den nya förordningen. Dessa regler kan behöva utvecklas senare för att täcka in nya behov, exempelvis avseende civilt försvar.

Upphandling av it-system och it-produkter (15–16 §§)

I avsnitt 9.3.1 behandlar utredningen frågor om kravställning vid upphandling. I förordningen föreslås nya bestämmelser om säkerhet vid upphandling och hantering av säkerhetsfrågor i samband med anslutning till myndighetsgemensamma tjänster. Syftet är att omhänderta det växande behovet av att säkerställa att säkra it- produkter används så långt möjligt i samhällsviktig verksamhet. Det ska införas en bestämmelse enligt vilken myndigheter i samband med upphandling och utveckling av it-system eller it-produkter i förhållande till leverantören ska klarlägga ansvar och roller för informationssäkerhetsarbetet. Vidare ska stadgas att upphandlingen eller utvecklingen ska föregås av informationsklassning och riskanalys av berörd information. Resultatet av detta ska därefter vara styrande för utformningen av säkerhetskrav som ställs vid upphandling eller utveckling. Det ska förtydligas att de angivna kraven även gäller vid anslutning till myndighetsgemensamma tjänster för e-förvaltning eller liknande. Vidare föreslås krav på att en myndighet endast ska uppdra åt en annan myndighet att hantera myndighetens information om hanteringen kan ske med tillräcklig säkerhet, varvid it-incidenter som påverkat eller kan ha påverkat säkerheten ska rapporteras till myndigheten.

En ny bestämmelse ska införas enligt vilken – i samband med upphandling av it-produkter som ska användas i samhällsviktig verksamhet som bedrivs av staten – krav ställs på att endast säkra it-produkter ska användas. I de fall säkra it-produkter finns

224

utpekade i verkställighetsföreskrifter (se vidare nedan) ska dessa användas. Paragrafen kompletterar bestämmelsen i 8 § förord- ningen där krav ställs på säkra it-produkter i den egna verksam- heten.

It-incidentrapportering (17 §)

Utredningen föreslår i avsnitt 9.5 att det inrättas system för obligatorisk incidentrapportering för samtliga statliga myndigheter. I förordningen ska nya bestämmelser om krav på it-incident- rapportering införas. För statliga myndigheter föreslås en rapporteringsskyldighet av it-incidenter till MSB. Detta ska gälla för it-incidenter som allvarligt kan påverka säkerheten i myndig- hetens informationshantering eller tjänster som en myndighet levererar. Det ska anges att rapporteringen ska ske skyndsamt.

För att klargöra avgränsningen mot den tillsyn som sker enligt säkerhetsskyddförordningen ska stadgas att rapporteringplikten inte gäller för it-incidenter som ska anmälas till en tillsyns- myndighet enligt bestämmelserna i 10 a § säkerhetsskyddsförord- ningen förrän tillsynsmyndigheten har meddelat den rapporterings- pliktiga myndigheten att incidenten inte längre är föremål för behandling hos tillsynsmyndigheten.

Tillsyn, föreskrifter, Myndighetsrådets uppgifter (18–20 §§)

I avsnitt 9.2.2 har utredningen föreslagit att ett statligt myndighetsråd för informationssäkerhet ska inrättas. En ny bestämmelse om rådets uppgifter ska införas i förordningen. Det ska anges att myndighetsrådet har till uppgift att stödja och utveckla informa- tionssäkerhetsarbetet i samhället, varvid det som exempel bör räknas upp att det i detta ingår att utgöra en gemensam berednings- och remissinstans på informationssäkerhetsområdet, bidra med stöd rörande informationssäkerhetsfrågor vid utfärdandet av föreskrifter på informationssäkerhetsområdet, förvalta och utveckla tillämpliga krav i standarder samt certifiering och ackreditering (kontrollordningar) för produkter och tjänster med bäring på informationssäkerhet i samhällsviktig verksamhet, bistå med expertkompetens i samband

225

med upphandling av tjänster och produkter på informations- säkerhetsområdet, och utveckla krav- och skyddsnivåer.

I samma bestämmelse ska slås fast att MSB ska tillhandahålla en kanslifunktion för Myndighetsrådet och att rådet vid behov ska inrätta arbetsgrupper.

I avsnitt 9.2.4 nedan beskrivs utredningens förslag avseende tillsyn. Förslaget om MSB:s tillsynsmandat över statliga myndigheters informationssäkerhetsarbete ska slås fast i en ny bestämmelse.

För att avgränsa MSB:s tillsynsuppgift mot den tillsyn som sker enligt säkerhetsskyddsförordningen föreslås att det föreskrivs att undantag ska gälla för sådant arbete som redan är föremål för tillsyn i enlighet med 39 § säkerhetsskyddsförordningen. Enligt den bestäm- melsen ska säkerhetsskyddet kontrolleras av Försvarsmakten och Säkerhetspolisen.

MSB bör på motsvarande sätt som anges i 34 § KBF ges rätt att meddela föreskrifter rörande internt informationssäkerhetsarbete, kryptografiska funktioner. Föreskriftsmandatet bör också gälla för upphandling och incidentrapportering. Föreskriftsuppgiften för MSB ska således gälla de föreskrifter som behövs för verkställigheten av de allmänna och särskilda krav på statliga myndigheters interna informationssäkerhetsarbete som avses i 5–11 och 15 §§, med beaktande av nationell och internationell standard, de föreskrifter som behövs för verkställigheten av 14 §, utom i fråga om Försvarets materielverk, Försvarets radioanstalt, Kustbevakningen, Försvars- högskolan, Totalförsvarets forskningsinstitut och Fortifikations- verket, de föreskrifter som behövs för verkställigheten av 16 § utom i fråga om myndigheter för vilka Försvarsmakten eller Säkerhetspolisen meddelar motsvarande föreskrifter enligt 44 § säkerhetsskydds- förordningen samt de föreskrifter som behövs för verkställigheten av sådan it-incidentrapportering som avses i 17 §.

Förordningen föreslås träda i kraft den 1 januari 2016. I en bilaga till förordningen kan anges vilka myndigheter som ingår i myndighetsrådet.

Införs föreslagen förordning ska motsvarande bestämmelser i KBF upphävas.

226

9.2.4Tillsyn

Förslag: Tillsynen över den statliga sektorns informations- säkerhet samordnas och förstärks. MSB får i uppgift att bedriva tillsyn över statliga myndigheters arbete med informations- säkerhet. Den sektorsvisa tillsynen i staten ses över.

Tillsyn i dag

Säkerhetspolisen är den enda myndighet som har mandat att granska informationssäkerhet i den civila statsförvaltningen. Säker- hetspolisens granskning utgår från säkerhetsskyddsregleringen, vilket begränsar vad som kan omfattas av och göras i en gransk- ning. De verksamheter som granskas av Säkerhetspolisen utgör också i praktiken en ytterst liten del av den totala statsförvalt- ningen.

Försvarsmakten (MUST) bedriver tillsyn av informationssäker- heten enligt säkerhetsskyddsförordningen över de myndigheter som hör till Försvarsdepartementet, Försvarshögskolan och Forti- fikationsverket.

Datainspektionen genomför tillsyn som omfattar informations- säkerhet men dess tillsyn berör en delmängd av informationssäker- heten, nämligen integritetsskyddsaspekterna.

PTS tillsynsroll över sektorn elektroniska kommunikationer ger PTS indirekt en viktig roll för statsförvaltningens informations- säkerhet eftersom den är beroende av tillgång till säkra elektroniska kommunikationer. PTS har bland annat i uppgift att bedriva tillsyn över att operatörer upprätthåller en grundläggande driftsäkerhet avseende allmänna elektroniska kommunikationer.

Riksarkivet har ett tillsynsansvar avseende informationssäkerhet men tillsynen är begränsad till att omfatta det som finns i myndig- heternas arkiv, det vill säga i huvudsak allmänna handlingar.

Behov av förstärkning och samordning av tillsyn

Riksrevisionen (RiR) har poängterat behovet av tillsyn. I sin rap- port anger RiR följande slutsatser och rekommendationer avseende stöd och tillsyn (samt rekommendationer för att förbättra statens

227

informationssäkerhet) (s. 80). ”Rikspolisstyrelsen genom Säker- hetspolisen utövar tillsyn, men har av resursskäl inte möjlighet att göra det i hela förvaltningen, utan har inriktat sin tillsyn på de myndigheter som har den allra mest skyddsvärda verksam- heten.”/…/” RiR bedömer att resurser för tillsyn generellt inte har prioriterats i tillräcklig utsträckning.” Vidare anges (s. 81) att den tillsyn som sker täcker i stort sett endast den mest skyddsvärda verksamheten – merparten av den civila statsförvaltningen lämnas utan tillsyn. Åtgärder vidtas inte alltid efter genomförda in- spektioner. ”/…/

För att förbättra statens informationssäkerhet rekommenderar RiR därför regeringen bl.a. att utöka tillsynen av informations- säkerheten i den civila statsförvaltningen, så att den omfattar väsentligt mer än de allra mest skyddsvärda delarna. Vidare föreslås att regeringen låter utreda om ansvaret för att utöva tillsyn över informationssäkerheten i den civila statsförvaltningen kan samlas och koordineras på ett bättre sätt än i dag. Som bakgrund till rekommendationen om att stärka MSB:s roll för att samla kun- skapen om informationssäkerhetsläget konstaterade RiR därtill följande(s. 43). ”MSB har ett omfattande uppdrag att stödja sam- hällets informationssäkerhet, men har inget uppdrag att utöva till- syn. MSB är därför till stor del beroende av att aktörer lämnar upp- gifter frivilligt. Den nätverksstruktur som MSB delvis grundar sin informationsinhämtning på ger enligt RiR en insyn i vilka problem och hot som finns mot samhället i stort. Sättet att inhämta in- formationen kan dock innebära svårigheter för MSB att agera mot myndigheter och företag som deltar i informationsutbytet, eftersom agerandet kan riskera förtroendet och därmed grunden för informationsinsamlingen.”

För flera av de uppgifter som nu helt eller delvis ligger inom MSB:s ansvarsområde, samhällets informationssäkerhet inklusive incidentberedskap samt även krisberedskap i stort saknas möjlig- heter att genom tillsyn öka kunskapen om hot, risker och vidtagna säkerhetsåtgärder. Riksrevisionen pekar på att en bra och systema- tiskt underbyggd lägesbild är en förutsättning för att kunna säker- ställa att man vidtar rätt åtgärder (s. 77). Även om uttalandet görs med koppling till informationssäkerheten i förvaltningen torde det ha bäring på både arbete med samhällets informationssäkerhet i stort liksom krisberedskap.

228

Enligt MSB:s föreskrifter om statliga myndigheters inform- ationssäkerhet, MSBFS 2009:10, ska en myndighet i sitt arbete med att upprätthålla säkerhet i sin informationshantering tillämpa ett ledningssystem för informationssäkerhet (LIS) (se avsnitt 5.3.3) Den senare uppföljningen av efterlevnaden av LIS-föreskrifterna gjordes under 2014. MSB har kartlagt hur statliga myndigheter tillämpar föreskrifterna om ledningssystem för informationssäker- het (LIS). Av rapporten ”En bild av myndigheternas informations- säkerhetsarbete 2014” framgår att en stor del av myndigheterna inte har ett fungerande systematiskt informationssäkerhetsarbete. Med hänsyn till att föreskrifterna varit i kraft sedan december 2009 och rör grundläggande informationssäkerhetsarbete är det enligt utredningens mening tydligt att det krävs tillsyn av informations- säkerheten hos den civila statsförvaltningen. Vidare instämmer utredningen i RiR:s rekommendationer och slutsatser i frågan.

MSB ges tillsynsuppgift

Mot bakgrund av MSB:s nuvarande ansvar på området samt utred- ningens förslag avseende MSB:s roll i det föreslagna myndighetsrådet och förordningen för statliga myndigheters informationssäkerhet lämpar sig MSB bäst för att utföra tillsynen över myndigheternas arbete med informationssäkerhet. MSB bör därför utöver det föreslagna föreskriftsmandatet i den nya förordningen även ges tillsynsuppgift över statliga myndigheters arbete med informations- säkerhet. Tillsynen kopplas till föreskriftsmandatet och bör röra efterlevnaden av förordningen.

Genomförandet av MSB:s tillsynsuppgift kommer säkerligen att kräva samverkan med myndigheterna i myndighetsrådet. Det är dessutom nödvändigt att samordning sker i förhållande till den tillsyn som utövas under säkerhetsskyddslagen för att undvika överlappande tillsynsansvar. Vidare krävs samordning med den tillsyn inom staten avseende informationssäkerhet som sker genom sektorsansvariga myndigheters försorg.

229

Tillsyn sektorsvis

Ett antal myndigheter vid sidan om Försvarsmakten, Säpo och sektorsmyndigheterna har tillsynsansvar inom informationssäker- hetsområdet, t.ex. Datainspektionen, Finansinspektionen och Strålsäkerhetsmyndigheten. Det är en krävande uppgift som ställer höga krav på expertkompetens. Uppdraget omfattar alla aspekter av informationssäkerhet, allt från administrativ säkerhet till it-säker- het och krypto. Det är inte rimligt att kräva eller förutsätta att den bredd och djup i kompetens som krävs ska finnas inom varje till- synsmyndighet. Betydligt effektivare och mer rationellt vore om tillsynen genomförs i samverkan med en utpekad myndighet som har den djupa kompetens som krävs. Då skulle tillsynsmyndigheten ha ansvaret och kunskapen om föremålet för tillsyn, och samtidigt dra fördel av expertmyndighetens djupa fackkunskaper. Detta bidrar till kvalitet och stabilitet i tillsynen och en jämn tillämpning av informationssäkerhetskraven på tillsynsobjekten. En samord- ning av stöd till tillsynsverksamheten vore också effektivt sett till både ekonomi och säkerhet.

Enligt utredningens mening kan konstateras att en generell översyn behövs för att säkerställa att tillräcklig tillsyn över in- formationssäkerheten föreligger i olika aktuella sektorer. Utred- ningen anser att en sådan översyn även bör omfatta frågan om hur den sektorsvisa tillsynen ska organiseras. Det är av vikt att se till att den sektorsvisa tillsynen harmonierar med den allmänna tillsyn som MSB ska bedriva.

9.2.5Informationssäkerhet som en del av myndighetens revision

Bedömning: Revision av informationssäkerhet bör utvecklas. Myndighetsledningens ansvar för att upprätthålla säkerhet i myndighetens informationshantering förtydligas genom rap- porteringskrav i förordning (2000:605) om årsredovisning och budgetunderlag.

230

Ledningens roll för informationssäkerhetsarbetet

Ett systematiskt arbete med informationssäkerhet i en organisation behöver bedrivas som en process innehållande en rad steg. Att identifiera skyddsvärda tillgångar, klassificera sin information för att veta vilken nivå av skydd som krävs och sedan hantera risker och sårbarheter kopplade till hanteringen av informationen är cen- trala delar i denna process. Det är dock betydelsefullt att peka på att informationssäkerhetsarbetet inte är avslutat i och med detta. En organisations informationshantering utvecklas och förändras kontinuerligt. På samma sätt sker en konstant utveckling av nya typer av risker och sårbarheter som organisationen behöver identi- fiera och hantera. En grundläggande förutsättning för att arbetet med att skydda en av organisationens mest centrala tillgångar – informationen – är att ledningen engagerar sig i arbetet och driver frågorna.

Ledningens roll för informationssäkerhetsarbetets framgång kan svårligen överskattas eftersom det är ledningen som i den praktiska kontexten beslutar om både mål och medel för arbetet. Ledningens agerande spelar dessutom en stor roll för säkerhetskulturen inom organisationen, det vill säga om informationssäkerheten upplevs som prioriterad eller inte. Redan InfoSäkutredningen 2002–2005 pekade på att informationssäkerhet är en ledningsfråga.

För att ledningen av organisationen ska få verktyg för att kunna säkerställa att informationssäkerhetsarbetet bedrivs på ett sådant sätt som avsetts och mot de mål som satts upp i organisationen krävs en kontinuerlig uppföljning och granskning av det bedrivna arbetet. Detta ger inte bara ledningen möjlighet att säkerställa att tid och resurser har använts på avsett sätt utan även viktiga besluts- underlag för inriktning och resurssättning av framtida arbete. Uppföljningens och därmed granskningens yttersta syfte är att förbättra verksamheten genom att följa upp, granska och analysera hur den fungerar. Ofta följer man upp i vilken utsträckning organi- sationen med sitt arbete lyckas nå de uppsatta målen.

Uppföljning och granskning kan ske på många olika sätt. Revision, både extern och intern sådan, är ett särskilt kraftfullt verktyg i och med att det utförs enligt i förväg givna regler och av oberoende parter. För organisationer som är certifierade i enlighet med de internationella informationssäkerhetsstandarderna i

231

ISO/IEC 27000-familjen ställs uttryckliga krav på revision. I krav- standarden ISO 27001 framgår att själva ledningssystemets funktion ska granskas regelbundet, liksom riskbedömningarna, alla kvarvarande risker och den risknivå man har fastställt som godtag- bar. Organisationen ska också göra interna revisioner av lednings- systemet.

Brister i arbete med uppföljning och revision

Även för organisationer som inte till alla delar följer nämnda informationssäkerhetsstandarder är uppföljning och revision en viktig del i ett systematiskt arbete. Bristande uppföljning och revision kan mycket snabbt få påtagliga konsekvenser för organisationens arbete. Det rör sig inte bara om risker att organisationen på grund av okunskap och bristande underlag prioriterar och genomför säkerhetsåtgärder i en mindre lämplig tidsordning. Det kan även innebära att allvarliga säkerhetsbrister inte hanteras och förblir oupptäckta under en längre tid.

Säkerhetsbrister kan skapa risker för att antagonister tillskansar sig känslig information eller förvanskar densamma. Vidare kan processer och tekniska system fallera vilket kan leda till allvarliga tillgänglighetsbrister. Säkerhetsbrister kan även resultera i att organisationen genom sitt förfarande de facto bryter mot lagar och förordningar. En stor del av de nationella och internationella regel- verk som organisationer har att följa ställer uttryckliga krav på hur information ska hanteras. Detsamma gäller för exempelvis olika typer av branschregleringar och interna föreskrifter.

De som reviderar och genomlyser informationssäkerhetsarbetet har en mycket viktig roll att spela när det gäller kontrollen av att detta arbete bedrivs på ett korrekt sätt och mot etablerade mål. För att kunna bedriva ett systematiskt informationssäkerhetsarbete torde det mot denna bakgrund kunna slås fast att revision och uppföljning är av avgörande betydelse.

I dag finns dock brister på området. Beroende på vilken aktör som uppvisar brister kan konsekvenserna av bristande säkerhet i informationshanteringen (bristande informationssäkerhetsarbete) även få följdverkningar för andra aktörer. Det handlar om ett brett

232

spektra av aktörer, såsom kunder, underleverantörer, bidragsmot- tagare och resenärer i alla delar av samhället.

När det gäller myndigheter och deras uppföljning har Riks- revisionen konstaterat i sin årsrapport från 2007 att den interna kontrollen behöver stärkas eftersom granskning visat på flera olika typer av svagheter i myndigheternas interna styrning och kontroll.

Bland annat slås fast att de ”myndigheter som med hjälp av it hanterar samhällsviktig och känslig information måste ha en god informationssäkerhet”.

En konsekvens av svagheterna i myndigheternas interna styr- ning och kontroll konstaterade Riksrevisionen är att ”incidenter, till exempel virusattacker, medfört att medborgare och företag inte fått den service de förväntar sig. Brister i skyddet av webbplatser har också lett till att obehöriga fått tillgång till integritetskänsliga uppgifter.” Därefter konstaterar Riksrevisionen att dess gransk- ningar visar på ”allvarliga brister i hur många ledningar styr och kontrollerar informationssäkerheten vid myndigheten”.

Ett av åtgärdsförslagen som Revisionen lägger fram till rege- ringen för att hantera detta är att ”klargöra myndigheternas ansvar för såväl intern kontroll som informationsskyldigheten gentemot regeringen”.

MSB:s kartläggning av myndigheternas informationssäkerhetsarbete

I MSB:s föreskrifter om statliga myndigheters informationssäker- het (MSBFS 2009:10) ställs krav på statliga myndigheter under regeringen (med undantag för Regeringskansliet, Försvarsmakten, Kommittéväsendet och utlandsmyndigheterna) att arbeta systema- tiskt med informationssäkerhet. Föreskrifterna ställer uttryckliga krav på att myndigheterna ska införa ett ledningssystem för in- formationssäkerhet och uttryckliga krav på att ledningen löpande ska informera sig om arbetet samt minst en gång per år följa upp och utvärdera arbetet.

MSB genomförde under våren 2014 en kartläggning av hur de statliga myndigheterna tillämpade föreskrifterna i sitt inform- ationssäkerhetsarbete. Resultatet har publicerats i en rapport, En bild av myndigheternas informationssäkerhetsarbete 2014, som visar att det fortfarande finns påtagliga brister när det gäller arbete

233

med att kontrollera efterlevnad. Endast 65 procent uppger att de kontrollerar hur myndighetens styrande dokument efterlevs, 26 procent anger att de inte gör en sådan kontroll och 9 procent uppger att de inte har några styrande dokument.

I rapporten konstateras också att ”mindre än hälften av myn- digheterna uppger att de alltid, eller i stor utsträckning, dokumen- terar granskningar och säkerhetsåtgärder av större betydelse som har vidtagits”. När det gäller ledningens roll visar resultatet att knappt hälften av myndigheternas ledning i stor utsträckning håller sig löpande informerade om arbetet respektive följer upp in- formationssäkerhetsarbetet åtminstone en gång per år. Den höga svarsfrekvensen i undersökningen gör de redovisade resultaten signifikanta och extra intressanta.

Behov av ett tydligare regelverk

Sammantaget kan dels konstateras att uppföljning och revision är en nödvändig förutsättning för ett systematiskt informationssäker- hetsarbete, dels konstateras att det fortfarande finns brister. När det gäller statliga myndigheter kan noteras att de brister som Riks- revisionen pekat på, trots att det sedan ett antal år tillbaka ställs tydligare krav på informationssäkerhetsarbetet hos statliga myn- digheter, fortfarande till del finns. Detta gäller även med all sanno- likhet såväl den kommunala nivån som landstingen. I detta ska också beaktas att leverantörerna av it-tjänster till det offentliga i huvudsak består av privata företag, vilket gör att även dessa på olika sätt måste omfattas av informationssäkerhetsarbetet.

Samhällsutvecklingen och det ökande beroendet av fungerande informationshantering samt den nu allt mer utbredda avsaknaden av alternativ till informationshantering med hjälp av it-system gör att vikten av ett informationssäkerhetsarbete som får faktisk effekt för skyddet av information har ökat betydligt. Detta innebär sam- tidigt att de brister som påvisats i uppföljning och revision av säkerhetsarbetet kan potentiellt sett få allt större konsekvenser för allt fler.

Regelverket som i dag reglerar revision, både inom privat och inom offentlig sektor, kan förtydligas. Givet de brister som påvisats och ovan redovisats finns det skäl att se närmare på dessa möjligheter. Här

234

behöver dock skiljas på reglerna för extern revision, som exempelvis görs av Riksrevisionen, och intern revision. Det är särskilt reglerna för intern revision som upplevs uppvisa brister i dag.

Förvaltningsmyndigheter under regeringen

När det gäller förvaltningsmyndigheter under regeringen styrs internrevisionen av internrevisionsförordningen (2006:1228). Enligt 4 § nämnda förordning ska internrevisionen ”utifrån en analys av verksamhetens risker självständigt granska om ledningens interna styrning och kontroll är utformad så att myndigheten med en rimlig säkerhet fullgör de krav som framgår av 3 § myndighetsförordningen

(2007:515)”.

Som framgått har behovet av att skydda information blivit en allt viktigare angelägenhet för myndigheterna. Att i en sådan situ- ation säkerställa att internrevisionen beaktar även informations- säkerhetsfrågorna har potential att öka fokus på frågorna och skapa än förbättrade förutsättningar för att ett systematiskt inform- ationssäkerhetsarbete som får faktisk effekt kan bedrivas. Utred- ningen föreslår därför att det i förordningen (2000:605) om års- redovisning och budgetunderlag införs en bestämmelse om att till årsredovisningen en tilläggsupplysning ska lämnas om genomförd internrevision och status för informationssäkerhetsarbete på myn- digheten.

Ett alternativ vore att i myndighetsförordningen (2007:515) införa en bestämmelse om att myndighetens ledning ansvarar för att upprätthålla säkerhet i sin informationshantering.

9.3Staten som tydlig kravställare

Informationssäkerhetsproblematiken når samhällets alla delar och nivåer. Privat och offentlig sektor är en del av och drabbade av samma informationssäkerhetsproblematik. Båda sektorerna kan också bidra till att förbättra situationen på olika sätt.

De överväganden och förslag som utredningen redovisar i betänkandet rör statens eget agerande. Detta innebär inte att ut- redningen anser att tyngdpunkten i informationssäkerhetsarbetet ska ligga där. Som nämnts i det inledande avsnittet ska förslagen

235

snarare ses som ett första steg som avser att åtgärda de mest ange- lägna bristerna i den centrala statsförvaltningen.

I detta avsnitt redovisas hur utredningen anser att staten bör ut- veckla beställarkompetensen avseende hantering och överföring av information i elektroniska kommunikationsnät och it-system. Syf- tet är att få tillfredsställande it-lösningar och samtidigt förenkla och sänka kostnader för tjänster och produkter.

Utifrån sammanfallande intressen inom informationssäkerhets- området tas hänsyn till näringslivets behov samtidigt som staten bygger sin informationssäkerhet. Detta kan ske genom att samtalet mellan näringslivet och regeringen med dess myndigheter fördju- pas.

9.3.1Kravställning vid upphandling

Förslag:

1)Statlig upphandling ska innehålla hänvisning till för staten gällande standarder och krav på certifiering i de situationer där säkerhetsnivåer har fastställts för respektive verksamhet.

2)Myndigheten för samhällsskydd och beredskap (MSB) ges i uppdrag att ta fram skyddsprofiler som anger minimikrav på säkerhet i vanligt förekommande it-produkter som används av statliga myndigheter.

3)Det bör införas ett krav på att rapportera vilken leverantör som en statlig myndighet valt då ramavtal rörande it-lösningar används.

4)Avseende tjänster och produkter att användas för kommuni- kation inom staten, bör upphandlande myndighet överväga möjligheten att tillämpa lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet, om upphandling enligt lagen (2007:1091) om offentlig upphandling inte medger nödvändigt kravställande.

236

It-standarder och krav på certifiering

En grundförutsättning för dagens informationssamhälle är säker- heten i informationssystemen. All användning av informationstek- nik är starkt beroende av att it-produkter och it-tjänster har säker- hetsegenskaper som ger det skydd som krävs och utlovas. Eftersom nationellt godkända system inte kan omhänderta hela samhällets behov i stort bygger de allra flesta säkerhetslösningar på allmänt tillgängliga kommersiella produkter, så kallade COTS (Commer- cial of the shelf). Fördelarna med COTS är att det finns ett stort utbud och anskaffningen är enkel. Nackdelarna i jämförelse med nationellt godkända produkter, är att myndigheter måste förlita sig på att produkter håller de säkerhetsegenskaper som leverantören utlovat.

I dag pågår ett flertal internationella initiativ för att ta fram standarder och rekommendationer för hur man skapar it-säkerhet i produkter. Ett sätt att skapa en kommersiellt driven process för att tillgodose samhället med kryptolösningar med tillräcklig kvalitet är att låta kommersiella aktörer bekosta evalueringar av sina produk- ter genom internationellt erkända certifieringssystem som Com- mon Criteria (CC) inom ramen för CCRA- överenskommelsen. Angående Common Criteria.

Upphandling

När en organisation väljer att upphandla nya it-lösningar som till exempel system, molntjänster eller outsourcing av it-drift ska det föregås av en riskanalys eftersom det påverkar informationssäker- heten. En väl genomförd upphandling kan ha positiva säkerhets- effekter inte bara på det system eller den tjänst som upphandlas utan även i ett vidare perspektiv. Ett exempel på detta är att det generella säkerhetsmedvetandet kan höjas när de informations- hanteringsprocesser som ska stödjas analyseras och behovet av säkerhet fastställs. Å andra sidan kan upphandlingar som sker uti- från ett otillräckligt underlag leda till att organisationens säkerhet avsevärt försämras för lång tid framåt. Med tanke på att upphand- ling av it-relaterade tjänster blir allt vanligare får upphandling också en alltmer framskjuten plats i informationssäkerhetsarbetet.

237

För att möta detta behov har MSB tillsammans med Kammar- kollegiet tagit fram ett stöd riktat till myndigheter, kommuner och landsting i form av en vägledning Vägledning – informationssäkerhet i upphandling (Publ.nr MSB555). Även PTS har tagit fram en väg- ledning för att ge stöd vid anskaffning av extern elektronisk kom- munikation, exempelvis internetanslutning och telefoni Robust elektronisk kommunikation – vägledning för användare vid anskaff- ning (PTS-ER-2011:16). Som en fördjupning har också ett par av- gränsade studier Outsourcing av it-tjänster i kommuner (publ.nr MSB728) och Informationssäkerhet i Kammarkollegiets ramavtal

(dnr 2013-3300) genomförts som båda visar att den offentliga upp- handlingen av system och it-relaterade tjänster har stora brister. Studierna har dels rört hur ett antal myndigheter, ett landsting och en offentlig intresseorganisation formulerat krav på säkerhet när de använt Kammarkollegiets ramavtal för it-drift, dels hur kommuner uppfattar möjligheterna att genomföra upphandlingar där säkerhet är inkluderad. Sammanfattningsvis kan sägas att studierna indikerar att det finns omfattande svårigheter både för statliga myndigheter och kommuner att formulera initiala krav vid upphandlingen men också att upprätthålla en beställarkompetens under hela den tid som avtal gäller. Det är sannolikt inte heller helt tydligt för de myndigheter som nyttjar Kammarkollegiets ramavtal att hela ansvaret för att formulera säkerhetskrav ligger på varje enskild myndighet. Sannolikt finns det outtalade förväntningar både på ramavtalet och på leverantörerna om att säkerhetsaspekterna ska beaktas på ett generellt plan vid upphandlingarna utan att kunderna behöver genomdriva egna villkor. Osäkerheten kring säkerhets- aspekter vid upphandling bör ses i ljuset av att var och en av myn- digheterna, landstingen och kommunerna är sällan-köpare av it- lösningar där flertalet knappast kan förväntas kunna ha hela den kompetens som krävs för att upphandla säkerhet i den egna organi- sationen. Intrycket av att uppgiften att säkerställa god inform- ationssäkerhet vid upphandlingar uppfattas som svårlöst stärks i tidigare refererad rapport från MSB En bild av myndigheternas informationssäkerhetsarbete 2014 – tillämpning av MSB:s föreskrifter

(avsnitt 7.4.2).

Utöver den bristande säkerhet som blir följden av ovanstående förhållanden leder oklarheterna också till att den utvecklings- potential som finns hos leverantörerna inte utvecklas. Till skillnad

238

mot flertalet av de offentliga kunderna finns hos leverantörerna en hög kompetens att utveckla it-lösningar. Denna kompetens skulle kunna tas i anspråk även för att inkludera standardiserade säker- hetslösningar vilket skulle vara ekonomiskt fördelaktigt för både kund och leverantör. Förutsättningen för detta är en mer standar- diserad kravställning från de offentliga aktörerna. Här finns det anledning att peka på den gemensamma nationella styrmodell som föreslås i avsnitt 9.2.1 och som bl.a. ska innehålla ett ramverk med gemensamma skyddsnivåer kopplade till informationsklassning. Leverantörerna får genom skyddsnivåerna möjlighet att utveckla standardiserade paketlösningar som kunderna kan välja utifrån sin informationsklassning. Vid sidan om den möjliga ekonomiska rationalisering som ligger i en sådan lösning blir även kraven på heltäckande kompetens hos kunderna mindre eftersom de inte behöver detaljera sina kravställningar utan snarare välja en fastställd skyddsnivå. Ytterligare en vinst är att kontroll av efterlevnad avse- ende leverantörerna skulle kunna samordnas eftersom kraven skulle vara i huvudsak de samma.

Samma ramverk bör även användas då myndigheter och kom- muner samverkar i gemensamma it-lösningar. Av utredningens kontakter med MSB har framgått att den nuvarande situationen bedöms oroande då kravställningen och ansvarsfördelningen i dessa relationer förefaller vara ännu mer eftersatta än i de kommersiella relationerna. Det saknas för närvarande också former för att reglera parternas ansvar på ett effektivt sätt. Dessutom saknas incitament för att följa upp ingångna överenskommelser vilket gör moti- vationen att utarbeta avtalsliknande förbindelser låg.

Koncentration av leverantörer

På nationell nivå blir hot- och riskbilden aggregerad då allt större informationsmängder samlas hos ett fåtal leverantörer. Att det är ett fåtal leverantörer beror både på att den svenska marknaden är begränsad och är en konsekvens av de krav som finns i lagen om offentlig upphandling vilka leder till formell begränsning i mång- fald leverantörer. Statliga myndigheter är hänvisade till att sköta sina upphandlingar via Kammarkollegiets ramavtal som i praktiken leder till att det i huvudsak är tre stora leverantörer som levererar

239

exempelvis drifttjänster. MSB har i den rapport som togs fram i samband med den så kallade Tieto-incidenten Reflektioner kring samhällets skydd och beredskap vid allvarliga it-incidenter (Publ.nr. MSB367) lyft fram risken med den starka koncentrationen eftersom en it-incident hos en av dessa kan få mycket vittomfat- tande konsekvenser på samhällsnivå. I en nyligt publicerad rapport från MSB förstärks denna bild. I rapporten It- och informations- säkerhet i Sverige. Erfarenheter och reflektioner från några större it- incidenter under 2012–2014 (publ.nr: MSB721 – januari 2015) besk- rivs fem fall av it- och informationssäkerhetsincidenter, som in- träffat i Sverige de senaste tre åren och där samhällets inform- ationshantering påverkades kraftigt. Trenden mot koncentration stärks ytterligare av att de nationella tjänster och myndigheter, som exempelvis Statens servicecenter har sina tjänster placerade hos i huvudsak samma leverantörer. Ett första steg för att reducera ris- kerna för ökad koncentration på leverantörssidan är att införa ett krav på myndigheterna att återrapportera vilken leverantör som valts då ramavtal rörande it-lösningar används. Utredningen före- slår därför att MSB bemyndigas att meddela föreskrifter om ett rapporteringskrav. Ett sådant bemyndigande föreslås i 20 § förordningen för statliga myndigheters informationssäkerhet, se avsnitt 9.2.3. Det bör därvid utredas om det finns ett behov av samordning avseende till vilken myndighet som återrapportering ska ske när det gäller it-produkter som omfattas av säkerhets- skyddslagens krav.

Utvecklad beställarkompetens

Som vi konstaterat ovan är beställarkompetensen för informations- säkerhet alltför svag, vilket är ett grundläggande problem. Ägarna och användarna av samhällskritisk infrastruktur måste först och främst inse att den infrastruktur de äger respektive nyttjar i många delar är kritisk, att den behöver skyddas, att skyddet inte enbart ska vara fysiskt utan även av informationssäkerhetsskydd. Om beställa- ren är medveten om vad som krävs av ett bra informationssäker- hetsskydd så är det också möjligt att definiera skyddet, anpassa det och upphandla. En metod att utveckla beställarkompetensen kan vara att använda en gemensam standard för informationssäkerhet.

240

Tillgång till certifierade produkter enligt evalueringskriterier för it-säkerhet, Common Criteria (CC), eller för tjänster enligt Led- ningssystem för informationssäkerhet (LIS) underlättar upphand- ling av informationssäkerhet. CC tillämpas redan inom flera olika sektorer, exempelvis försvar, finans, sjukvård, transport och kom- munikation.

Staten har ett ansvar för att utveckla beställarkompetensen. Det kan bland annat ske genom att successivt infoga kravet på certifie- ring vid upphandling men också genom tillämpning av kvalitets- kraven i LIS.

Utveckling av informationssäkerhet med stöd av internationellt accepterade standarder är en konstruktiv metod för att skapa tillit och förtroende såväl inom en organisation som mellan olika parter. Den möjliggör också en meningsfull revision av säkerheten, eftersom revisionen kan ske gentemot definierade mål och kvali- tetsrutiner, se avsnitt 9.2.5.

Utredningen anser att statliga upphandlingar ska innehålla hän- visningar till it-standarder och krav på certifiering i de situationer där säkerhetsnivåer har fastställts för respektive verksamhet. Där- med kan samma krav som ställs på myndigheterna genom den före- slagna förordningen för statliga myndigheters informations- säkerhet även omfatta leverantörer av it-produkter (CC- certifierade) i samband med upphandling, se avsnitt 9.2.3. Detta medför också att det ställs krav på sådana produkter som ska upphandlas och användas i samhällsviktig verksamhet som bedrivs av staten.

Krav på it-säkerhet i it-produkter kan ställas i form av skyddsprofiler som följer CC-standarden. Sådana skyddsprofiler beskriver kraven på olika typer av it-produkters säkerhetsegenskaper. MSB skulle tillsammans med berörda myndigheter och leverantörer kunna utveckla de skyddsprofiler som anger olika it-produkters minsta tillåtna säkerhetsnivå. I den föreslagna styrmodellen (se avsnitt 9.2.1) kan hänvisning ske till sådana skyddsprofiler. Härigenom skulle minimikrav för olika typer av it-produkters säkerhetsegenskaper kunna anges. Upphandlande myndighet som ska tillämpa styr- modellen kan kräva att leverantörerna certifierar sina produkter mot kraven som formulerats i dessa skyddsprofiler. Upphandlande myndigheter och Statens inköpscentral kan referera till skydds- profilerna i ramavtal. Leverantörer av produkterna kan få sina

241

produkter certifierade mot dessa krav och därmed få åtkomst till den stora myndighetssektorns marknad. På detta sätt undviks att oseriösa leverantörer med produkter med dålig säkerhet och lägre pris konkurrerar ut leverantörer med en mer medveten säkerhetsinriktning med potentiellt högre utvecklingskostnad.

Utredningen föreslår därför att MSB ges i uppdrag att ta fram skyddsprofiler som anger minimikrav i vanligt förekommande it- produkter som används av statliga myndigheter. Vid utvecklingen av skyddsprofilerna kan samverkan ske med berörda myndigheter och representanter för näringslivet. Detta förslag innebär en betydande förstärkning av beställarnas förmåga att ställa tydliga och relevanta krav på it-produkters säkerhet.

En satsning på tydligare hänvisning till standarder och krav på certifiering kan medföra större behov av i förväg utpekade evalueringslaboratorier.

Möjligheten att tillämpa lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet (LUFS)

Lagen (2007:1091) om offentlig upphandling (LOU) utgör den generella regleringen avseendet det allmännas upphandling. Det finns möjligheter inom LOU-systemet att ställa krav avseende t.ex. informationssäkerhet i de tjänster eller produkter som ska upp- handlas, (se MSB:s rekommendationer.) I en framtid där statliga myndigheter enligt föreskrifter är skyldiga att rapportera inträffade it-incidenter är det troligt att ett stående krav vid upphandling av it-tjänster kommer att vara att leverantören ska rapportera alla in- cidenter av visst slag.

Då LOU-systemet tenderar att gynna det lägsta priset när andra faktorer är lika, är det av största vikt att myndigheter som avser upphandla tjänster eller produkter som ska garantera informations- säkerhet och skydd för den information som myndigheten enligt offentlighets- och sekretesslagen (2009:400) är skyldig att hantera på särskilt sätt, alltid utnyttjar möjligheter till kravställande i enlig- het med de standarder som framförallt MSB:s föreskrifter kräver att myndigheten följer.

Om upphandlande myndighet efter att ha uttömt de möjligheter till kravställande som LOU medger likafullt inte anser att upp- handling kan ske med erforderliga garantier för säkerhet i staten

242

kan myndigheten i stället överväga att använda upphandlingsförfa- randet enligt lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet (LUFS). Lagen är avsedd för upphandlingar av materiel och tjänster som är av så känslig natur att upphandling enligt LOU eller lagen (2007:1092) om upphandling inom områ- dena vatten, energi, transporter och posttjänster inte lämpar sig. LUFS är i stort sett parallell till dessa två lagar men till skillnad från dem innehåller LUFS bestämmelser om informationssäkerhet, försörjningstrygghet och underentreprenad. Lagen genomför huvudsakligen Europaparlamentets och rådets direktiv2009/81/EG.

9.3.2Fördjupad dialog mellan privat och offentlig sektor

Förslag: Regeringen fördjupar dialogen mellan privata och offentliga aktörer.

Näringslivets roll

Den tekniska utvecklingen på it-området är i allt väsentligt styrd av olika privata aktörer på marknaden. Tekniska framsteg omsätts mycket snabbt i olika produkter och tjänster. På motsvarande sätt expanderar marknaden för informationssäkerhet inom offentlig och privat verksamhet och omfattar också ett stort antal sektorer. Datorisering av de system som förser samhället med bränsle, el, värme, vatten och transporter sker i snabb takt och är i huvudsak privatägd. Tillverkarnas produkter och system styrs av programvaror och blir i allt högre grad uppkopplingsbara över elektroniska kommunikationsnät för styrning, övervakning, service m.m. Därmed ställs höga krav på den gemensamma infrastrukturen när det gäller leveranssäkerhet och kvalitet. En utveckling av informationsförsörj- ningen i alla dessa avseenden förutsätter att ett antal säkerhetsproblem löses. Dessutom har såväl privata som statliga aktörer likartade problem och behov i den dagliga verksamheten, vilket också kan ligga till grund för utbyte av praktiska erfarenheter.

Näringslivet har även en betydelsefull roll som den största äga- ren och förvaltaren av samhällsviktig informationsinfrastruktur.

243

Upphandling av it-relaterade tjänster blir allt vanligare och får där- med också en framskjuten plats i informationssäkerhetsarbetet.

Tillgången till och användningen av olika typer av standarder är av utomordentligt stor betydelse inom informationstekniken och det är it-leverantörer som i hög grad har svarat för krav och stan- darder i de system som används i offentlig förvaltning. Vidare finns det standarder så som exempelvis SS-ISO/IEC 27001 Lednings- system för informationssäkerhet som ligger till grund för systema- tiskt informationssäkerhetsarbete hos såväl den privata som den offentliga sektorn. Utredningen konstaterar att standardisering vid sidan av reglering är ett kraftfullt styrmedel när det gäller inform- ationssäkerhetsarbetet som flera aktörer har ett delat intresse av.

Samverkan mellan privat och offentlig sektor genom dialog

Det är viktigt att ta till vara det engagemang för informations- och cybersäkerhetsfrågor som redan finns inom näringslivet, i synner- het den del av näringslivet som bedriver samhällskritisk verksam- het, och att öka medvetenheten kring konsekvenserna av it-inci- denter. Hoten mot elektroniska kommunikationsnät och it-system är mångfacetterade, komplexa, svårdefinierade och föränderliga (jfr avsnittet om hot och risker 4.4). Det är också så att informations- säkerheten inte är ett problem som kan lösas en gång för alla, utan arbetet med att värna om informationssäkerheten i samhället måste ske i en kontinuerlig process. Eftersom den tekniska utvecklingen i huvudsak finns på marknaden så är det också där ifrån man kan förvänta sig säkerhetslösningar. Staten får här en viktig roll som tydlig kravställare på informationssäkerhet i olika offentligt finan- sierade verksamheter. Detta ställer samtidigt krav på offentliga sektorn att kunna nivåanpassa tillgänglighet och skydd. Det borde därför inom flera olika sektorer utvecklas samverkan genom konti- nuerlig dialog mellan privata och offentliga aktörer.

Utredningen anser att regeringen med stöd av det föreslagna myndighetsrådet bör inleda en dialog med centrala näringslivsorga- nisationer och andra intresseorganisationer. Den överordnade mål- sättningen med en dialog är att stärka informationssäkerheten i samhället, särskilt avseende de delar som berör den kritiska infra- strukturen. Alla ägare eller leverantörer av komponenter till kritisk