Stärkt privat-offentlig samverkan på informations- och cybersäkerhetsområdet

Transkript

1 samhällsskydd och beredskap Uppdragsredovisning 1 (41) Stärkt privat-offentlig samverkan på informations- och cybersäkerhetsområdet Svar på regeringens uppdrag till Myndigheten för samhällsskydd och beredskap (Ju2017/05789/SSK, Regeringsbeslut II:19, ) MSB-51.1

2 samhällsskydd och beredskap Uppdragsredovisning 2 (41) Innehållsförteckning Sammanfattning... 4 Författningsförslag... 5 Förslag till ändring i förordning (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap Inledning Uppdraget Bakgrund Avgränsningar MSB:s privat-offentliga samverkan inom informations- och cybersäkerhetsområdet MSB:s samverkan med privata aktörer Sätt att bedriva privat-offentlig samverkan Stöd och vägledning Övning och utbildning Hantera och förebygga It-incidenter Nätverk för privat-offentlig samverkan Nätverk för internationell privat-offentlig samverkan Modeller och arbetssätt i MSB:s nätverk Effekter av vidtagna åtgärder Ökad medvetandehöjning Stöd i hanteringen av it-incidenter och it-relaterade kriser Effektivare informationsdelning Bättre råd och stöd Behov av fortsatt utveckling av privat-offentlig samverkan på informations- och cybersäkerhetsområdet Prioriterade sektorer och områden Samordning Vikten av behovsprövning Beprövade arbetssätt och modeller En tillsynsroll kan komplicera Samordnat informationsutbyte Behov av fördjupad analys Skälen för MSB:s förslag... 30

3 samhällsskydd och beredskap Uppdragsredovisning 3 (41) Bilaga 1 Privat-offentlig samverkan stärker samhällets informations- och cybersäkerhet Bilaga 2 MSB:s privat-offentliga samverkansnätverk... 36

4 samhällsskydd och beredskap Uppdragsredovisning 4 (41) Sammanfattning För att säkerställa en god informationssäkerhet i samhället behöver privata och offentliga aktörer samverka. En väl fungerande privat-offentlig samverkan på informations- och cybersäkerhetsområdet ökar på ett konkret sätt samhällets förmåga att fungera i situationer av it-relaterade kriser, större olyckor eller höjd beredskap. Detta leder i sin tur till en förbättrad totalförsvarsförmåga i samhället. I dag ägs stora delar av den samhällsviktiga verksamheten och kritiska infrastrukturen av privata aktörer, inklusive omfattande informationsmängder om individer och system. Detta skapar utmaningar då staten har det yttersta ansvaret gentemot medborgarna avseende samhällets funktionalitet, medan infrastrukturen ägs av och därmed behöver hanteras av näringslivet. Myndigheten för samhällsskydd och beredskap (MSB) har mångårig erfarenhet av att förvalta och utveckla privat-offentlig samverkan inom informations- och cybersäkerhetsområdet, samverkan som exempelvis har visat sig kunna ge avgörande bidrag till arbetet med att fastställa en korrekt lägesbild över omfattande it-incidenter. MSB:s arbete med privat-offentlig samverkan på området har resulterat i att det nu inom flera sektorer och områden finns etablerade plattformar för förtroendefullt utbyte av känslig information. Enligt myndighetens uppfattning bör de sju prioriterade områdena som identifieras i den Nationella risk- och förmågebedömningen , samt de sektorer som pekas ut i NIS-direktivet 2 utgöra huvudsaklig grund för vilka branscher och sektorer som prioriteras avseende privat-offentlig samverkan inom informations- och cybersäkerhetsområdet. Idag finns etablerad privat-offentlig samverkan avseende informations- och cybersäkerhetsfrågor inom vissa, men inte alla, områden. Det gäller bland annat transport, skydd och säkerhet samt livsmedelsförsörjning inklusive dricksvatten. I syfte att ytterligare förbättra och effektivisera privat-offentlig samverkan inom informations och cybersäkerhetsområdet är det enligt MSB angeläget att myndigheten i instruktion tilldelas en samordnande roll. Genom att ges ett tydligt uppdrag att stödja och samordna privat-offentlig samverkan på informations- och cybersäkerhetsområdet kan MSB skapa förutsättningar för att privatoffentlig samverkan bedrivs på ett resurseffektivt sätt med den övergripande målsättningen att stärka förmågan avseende samhällets informations- och cybersäkerhet, samt därmed både krisberedskapen och totalförsvaret. 1 %20och%20f%c3%b6rm%c3%a5gebed%c3%b6mning%202017%20(sammanfattning).pdf se även 2 Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

5 samhällsskydd och beredskap Uppdragsredovisning 5 (41) Författningsförslag Förslag till ändring i förordning (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap Härigenom föreskrivs i fråga om förordning (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap att 11 a ska ha följande lydelse. Nuvarande lydelse Föreslagen lydelse 11 a Myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att stödja och samordna arbetet med privat-offentlig samverkan och att lämna råd och stöd i fråga om förebyggande arbete till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Myndigheten ska årligen lämna en rapport till regeringen med en sammanställning av de incidenter som rapporterats in till myndigheten enligt 20 förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Inför sammanställning av rapporten ska myndigheten inhämta upplysningar från Säkerhetspolisen och Försvarsmakten om de incidenter som rapporterats in till de myndigheterna enligt 10 a säkerhetsskyddsförordningen (1996:633). Myndigheten ska även rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan leda till behov av åtgärder på Myndigheten ska årligen lämna en rapport till regeringen med en sammanställning av de incidenter som rapporterats in till myndigheten enligt 20 förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Inför sammanställning av rapporten ska myndigheten inhämta upplysningar från Säkerhetspolisen och Försvarsmakten om de incidenter som rapporterats in till de myndigheterna enligt 10 a säkerhetsskyddsförordningen (1996:633). Myndigheten ska även rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan leda till behov av åtgärder på

6 samhällsskydd och beredskap Uppdragsredovisning 6 (41) olika nivåer och områden i samhället. Förordning (2015:1065). olika nivåer och områden i samhället. Förordning (2015:1065).

7 samhällsskydd och beredskap Uppdragsredovisning 7 (41) 1. Inledning 1.1 Uppdraget Regeringen har i beslut (Ju2017/05789/SSK) gett MSB i uppdrag att verka för att de privat-offentliga samarbetsformerna stärks. I uppdraget ingår att bedöma vilka branscher och sektorer som bör prioriteras. Uppdraget ska redovisas senast den 1 mars Uppdrag till Myndigheten för samhällsskydd och beredskap att bidra till ökad kunskap och samverkan på informationssäkerhetsområdet Regeringen uppdrar åt MSB att verka för att de privat-offentliga samarbetsformerna stärks. I uppdraget ingår att bedöma vilka branscher och sektorer som bör prioriteras. Uppdraget ska redovisas senast den 1 mars 2018 och av redovisningen ska det framgå vilka åtgärder MSB vidtagit och vilken effekt dessa har haft samt vilka ytterligare åtgärder MSB planerar att vidta Skälen för regeringens beslut Samhällets informations- och cybersäkerhet behöver stärkas. Regeringens nationella strategi för samhällets informations- och cybersäkerhet ger uttryck för de övergripande prioriteringarna och syftar till att utgöra en plattform för Sveriges fortsatta utvecklingsarbete. En målsättning i strategin är att kunskapen i samhället som helhet om de mest angelägna sårbarheterna och behoven av säkerhetsåtgärder ska öka. En annan målsättning i strategin är att samverkan och informationsdelning på informations- och cybersäkerhetsområdet ska stärkas. Den tekniska utvecklingen är i allt väsentligt styrd av privata aktörer och privata aktörer driver också stora delar av den samhällsviktiga verksamheten. En förutsättning för att kunna nå målen i strategin är en väl utvecklad privat-offentlig samverkan. Det finns därför ett behov av att fortsatt utveckla informationsdelningen gällande hot, risker och säkerhetsåtgärder i syfte att skyddet snabbt ska kunna anpassas hos fler aktörer. MSB bör därför ges i uppdrag att verka för att de privat-offentliga samarbetsformerna stärks. 3 3 Regeringsbeslut uppdrag till Myndigheten för samhällsskydd och beredskap att bidra till ökad kunskap och samverkan på informationssäkerhetsområdet Ju2017/05789/SSK.

8 samhällsskydd och beredskap Uppdragsredovisning 8 (41) 1.2 Bakgrund Digitaliseringen av samhället pågår kontinuerligt. Beroendet av fungerande informationssystem för samhällets funktionalitet växer stadigt och möjligheten att nyttja alternativ till de digitala lösningarna är i många delar starkt begränsad eller borttagen. Förmågan att upprätthålla säkerhet kring den digitala informationshanteringen är därför av grundläggande betydelse för fungerande samhällstjänster. Informationssäkerhetsförmåga är viktig för att skapa förtroende för de digitala tjänster som redan finns idag såväl som för de som kan komma att utvecklas i framtiden. Den är också central för att upprätthålla förtroendet för statens förmåga att säkra samhällets funktionalitet. För att bygga och upprätthålla en tillräcklig informationssäkerhetsförmåga i samhället är det idag inte tillräckligt med endast insatser från offentlig sektor. Inom många områden har verksamhet som traditionellt setts som centrala offentliga uppgifter privatiserats, detta gäller inte bara kritisk infrastruktur som telekommunikation, energi och transporter utan även centrala samhällsfunktioner som hälso- och sjukvård. Kopplingarna mellan den offentliga sektorn och det privata näringslivet i det praktiska informationssäkerhetsarbetet är redan omfattande och de växer dessutom kontinuerligt. Hanteringen av en större it-incident eller it-relaterad kris i samhället behöver därför involvera både offentliga och privata aktörer. Det är aktörer som skiljer sig åt avseende såväl uppgifter, ansvar, kompetens, resurser som mandat. MSB har ett omfattande uppdrag när det gäller skydd mot olyckor, krisberedskap och civilt försvar i vilket det ingår att: 1. utveckla och stödja samhällets beredskap mot olyckor och kriser och vara pådrivande i arbetet med förebyggande och sårbarhetsreducerande åtgärder, 2. arbeta med samordning mellan berörda aktörer i samhället för att förebygga och hantera olyckor och kriser, 3. bidra till att minska konsekvenser av olyckor och kriser, 4. följa upp och utvärdera samhällets krisberedskapsarbete, och 5. se till att utbildning och övningar kommer till stånd inom myndighetens ansvarsområde. Myndigheten har även en central roll på informations- och cybersäkerhetsområdet där uppgiften är att stödja och samordna arbetet med samhällets informationssäkerhet. I detta ingår bland annat att lämna råd och stöd till samhällets aktörer samt tillhandahålla en funktion med uppgift att förebygga och hantera it-incidenter. Uppgiften är omfattande och kräver kompetens och resurser för både förebyggande och operativt arbete.

9 samhällsskydd och beredskap Uppdragsredovisning 9 (41) Inom ramen för arbetet med samhällets informationssäkerhet arbetar myndigheten sedan flera år med att stödja och utveckla privat-offentlig samverkan inom informations- och cybersäkerhetsområdet, både avseende format och inom vilka sektorer samverkan sker. Den samverkan och det förtroende som byggts upp mellan medverkande aktörer har enligt MSB:s bedömning och erfarenhet skapat förbättrade förutsättningar för både hantering av större it-relaterade incidenter och förebyggande arbete. I den svenska organisationsstrukturen är det offentliga informationssäkerhetsansvaret uppdelat på flera departement och myndigheter. Den privat-offentliga samverkan som idag bedrivs har byggts upp utan någon övergripande samordning från statens sida. Någon samordning av vilka frågor som hanteras, eller hur, sker inte heller. I regeringens skrivelse Nationell strategi för samhällets informations- och cybersäkerhet lyfts behovet av att fortsatt utveckla den privat-offentliga samverkan som finns i redan existerande frivilliga nätverk inom informations- cybersäkerhetsområdet och verka för att en ändamålsenlig informationsdelning gällande hot, risker, säkerhetsåtgärder och samverkan mellan privata och offentliga aktörer säkerställs i syfte att skyddet snabbt ska kunna anpassas hos fler aktörer Avgränsningar MSB bedriver privat-offentlig samverkan inom en rad olika områden och med olika syften. Denna rapport behandlar dock endast MSB:s arbete med privatoffentlig samverkan inom informations- och cybersäkerhetsområdet. Förutom samverkansnätverk för informationssäkerhet mellan privata- och offentliga aktörer, bedriver MSB även en rad andra informationsdelningsnätverk, som riktar sig till andra myndigheter, lärosäten, kommuner, landsting och länsstyrelser. Dessa nätverk har ingen privat-offentlig dimension och redovisas därför inte inom ramen för detta uppdrag. Höjd beredskap kan ställa särskilda krav på privat-offentlig samverkan inom informations- och cybersäkerhetsområdet, denna frågeställning behandlas dock inte inom ramen för denna redovisning. MSB bedömer att detta behöver utredas ytterligare inom ramen för myndighetens arbete. I rapporten föreslås att MSB uppgift att stödja och samordna arbetet med privat-offentlig samverkan inom informations- och cybersäkerhetsområdet tydliggörs i myndighetens instruktion. Det kan finnas anledning att även utreda behovet av motsvarande tillägg i instruktionen avseende myndighetens övriga verksamhetsområden. Denna fråga behandlas dock inte i rapporten :17:213 Nationell strategi för samhällets informations- och cybersäkerhet s. 11 f.

10 samhällsskydd och beredskap Uppdragsredovisning 10 (41) 2. MSB:s privat-offentliga samverkan inom informations- och cybersäkerhetsområdet Med privat-offentlig samverkan mellan en eller flera offentliga aktörer och en eller flera privata aktörer avses ett arbetssätt, eller former och kombinationer av olika arbetssätt, som styrs av vad som önskas att uppnås med samverkan och baseras på en frivillig överenskommelse. MSB beskriver exempelvis privatoffentlig samverkan inom myndighetens ansvarsområde som ett frivilligt, överenskommet samarbete mellan privata och offentliga aktörer i syfte att stärka samhällets krisberedskap. 5 Samverkan syftar som regel till att identifiera och initiera åtgärder som kan medverka till att öka säkerheten och minska sårbarheten. Genom samverkan informeras aktörer, av myndigheten eller varandra, om risker vilka därefter kan diskuteras och reduceras med gemensamma ansträngningar. Samverkan kan även syfta till att ge stöd och vägledningar, genomföra övningar och bedriva utbildningar. 2.1 MSB:s samverkan med privata aktörer Behovet av privat-offentlig samverkan avseende informations- och cybersäkerhet är inte nytt även om det med hänsyn till samhällsutvecklingen och den uppdelade ansvarsbilden har vuxit stadigt på senare år Sätt att bedriva privat-offentlig samverkan Gemensamt för MSB:s arbete med privat-offentlig samverkan och informationsdelning inom informations- och cybersäkerhetsområdet är att samverkan bedrivs i huvudsak på tre sätt: En-till-många : Det breda arbetet med informations- och cybersäkerhet bygger, så långt det är möjligt, på synsätt, metoder och processer, som kan tillämpas i många sammanhang. Målsättningen är att, där det är möjligt, arbeta en-till-många och att tillhandahålla hjälp till självhjälp. MSB använder ett antal olika kanaler för detta arbete, exempelvis webb, sociala medier, seminarier/konferenser, nätverksträffar och distribution av trycksaker. Till detta kommer även att MSB via medverkan i olika medier ökar medvetenheten om informations- och cybersäkerhet. Informationsdelningsfora och nätverk: En viktig del i den privat-offentliga samverkan inom informations- och cybersäkerhetsområdet är de nationella informationsdelningsforumen (FIDI). Samverkan i FIDI-fora bygger på fördefinierade fora vilka består av upp till organisationer som träffas regelbundet. Arbetet syftar till att skapa en mekanism där organisationerna, utan oro för att behöva exponera den egna organisationens svagheter för exempelvis konkurrenter eller media, kan lära av varandra. För MSB:s del kan sedan denna kunskap omsättas i till exempel stöd en- 5

11 samhällsskydd och beredskap Uppdragsredovisning 11 (41) till-många. Privat-offentlig samverkan bedrivs även i andra typer av nätverk. Flera samverkansfora på informationssäkerhetsområdet etablerades redan av MSB:s föregångare Krisberedskapsmyndigheten (KBM) och Styrelsen för psykologiskt försvar (SPF). Exempelvis kan nämnas att Mediernas beredskapsråd bildades redan på 1950-talet och FIDI-SCADA Bilateral samverkan: I speciella fall samverkar MSB med privata aktörer på bilateral basis. Denna typ av privat-offentlig samverkan sker endast efter särskilt övervägande då den är mycket resurskrävande Stöd och vägledning Ett exempel på stöd framtaget i enlighet med en-till-många principen med koppling till privat-offentlig samverkan är det metodstöd för systematiskt informationssäkerhetsarbete som MSB tagit fram. Metodstödsarbetet har bedrivits i samverkan med både privata och offentliga aktörer och finns tillgängligt på Metodstödet vänder sig till samtliga typer av organisationer i samhället. Andra exempel på stöd och vägledning som MSB tagit fram med stöd av privata aktörer: - Mediebranschen 2016 hot, risker och sårbarheter, - Vägledning för samhällsviktig verksamhet: att identifiera samhällsviktig verksamhet och kritiska beroenden samt bedöma acceptabel avbrottstid, - Systematiskt arbete med skydd av samhällsviktig verksamhet, - Vägledning för fysisk informationssäkerhet i it-utrymmen, - Vägledning till ökad säkerhet i industriella informations- och styrsystem, - Vägledning om informationssäkerhet för småföretagare, - med flera. Nätverken bidrar med kvalitetssäkring av MSB framtaget stöd och vägledningar Övning och utbildning Delar av MSB:s privat-offentlig samverkan har en tydlig inriktning mot övning och utbildning. De privata aktörerna är en huvudmålgrupp och deras deltagande är ofta centralt för att uppnå avsett syfte med övningen/utbildningen. De bidrar även med kvalitetssäkring vid utvecklingen av kurser. NISÖ Nationell informationssäkerhetsövning, är en övningsserie som MSB har genomfört vid tre tillfällen; 2010, 2012 och nu senast NISÖ 2018 omfattade följande sektorer; energi, transport, hälso- och sjukvård, samt information och kommunikation. Syftet med övningen är att stärka samhällets förmåga att hantera större nationella it-relaterade

12 samhällsskydd och beredskap Uppdragsredovisning 12 (41) kriser, främst genom att utveckla förmågan till samarbete och samordning mellan privata och offentliga aktörer inom prioriterade sektorer. NISÖ2018 bidrar till ökad kunskap om samordning, samverkan och samspelet mellan privata och statliga aktörer. Övningen bidrar också till att identifiera problemområden och utvecklingsbehov samt möjliggör förslag på åtgärder för att erhålla en ökad förmåga. Den skapar också möjligheter och förutsättningar för att bygga goda relationer mellan deltagarna. Nationellt centrum för säkerhet i styrsystem för samhällsviktig verksamhet (NCS3) NCS3 är ett kompetenscentrum med uppdraget att bygga upp och sprida medvetenhet, kunskap och erfarenhet om cybersäkerhetsaspekter inom industriella informations- och styrsystem. Inom NCS3 sker forskning, utbildning och övningar för privata och offentliga aktörer som äger och/eller arbetar med samhällsviktig verksamhet där industriella informations- och styrsystem ingår. Centrumet fungerar på detta sätt som en arena för privat-offentlig samverkan, även på praktisk nivå. Centrumet bekostas av MSB och är ett samarbete mellan MSB och Totalförsvarets forskningsinstitut (FOI). Nationell cyber range Cyber range är en nationell delad resurs för övning, utbildning, test och forskning som bland annat nyttjas inom ramen för NCS3s arbete. Det är en teknisk miljö som bland annat kan simulera stora komplexa it-miljöer från högsta till lägsta nivå. Den nationella cyber rangen har en förmåga att hantera fysiska, virtuella, simulerade och emulerade enheter. I dagsläget finansierar MSB den nationella cyber rangen i Linköping och FOI ansvar för driften Hantera och förebygga It-incidenter Privat-offentlig samverkan utgör även en del i MSB:s operativa verksamhet på informations- och cybersäkerhetsområdet. Huvuddelen av denna samverkan bedrivs inom ramen för MSB/CERT-SE:s verksamhet. CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team) med uppgift att stödja samhället i arbetet med att hantera och förebygga it-incidenter. Till uppgifterna hör bland annat att agera skyndsamt vid inträffade it-incidenter genom att sprida information samt vid behov arbeta med samordning av åtgärder och medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade. Arbetet med it-incidenter förutsätter nära samarbete med privata aktörer som it-tjänsteleverantörer, it-produktleverantörer och teleoperatörer. Det kan handla om att tillsammans med privata aktörer åtgärda sårbarheter i itprodukter, stänga ned användare som skickar ut skadlig kod, bygga upp en lägesbild över konsekvenser av inträffade it-incidenter eller samordna it-incidenthantering där flera organisationer drabbats.

13 samhällsskydd och beredskap Uppdragsredovisning 13 (41) Nätverk för privat-offentlig samverkan MSB har sedan myndigheten bildades byggt upp och förvaltat nätverk för privat-offentlig samverkan, inte minst på informationssäkerhetsområdet. Som nämndes ovan har vissa nätverk en lång historia och etablerades redan av MSB:s myndighetsföregångare. Beroende på nätverk tillhandahåller myndigheten idag stöd i allt från tekniska system för informationsutbyte, ekonomiskt stöd för arrangerandet av möten, möteslokaler, administrativt stöd och i flera fall även en ordföranderoll. De nätverk som MSB idag förvaltar innehåller aktörer som på ett eller annat sätt levererar samhällsviktig funktionalitet där information om exempelvis störningar, och deras orsaker, behöver kommuniceras ut fort. Målet är att kunna inkludera företag som bedriver samhällsviktig verksamhet enligt en 80/20 princip, det vill säga att identifiera och fokusera på de 20 % av företagen som representerar 80 % av den samhällsviktiga verksamheten. Samtliga privat-offentliga samverkansnätverk präglas av att skapa förutsättningar för att kunna dela information på ett så enkelt och förtroendefullt sätt som möjligt. Detta innebär att stor vikt ligger vid de personliga relationerna och samverkan. Beroende på område, deltagare och mötesfrekvens, kan tidsåtgången för att etablera ett nätverk för välfungerande privat-offentlig samverkan på informations- och cybersäkerhetsområdet med ändamålsenligt informationsutbyte beräknas till någonstans mellan 2 och 4 år. MSB förvaltar 6 följande nationella privat-offentliga nätverk inom informationsoch cybersäkerhetsområdet; 7 FIDI-Drift FIDI-Drift är ett privat-offentligt nätverk som genom informationsutbyte, omvärldsanalys och produktion av gemensamt informationsmaterial ökar informationssäkerheten för leverantörer av it-drift. MSB administrerar och är tillika ordförande. Nätverket består av driftleverantörer och har varit verksamt sedan FIDI-Finans FIDI-Finans är ett nätverk för att dela information mellan stat och näringsliv avseende informationssäkerhetsaspekter inom finanssektorn. Det övergripande målet med nätverket är att förbättra finanssektorns informationssäkerhet och därigenom bidra till att stärka svensk nationell informationssäkerhet samt att på lämpligt sätt förmedla valda delar av informationen eller resultat av nätverkets arbete till andra organisationer som står inför likartade utmaningar. MSB administrerar och be- 6 MSB:s roll i de olika nätverken skiljer sig delvis åt den är ibland mer drivande, och ibland mer stödjande. I rapporten används förvaltar som ett samlingsbegrepp. 7 För en ingående beskrivning av respektive nätverk se bilaga 2.

14 samhällsskydd och beredskap Uppdragsredovisning 14 (41) mannar kanslifunktionen och är tillika ordförande i nätverket. Medlemmarna representerar olika privata aktörer inom finanssektorn såväl som statliga myndigheter. Nätverket bildades FIDI-SCADA FIDI-SCADA är ett privat-offentligt nätverk som genom informationsutbyte, omvärldsanalys och framtagande av gemensamt material ökar informationssäkerheten i industriella informations- och styrsystem (SCADA-system). MSB är ordförande i nätverket som bildades Nätverkets medlemmar representerar aktörer som använder SCADA-system, exempelvis inom sektorerna energi-, transport och vatten och avloppssektorn. FIDI-Telekom FIDI-Telekom är ett privat-offentligt nätverk som genom informationsutbyte, omvärldsanalys och framtagande av gemensamt material ökar informationssäkerheten inom telekomsektorn. MSB är ordförande i nätverket som bildades Nätverket inkluderar aktörer verksamma inom telekomsektorn. FIDI-Vård och omsorg Inom FIDI-Vård och omsorg finns både större regionala landsting som de statliga tillsynsmyndigheterna representerade. MSB är ordförande i nätverket som samlar aktörer inom vårdsektorn för att dela information med koppling till informations- och cybersäkerhetsområdet. Informationssäkerhetsrådet Rådet fungerar som ett nätverk av kompetenta personer från både näringslivet och offentlig sektor som bidrar med övergripande strategiskt arbete och inriktning av MSB:s arbete inom fältet. MSB:s vikarierande generaldirektör är ordförande, MSB administrerar även rådets möten. MSB förvaltar även privat-offentliga nätverk där informations- och cybersäkerhetsfrågorna utgör en delmängd av arbetet i nätverket. Här kan särskilt nämnas: Mediernas Beredskapsråd Inom rådet förs en kontinuerlig dialog kring medieföretagens informations- och cybersäkerhet, beredskap, krisledningsförmåga och samverkan. Arbetet sker på frivillig basis och en av rådets viktigaste uppgifter är att arbeta för en öppen dialog och ett ömsesidigt förtroende mellan aktörerna. MSB:s vikarierande generaldirektör är ordförande i Mediernas beredskapsråd. Rådet bildades redan på 1950-talet och inkluderar representanter från public service, men även privata mediebolag.

15 samhällsskydd och beredskap Uppdragsredovisning 15 (41) FSPOS I FSPOS är ett nätverk som samlar aktörer från det privata näringslivet och de offentliga institutionerna i finanssektorn. FSPOS ska stärka den finansiella infrastrukturen genom att samverka, öva, kartlägga och dela information och på så sätt värna sektorn och samhället. MSB sitter i styrelsen och finansierar verksamheten Nätverk för internationell privat-offentlig samverkan Utöver de nationella samverkansnätverk listade ovan bedrivs privat-offentlig samverkan på internationell nivå med systemleverantörer och integratörer inom området industriella informations- och styrsystem samt finans. De internationella nätverken är bland andra; FI-ISAC Europeiskt informationsdelningsnätverk med fokus på den finansiella sektorn. Euro-SCSIE Europeiskt informationsdelningsnätverk med fokus på industriella informations- och styrsystem. MSB:s deltagande i dessa nätverk är mindre i omfattning än i de nationella nätverken. Det är däremot viktigt att verka även på den internationella arenan. Inom båda områden kan it-incidenter och it-relaterade kriser ofta få gränsöverskridande verkningar. De är därför ändamålsenliga plattformar för att bevaka trender och utveckling på internationell nivå. 2.2 Modeller och arbetssätt i MSB:s nätverk Informationsdelningen och nätverken på informations- och cybersäkerhetsområdet skiljer sig åt i sina upplägg samt representerar olika områden och sektorer. Utformningen av en stor del av de nätverk som MSB förvaltar bygger på en modell från Storbritannien, vilken även används i till exempel Nederländerna. 8 Modellen Information Exchanges är ett beprövat koncept som bygger på att samverkan sker via långsiktiga relationer och med en hög nivå av tillit. Att etablera den nivå av tillit som krävs för att nätverken ska kunna dela information utan förhinder kräver, som nämnts ovan, tid och engagemang. MSB lägger därför stor vikt vid det personliga mötet och den dynamik som uppstår inom nätverken på informations- och cybersäkerhetsområdet för att säkerställa att informationsdelningen kan ske så obehindrat som möjligt. Modellen lämpar sig väl för att dela information mellan privata aktörer som, trots att de till och med konkurrerar inom samma bransch, behöver dela känslig information för 8 Forum för Informationsdelning om Informationssäkerhet (FIDI).

16 samhällsskydd och beredskap Uppdragsredovisning 16 (41) att stärka sektorns och i förlängningen samhällets informations- och cybersäkerhet. 9 För att aktörer i ett nätverk ska kunna förmedla känslighetsgraden hos information på ett systematiskt sätt används ofta den tregradiga skalan i Traffic Light Protocol (TLP) som stöd vid klassning och informationsspridning. MSB har tillgång till en mängd information, vissa delar av den är sekretessbelagd och därmed inte aktuell att dela förutom där det finns möjligheter att upprätthålla nödvändigt sekretesskydd. Annan information, exempelvis i form av analyser, redogörelser för pågående arbete och lägesbilder kan ofta med fördel delas i nätverken. Sådan informationsdelning höjer informationssäkerheten i samhället då relevanta aktörer delges aktuell och underbyggd information. Även om de etablerade nätverken fokuserar på informationssäkerhet på olika sätt och inom olika områden bidrar de sammantaget till att göra samhället mer robust och motståndskraftigt mot kriser, idag har i princip alla större störningar en it-relaterad dimension. MSB har inte något tillsynsansvar över privata aktörer på informationssäkerhetsområdet utan endast en stödjande och samordnande roll. Detta gör att myndigheten i samverkansnätverk ofta betraktas som en neutral offentlig part av deltagande privata aktörer. Informationsdelning inom nätverken, exempelvis om risker, sårbarheter och incidenter, begränsas därmed inte av eventuell oro för att delningen av informationen kan komma att leda till negativa konsekvenser för den enskilda privata aktören. MSB kan istället använda kunskapen om exempelvis risker och sårbarheter till att utforma ett än mer ändamålsenligt stöd. Det bör i detta sammanhang även nämnas att MSB, och andra aktörer, vid upprepade tillfällen lyft behovet av att MSB ges tillsynsansvar över de föreskrifter om systematiskt informationssäkerhetsarbete som gäller för statliga myndigheter. Ett sådant tillsynsansvar ser MSB som en angelägen åtgärd för att höja informationssäkerheten i offentlig sektor och därmed ställa samma krav som kommer att ställas på ägare av samhällsviktiga tjänster inom ramen för NIS-direktivet 10. Tillsyn över statliga myndigheter anses dock inte påverka MSB:s relation med privata aktörer och därmed inte heller få någon negativ påverkan på myndighetens privat-offentliga samverkan. 2.3 Effekter av vidtagna åtgärder De privat-offentliga nätverken som MSB förvaltar på informations- och cybersäkerhetsområdet har, enligt myndighetens bedömning, möjliggjort för både privata och offentliga aktörer att dela med sig av sina erfarenheter och kunskap samt samarbeta i olika frågor. Detta har bland annat bidragit till att förbättra säker hantering av information och informationssystem, vilket också bidrar till ökad informationssäkerhet i samhällets infrastrukturer. Den information som 9 The GFCE-MERIDIAN Good Practice Guide on Critical Information Infrastructure Protection for governmental policy-makers nov Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

17 samhällsskydd och beredskap Uppdragsredovisning 17 (41) utbytts har varit av många olika slag, allt från information om tillgängligt stöd och problembilder till pågående regleringsarbete på EU-nivå. Här nedan listas några exempel på hur MSB:s privat-offentliga samverkan fått praktiskt betydelse för arbetet med samhällets informations- och cybersäkerhet. Arbetet med it-incidenter och it-relaterade kriser har även betydelse ur ett krisberedskapsoch totalförsvarsperspektiv Ökad medvetandehöjning Inom nätverken sker ett fortlöpande arbete med att analysera, medvetandegöra och identifiera risker som kan verka hindrande för olika aktörers verksamhet eller sektor. Många processer är idag helt automatiserade, uppkopplade och sammankopplade vilket inte bara skapar behov av hög nivå av informationssäkerhet utan även gör själva informationssäkerhetsarbetet utmanade. För att kunna upprätthålla en tillräcklig nivå av informationssäkerhet blir det därför allt viktigare att kunna identifiera vilken information som är skyddsvärd samt hur och i vilka system den hanteras. Uppgiften är inte alltid enkel. Ibland är system och information vart och ett för sig inte skyddsvärt, men sammansatt är helheten av alla delar skyddsvärd. Arbetet i nätverken underlättar att identifiera vilka beroenden det finns mellan olika sektorer och samhällsfunktioner samt att bedöma skyddsvärdet hos information. Informationsklassning, där informationens känslighet för brister i konfidentialitet, tillgänglighet och riktighet analyseras, blir allt viktigare och allt komplexare att genomföra. En korrekt klassning kan också förutsätta ett beslutsunderlag som består av information från både privata och offentliga aktörer. MSB tillhandahåller ett generellt metodstöd för systematiskt informationssäkerhetsarbete inklusive informationsklassning men kan även gå in och ge utökat stöd där så behov finns i särskilda frågor, exempelvis rörande industriella informations- och styrsystem. Dialog och praktiskt samarbete har flera fördelar. De har bidragit till en ökad förståelse hos MSB för de privata aktörernas behov. Samtidigt har de privata aktörerna fått ökad förståelse för de offentliga behoven men även förbättrad kunskap om sektorns i stort samt vilket stöd som exempelvis MSB kan tillhandahålla. Ett viktigt resultat av arbetet i nätverken har varit att potentiella konkurrenter har erbjudits en plattform för att samarbeta och utbyta information i syfte att identifiera och hantera sårbarheter, risker och hot. Utvecklingen på totalförsvarsområdet har också gjort att flera aktörer ser att betydelsen av samverkan ökar Stöd i hanteringen av it-incidenter och it-relaterade kriser För att kunna vidta rätt åtgärder vid en större it-incident eller it-relaterad kris med många inblandade aktörer är tillgången till en korrekt lägesbild ofta av avgörande betydelse. Etablerad privat-offentlig samverkan på informations- och cybersäkerhetsområdet har i praktiken visat sig vara av väsentlig betydelse när det gäller att snabbt få information för att kunna skapa en samlad lägesbild över en händelse. Detta var särskilt tydligt vid en episod i maj 2016, när ett fler-

18 samhällsskydd och beredskap Uppdragsredovisning 18 (41) tal samhällsviktiga funktioner slogs ut inom en kort tidsperiod. Händelseförloppet i sig skulle kunna peka på en större antagonistisk attack, eller ett omfattande systemhaveri på samhällsnivå 11. Via MSB:s redan upparbetade nätverk kunde myndigheten dock konstatera att det var slumpmässiga händelser som utspelades i nära tidsmässig relation till varandra. Med stöd i denna information kunde MSB skyndsamt informera media om vad som pågick och att händelsen inte var av den allvarlighetsgrad som det först verkade. Nätverken för privat- offentlig samverkan har också haft väsentlig betydelse vid andra inträffade större samhällsstörningar där det efter information från nätverken kunnat fastställas vad felkällan till störningarna varit. Det har vid flera tillfällen varit till stor hjälp för MSB att via nätverken få tillgång till relevant information för att vid en större störning eller kris snabbt kunna skapa samlad lägesbild. Myndigheten har därigenom kunnat lämna sammanhållen information till allmänheten, vilket också har gett en ökad arbetsro för inblandade aktörer att hantera det inträffade, exempelvis en omfattande it-incident Effektivare informationsdelning Inom ramen för de av MSB administrerade privat-offentliga nätverken utbyter deltagarna konfidentiell information som normalt betraktas som verksamhetskänsligt. Det är bland annat information om hur vissa händelser har hanterats, eller proaktiva råd. Härutöver arbetar nätverken med långsiktigt förebyggande säkerhetsarbete. Aktörer kan exempelvis dela information i nätverken om hur de har hanterat vissa händelser och ge proaktiva råd till andra medlemmar. MSB förmedlar aktuell lägesbild och ger djupare information om specifika händelser, det kan ske med stöd av inbjudna talare från andra myndigheter än de som deltar i nätverket. 12 Ett praktiskt exempel på informationsdelning är MSB:s utskick av månadsrapporter. Myndigheten skickar ut månadsrapporter med sammanfattande information om it-incidentrapportering till 175 myndigheter och till deltagarna i de privat-offentliga nätverk som MSB administrerar. Tillgången till nätverken förenklar arbetet med att nå relevanta mottagare. Månadsrapporten innehåller information om de it-incidenter som har haft mycket stor eller stor konsekvens 11 Detta scenario utspelade sig i Maj 2016 då flera av varandra oberoende händelser utspelades inom en kort tidsram; sabotage av Häglaredsmasten, avbrott i förmåga att administrera flygtrafik i svenskt luftrum samt problem med SJs biljettsystem. MSB kunde vid dessa specifika fall snabbt kontakta de nätverk i vilka de aktuella tjänsteleverantörerna ingick och på så sätt få en korrekt lägesbild som MSB i egenskap av myndighet kunde förmedla till allmänheten. För mer info om denna händelse se: [ [ [ 12 Inom FIDI-nätverken sker informationsdelning dels via en öppen del där andra parter inbjuds att delta som gäster och dels genom en sluten del som enbart är för medlemmar.

19 samhällsskydd och beredskap Uppdragsredovisning 19 (41) för samhällsviktig verksamhet, enligt myndigheternas egna bedömningar 13. Informationen syftar till att öka kännedomen om vilken typ av incidenter som inträffar och därigenom ge kunskap som kan användas för vidtagande av åtgärder samt för att förebygga och förhindra att vissa incidenter inträffar eller återupprepas. Informationsdelning i nätverken är också ett bra exempel på kapacitetsbyggande inom ramen för krisberedskap och totalförsvarsarbetet. Att vid ett läge av kris och/eller höjd beredskap ha tillgång till etablerade informationskanaler till samhällsviktiga aktörer för frågor rörande informations- och cybersäkerhet kan få stor betydelse för arbetet. Det ingår därför i arbetet med att planera för kriser och höjd beredskap att arbeta för att de strukturer som behöver vara på plats i händelse av kris eller inför och vid höjd beredskap, är på plats och fungerar väl redan i normalläget. Med hänsyn till hanteringen av känslig information krävs även för uppgiften lämpliga tekniska system Bättre råd och stöd MSB arbetar målmedvetet och långsiktigt med utbildningsinsatser och andra aktiviteter för att höja medvetenheten i samhället för risker och för vidtagande av skyddsåtgärder. Även i detta arbete har etablerad privat-offentlig samverkan kunnat bidra på olika sätt, exempelvis med behovskartläggning, informationsspridning och i vissa fall bistånd i genomförande. Genom nätverkens försorg har utbildningsinsatser och konferenser genomförts för att medvetandegöra och utbilda om exempelvis id-kapningar och VD-bedrägerier samt om olika hot kopplade mot specifika sektorer. Ytterligare exempel på insatser från privat-offentliga nätverk är planerade informationsfilmer riktade mot skolungdomar i syfte att öka medvetenheten om bedrägerier on-line, bland annat genom så kallad social engineering. Utbildning, övning och vägledningar kopplade till operativa skeenden har också genomförts med fokus på cybersäkerhet och kontinuitetshantering, krishantering och kommunikation. Genom samverkan i nätverken har flera olika riskanalyser, vägledningar och handböcker tagits fram, se avsnitt Även det omfattande metodstöd för systematiskt informationssäkerhetsarbete, som MSB nu lanserat en ny uppdaterad version av, har tagits fram i samverkan med privata aktörer. 13 Månadsrapporterna som delas med privata aktörer och andra myndigheter genomgår en sekretessbedömning och maskas så att ingen känslig information gällande it-incidenter sprids till obehöriga.

20 samhällsskydd och beredskap Uppdragsredovisning 20 (41) 3. Behov av fortsatt utveckling av privat-offentlig samverkan på informations- och cybersäkerhetsområdet MSB bedriver som redovisat privat-offentlig samverkan inom en rad olika områden och med olika syften. I det arbete som syftar till att ta fram stöd och vägledningar, genomföra övningar och bedriva utbildningar bedrivs den privat-offentliga samverkan i många fall på ett projektliknande sätt. När målet för projektet är uppnått, exempelvis framtagning av ett utbildningskoncept, avvecklas i huvudsak den upprättade samverkan mellan de berörda privata och offentliga aktörerna. Även om det finns utvecklingsbehov även avseende den här typen av mer kortvarig och projektlik privat-offentlig samverkan bedömer dock MSB att de största utvecklingsbehoven är kopplade till den långsiktiga samverkan på informations- och cybersäkerhetsområdet. Det vill säga den samverkan som bedrivs i mer strukturerad nätverksform mellan privata- och offentliga aktörer inom området. Väletablerade nätverk för privat-offentlig samverkan på informations-och cybersäkerhetsområdet har även visat sig kunna bidra med värdefulla underlag och initiativ till mer projektlik privat-offentliga samverkan. Med anledning av detta väljer MSB att i redogörelsen för utvecklingsbehov i detta kapitel främst fokusera på behov kopplade till etablering och utveckling av nätverk för privat-offentlig samverkan. Sammantaget visar inventeringen av existerande nätverk, samt förutsättningarna för dessa nätverk, att de nätverk som idag är etablerade genom MSB:s arbete med att stödja och samordna samhällets informationssäkerhet har gett effekt vad gäller att stärka samhällets robusthet och motståndskraft mot it-incidenter och it-relaterade kriser. De nya krav som samhällsutvecklingen ställer på informationssäkerhetsarbetet, bland annat med anledning av den snabba digitaliseringen, ny rättslig reglering på området och den fragmenterade ägaroch ansvarsbilden rörande kritisk infrastruktur och samhällsviktig verksamhet, gör dock att vikten och behovet av välfungerande, samordnad och heltäckande privat-offentlig samverkan på informations- och cybersäkerhetsområdet ökar ytterligare. Enligt MSB:s uppfattning finns det både ett behov av att bygga upp privat-offentlig samverkan i nya sektorer och ett behov av att ytterligare arbeta med samordning sinsemellan nätverken. Dessutom bör det klargöras hur informationshantering behöver utvecklas för att svara mot nätverkens behov av att utbyta känslig information. MSB ser bland annat ett behov av att ytterligare utveckla tekniskt stöd för informationsutbyte.

21 samhällsskydd och beredskap Uppdragsredovisning 21 (41) 3.1 Prioriterade sektorer och områden Enligt myndighetens uppfattning bör de sju prioriterade områdena som identifieras i den Nationella risk- och förmågebedömningen 2017, samt de sektorer som pekas ut i NIS-direktivet utgöra huvudsaklig grund för vilka branscher och sektorer som prioriteras avseende privat-offentlig samverkan inom informations- och cybersäkerhetsområdet. Idag finns etablerad privat-offentlig samverkan avseende informations- och cybersäkerhetsfrågor inom vissa, men inte alla, NIS sektorer och prioriterade områden. MSB bedömer att det är särskilt prioriterat att utreda behovet av att bygga upp privat-offentlig samverkan inom informations- och cybersäkerhetsområdet i de sektorer och områden där sådan etablerad samverkan idag saknas. Det gäller bland annat sektorerna transport, skydd och säkerhet samt livsmedelsförsörjning inklusive dricksvatten. Även andra sektorer och områden kan behöva utredas. MSB gör kontinuerligt sådana behovsbedömningar avseende privat-offentlig samverkan på informations- och cybersäkerhetsområdet. Myndigheten omhändertar även, där så är praktiskt möjligt, önskemål från privata aktörer att etablera nya nätverk för privat-offentlig samverkan på området. Arbetet med idag etablerade nätverk på informations- och cybersäkerhetsområdet har genomgående hög prioritering i myndighetens verksamhet. MSB har i arbetet med den Nationella risk- och förmågebedömningen identifierat sju prioriterade områden där arbetet med samhällets krisberedskap och planeringen inför höjd beredskap behöver utvecklas och stärkas. Detta arbete inkluderar även informations- och cybersäkerhetsfrågor. De sju prioriterade områdena är; energiförsörjning, livsmedel, transporter, hälso- och sjukvård samt omsorg, finansiella tjänster, information och kommunikation, samt skydd och säkerhet. I NIS-direktivet som implementeras i svensk rätt 2018 ställs särskilda krav på informationssäkerhet i sju utpekade sektorer; energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvårdssektorn, leverans och distribution av dricksvatten och digital infrastruktur samt därutöver även digitala tjänster. Privat-offentlig samverkan på informations- och cybersäkerhetsområdet utgör ett stöd för arbetet med samhällets krisberedskap såväl som arbetet med NIS-direktivet. De sju prioriterade områdena och NIS sektorerna bör enligt myndighetens uppfattning därför utgöra grund för vilka branscher och sektorer som prioriteras avseende privat-offentlig samverkan inom informations- och cybersäkerhetsområdet. De sju prio %20och%20f%c3%b6rm%c3%a5gebed%c3%b6mning%202017%20(sammanfattning).pdf se även

22 samhällsskydd och beredskap Uppdragsredovisning 22 (41) riterade områdena och NIS sektorerna är delvis överlappande. Idag finns etablerad privat-offentlig samverkan avseende informations- och cybersäkerhetsfrågor inom vissa, men inte alla, ovan nämnda sektorer och områden. Etableringen av ett nätverk för privat-offentlig samverkan på informations- och cybersäkerhetsområdet förutsätter som nämnts både tid och resurser samt engagemang hos deltagande aktörer. Engagemang och i förlängningen resultat kan endast uppnås om syftet med nätverket är etablerat och nyttan för deltagarna är tydlig. De nätverk för privat-offentlig samverkan som finns idag inom informations- och cybersäkerhetsområdet täcker olika områden. En del fokuserar i högre grad på vissa sakfrågor (exempelvis huvudsakligen industriella informations- och styrsystem i FIDI-SCADA) medan andra är sektorsspecifika (exempelvis finanssektorn i FIDI-Finans). Initiativet till att starta nätverk har över åren tagits både av offentliga och privata aktörer med ibland lite olika syften. Den stegvisa framväxten av nya nätverk på informations- och cybersäkerhetsområdet har visserligen ofta säkrat att nätverksarbetet prioriterats av deltagarna men även fått till resultat att de enklast etablerats inom områden där det redan funnits privata aktörer som sett fördelarna med en god privat-offentlig samverkan. Detta gäller särskilt inom de sektorer där initiativet till nätverket har kommit från privata aktörer. Med hänsyn till utvecklingen finns det enligt MSB:s bedömning idag ett behov av att utvidga antalet nätverk för privat-offentlig samverkan på informationsoch cybersäkerhetsområdet. Genom införandet av NIS direktivet 15 under 2018 kommer ytterligare sektorer vara i behov av att kunna samverka, få och dela information inom området. Vissa av de i NIS utpekade sektorerna har för närvarande inga specifika nätverk för privat-offentlig samverkan gällande informations- och cybersäkerhetsfrågor. Det är enligt MSB:s uppfattning prioriterat att utreda behovet av nätverk i dessa sektorer för att kunna säkerställa stöd för en enhetlig hantering av både övergripande och sektorsgemensamma informationssäkerhetsfrågor. Det finns även behov av strukturerad privat-offentlig samverkan inom sektorer som inte omfattas av NIS-direktivet. Ett sådant exempel är leverantörer av vårdutrustning/medicin. Detta är samhällsviktig verksamhet som i dagsläget inte har, eller deltar i, något formaliserat privat-offentligt nätverk för att dela information inom informations- och cybersäkerhetsområdet. Detsamma gäller den centrala processindustrin med många gemensamma informationssäkerhetsfrågor. Ytterligare sektorer som diskuterats är bilindustrin där utvecklingen mot bland annat självkörande fordon innebär stora utmaningar och möjligheter för sektorn. Ett informationsutbyte mellan huvudaktörer och staten inom sektorn skulle kunna ge viktiga bidrag till informationssäkerhetsarbetet och skapa synergier. 15 Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.