SÄKERHETSHANDBOKEN STADSNÄTEN OCH FÖRENINGENS NÄTSÄKERHETSARBETE. Jimmy Persson Chef Utveckling & Säkerhet

Transkript

1 SÄKERHETSHANDBOKEN STADSNÄTEN OCH FÖRENINGENS NÄTSÄKERHETSARBETE Jimmy Persson Chef Utveckling & Säkerhet Seminariepass: 8

2 SÄKERHETSHANDBOKENS INNEHÅLL 1. Inledning 2. Grunder 3. Hot, hotbild, hotbeskrivning 4. Lagar och förordningar 5. Riskanalys 6. Säkerhetsorganisation 7. Säkerhetsskyddsarbete a) Säkerhetsanalys enligt säkerhetsskyddslagen b) Sveriges säkerhet c) Personal och anläggningar 8. Informationssäkerhet 9. IT-säkerhet 10. Driftsäkerhet 11. Samverkan a) SiSG och NTSG b) Säkerhetsskyddsråd 12. Referenser och hänvisningar

3 3. HOT, HOTBILDER HOTBESKRIVNINGAR

4 Omvärlden!

5 Relation och magnitud mellan olika säkerhetsområden Informationssäkerhet Fysisk säkerhet (Driftsäkerhet) IT-säkerhet Säkerhetsskydd

6 4. LAGAR OCH FÖRORDNINGAR

7 Samhället ställer nya krav! Sveriges nationella säkerhetsstrategi Ny nationell informationsoch cybersäkerhetsstrategi Grundläggande säkerhet för IoT

8 Samhället ställer nya krav! Föreskrifter totalförsvar NULÄGE 1995:1 PTS föreskrifter om fredstida planering för totalförsvarets behov av telekommunikation m.m. (gamla telelagen ) Inventering av behovsbild inkl. rättsliga bedömning (mandat mm) Dialog med aktörer 2019 PTS nya föreskrifter Totalförsvar klara

9 Samhället ställer nya krav 2018:585 Översyn av säkerhetsskyddslagen (1996:627) - SOU 2015:25 Informationssäkerhet Administrativ informationssäkerhet: Till de administrativa informationssäkerhetsåtgärderna hör åtgärder som tar sikte på rutiner, arbetsflöden och arbetsledning. It-säkerhet: It-säkerheten innefattar såväl rutiner och handhavanden i och kring informations-system som tekniska krav på säkerhetsfunktioner i systemen och dess komponenter. Kommunikationssäkerhet: Kommunikationssäkerhet syftar i huvudsak till att förhindra eller försvåra avlyssning eller obehörig påverkan av information i kommunikationssystem. Säkerhetsskyddslag

10 Samhället ställer nya krav! - IoT November 2017 Grundläggande säkerhet för IoT

11 Lagkraven lag, förordning, föreskrift Lagen om elektronisk kommunikation (2003:389) kravställer att det finns ett strukturerat och kontinuerligt informationssäkerhetsarbete för en aktör som handhar allmänt kommunikationsnät. Det finns en Lag, förordning samt föreskrifter där det står beskrivet de krav som ställs på en nätägare gällande informationssäkerhet. Lag (2003:389) om elektronisk kommunikation: 5 kap. 6 b samt 6 kap. 3

12 Lagkraven lag, förordning, föreskrift Förordning (2003:396) om elektronisk kommunikation: 34 a, 34 b samt 37 PTSFS 2014:1 PTS föreskrifter om allmänna råd om skyddsåtgärder för behandlade uppgifter: 3

13 7. SÄKERHETS- SKYDDSARBETE

14 Säkerhetsskydd & sekretess Skydd mot brott som kan hota Sveriges säkerhet Skydd av hemliga uppgifter som rör rikets säkerhet Skydd mot terrorism och sabotage Säkerhetsklassning av personal och anläggningar Säkerhetsklassad NOC Säkerhetsklassade upphandling för kritisk infrastruktur Beredskap för att möta civilt försvar Säkerhetsklassificering av dokument och handlingar Sekretesshantering av information

15 Öppna källor

16 1 april 2019 ny Säkerhetsskyddslag Säkerhetsskyddslag (2018:585): Säkerhetsskyddsförordning (2018:658):

17 Säkerhetsskyddslag (2018:585) Grundläggande förståelse Skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Skyldigheter för den som bedriver säkerhetskänslig verksamhet Säkerhetsskyddsanalys (Utreda behovet av säkerhetsskydd samt dokumentera det) Säkerhetskänslig verksamhet SÄKERHETSSKYDD Verksamhet som är av betydelse för Sveriges Säkerhet eller omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Säkerhetsskyddsklassificerade uppgifter Uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighetsoch sekretesslagen (2009:400) eller som skulle ha omfattas av sekretess enligt lagen, om den hade varit tillämplig. Informationssäkerhet Fysisk säkerhet Personalsäkerhet 1) Förebygga att säkerhetsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs 2) Förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet. 1) Förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs. 2) Förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i 1 1) Förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig. 2) Säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd. Säkerhetsskyddsavtal Planera och vidta de säkerhets- Skyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsklassificerade uppgifter och övriga omständigheter. Kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs. Så långt det är möjligt ska säkerhetsskyddsåtgärderna utformas så att de inte medför någon skada eller annan olägenhet för andra allmänna eller enskilda intressen. Säkerhetsskyddsklassificering Uppgifter ska delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Motsvarande om de omfattas av ett internationellt åtagande om de inte redan har klassificerats. Utifrån skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till skadan. Skyddslagen (2010:305) (Inte en rak koppling men kan påverka) Åtgärder till förstärkt skydd för byggnader, andra anläggningar, områden och andra objekt mot sabotage, terroristbrott, spioneri samt röjande i andra fall av hemliga uppgifter som rör totalförsvaret och grovt rån. Kvalificerat hemlig vid en synnerligen allvarlig skada Hemlig vid en allvarlig skada Konfidentiell vid en inte obetydlig skada Begränsad hemlig vid endast ringa skada Säkerhetsprövning Säkerhetsklass 1 Säkerhetsklass 2 Säkerhetsklass 3 1) I en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller 2) till följd av sitt deltagande i verksamheten har möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet. 1) I en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen hemlig, 2) I ringa omfattning får ta del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller 3) till följd av sitt deltagande i verksamhet har möjlighet att orsaka allvarlig skada för Sveriges säkerhet. 1) Får del av uppgifter i säkerhetsskyddsklassen konfidentiell, 2) I ringa omfattning får ta del av uppgifter i säkerhetsskyddsklassen hemlig, eller 3) till följd av sitt deltagande i verksamhet har möjlighet att orsaka allvarlig skada för Sveriges säkerhet. 1) Det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsklassen konfidentiell eller högre, eller 2) Upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

18 Sveriges säkerhet Går det att definiera? Eller är det en subjektiv tolkning? Har betydelse för Sveriges säkerhet enligt ny säkerhetsskyddsreglering Yttre säkerhet Inre säkerhet Hantering av säkerhetsskyddsklassificerade uppgifter Hantering av stora mängder information som inte är säkerhetsklassificerad, men som av andra skäl kan betraktas som säkerhetskänslig Territoriell suveränitet Nationellt försvarsförmåga Försvarsmakten - Kunna försvara Sverige - Främja Svensk säkerhet - Upptäcka och avvisa kränkningar av det svenska territoriet - Värna om Sveriges suveräna rättigheter och nationella intressen. Politisk självständighet (Sveriges oberoende och handlingsfrihet) T.ex. inom Försvarsindustrin och verksamheter som bedriver: - Forskning - Utveckling - Produktion av försvarsmateriel Sveriges statsidé avseende funktion, handlingsfrihet och oberoende Sveriges demokratiska statsskick Särskilt kritiska - Anläggningar - Funktioner -Informationssystem Säkerhetspolisen upprätthålla förmågan att förebygga och avvärja brott enligt framför allt spionerilagstiftningen 19 kap. brottsbalken Rättsväsende och brottsbekämpande förmåga Sveriges ekonomi och betalningsförmåga Samhällsviktig verksamhet finns ofta inom sektorerna: - Energiförsörjning och särskilt elförsörjning - Elektroniska kommunikationer - Livsmedelsförsörjning - Vattenförsörjning - Transporter - Finansiella tjänster Driftleverantörer som levererar tjänster (gäller för alla perspektiv) Om en antagonistisk handling (spioneri, sabotage eller terroristbrott) medför skadekonsekvenser på nationell nivå. T.ex störningar i eller bortfall av: - Leveranser - Tjänster - Funktioner Skadegenererande verksamhet t. ex. - Kärnteknisk verksamhet - Dammar - Mikrobiologiska labb Om en antagonistisk handling (spioneri, sabotage eller terroristbrott) medför skadekonsekvenser på nationell nivå. t.ex - Många människor förväntas dö eller skadas - kan få allvarlig påverkan på annan samhällsviktig verksamhet ur ett nationellt perspektiv. T.ex. inom Försvarsindustrin och verksamheter som bedriver: - Forskning - Utveckling - Produktion av försvarsmateriel Torde kräva en kritisk massa av uppgifter. Avgöras från fall till fall baserat på: - Typ av uppgift - Typ av verksamhet - Konsekvens av röjande

19 8. INFORMATIONS- SÄKERHET

20 Informationssäkehet Om medarbetare förvarar och hanterar känslig information i osäkra mobiltelefoner eller datorer Om de hanterar känslig information på privata mailkonton eller i inte godkända molntjänster som inte har tillräckligt starkt skydd Om lösenord hanteras ovarsamt och till exempel användare luras att avslöja dem för obehöriga i telefon eller har skrivit upp dem på osäkra ställen. Access till register och system utan att veta vem (loggar) Social engineering Påverka medarbetare att lämna ut information med eller utan vetskap om detta.

21 Gemensamt Informationssäkerhet Vid samarbeten där information delas mellan varandra manuellt men särskilt i system så är det vikitgt att vara överens om vad som ska delas och hur informationen får sprida. Några saker är: skriva under en sekretessförbindelse Acceptera gemensamma informationsdelningsregler acceptera villkor för hantering av bearbetad information Varje organisation har en utpekad ansvarig för säkerhet Exempel på Informationsnivåer All information inom samarbetet hanterar klassificeras in i tre informationsnivåer. Grön, Gul eller Röd. GRÖN Informationen får, efter godkännande i samarbetet, spridas till andra relevanta företag och organisationer som arbetar för att stärka samhällets säkerhet men får inte publiceras eller göras allmänt tillgänglig. GUL Informationen får spridas men bara till medlemmar i forumet, samt till de personer inom den egna organisationen (anställda, konsulter eller entreprenörer som arbetar i organisationen) som är beroende av informationen för att kunna agera. Varje medlemsorganisation ansvarar själva för att informationen hanteras korrekt inom den egna organisationen och av eventuella underleverantörer. RÖD Informationen får inte spridas och begränsas enbart till de individer som är närvarande vid mötet. Representanter får inte sprida informationen utanför SiSG. (Efter tillåtelse från sittande möte kan informationen i undantagsfall få delges till en inte närvarande fast medlem av samarbetet)

22 9. IT-SÄKERHET

23 IT-Säkerhet Nätets aktiva delar. En riskanalys kring skyddet för att utesluta ett för svagt skydd Kryptering och signering vid kommunikation med e-post och andra kanaler Kryptering på datorer, mobiler, USB-minnen och andra enheter Autentiseringen som inte är för svag Inloggning på aktiv utrustning ex, switch, routers sker med personlig inloggning Lösningar för att förhindra logiska hot Uppdaterade system och lösningar används. Ex. DNSSEC, IPv6

24 10. DRIFT- SÄKERHET i världsklass är en överlevnadsfråga

25 Fysisk säkerhet Felmonterad kanalisation

26 Fysisk säkerhet - osäkra brunnar

27 Fysisk säkerhet inte fullgjord installation

28 Fysisk säkerhet - broinstallation

29 Fysisk säkerhet felmonterad markskåp

30 11. SAMVERKAN

31 KRISHANTERING DET EGNA OCH TILLSAMMANS

32 Krishantering: SiSG-portalen Samtliga medlemmar i SiSG kan kalla in resterande till möte ifall något händer Akutell kontaktlista till samtliga SiSGmedlemmar OBS: Uppdatera vid behov er info! Kartan Lägesbild Händelselogg Händelseinfo, beslut, action och kommentarer Lägesrapport För att samla information om en pågående händelse Beskrivning Spridning Planerade/vidtagna åtgärder Behov av samverkan NTSG Nationella Telesamverkansgruppen Forum Alla kan skapa en diskussionstråd om ett ämne Dokument Är finns manualer, policys, presentationer m.m. Nyheter SSNf lägger upp infosäk från branschen Konferens Vårt sätt att mötas på Adobe connect

33 Kriskommunikation Hur krisen hanteras utåt speglar allmänhetens bild av organisationens förmåga att hantera kris. Ett väl utfört kommunikationsarbete vid händelse av kris avlastar övriga i organisationen. Kommunikation måste vara en naturlig del vid krisövning och krisförberedande aktiviteter. Dåligt genomfört kommunikationsarbete kan förvärra och förstora även en liten kris.

34 FÖRENINGENS SÄKERHETSSKYDDSRÅD ETABLERAS!

35 UTBILDNING OCH STÖD

36 Utbildning och stöd - UTBILDNINGAR - Säkerhethetsanalys - Säkerklassning av personal och anläggning - Säkerhethetsskyddschef - SiSG - Kriskommunikation - WEBINAR - Säkerhethandboken - SiSG - RAMAVTALSLEVERANTÖRER - Inom konsultation - Inom utbildning - Inom produkter - STADSNÄTSFÖRENINGENS KANSLI - Säkerhetsresurs för rådgivning - Presentationer - Material

37 SÄKERHETSHANDBOKENS INNEHÅLL 1. Inledning 2. Grunder 3. Hot, hotbild, hotbeskrivning 4. Lagar och förordningar 5. Riskanalys 6. Säkerhetsorganisation 7. Säkerhetsskyddsarbete a) Säkerhetsanalys enligt säkerhetsskyddslagen b) Sveriges säkerhet c) Personal och anläggningar 8. Informationssäkerhet 9. IT-säkerhet 10. Driftsäkerhet 11. Samverkan a) SiSG och NTSG b) Säkerhetsskyddsråd 12. Referenser och hänvisningar

38 Tack så mycket för mig. Frågor? Jimmy Persson Chef Utveckling & Säkerhet