Strategi för ett säkrare Internet i Sverige

Transkript

1 DATUM RAPPORTNUMMER 4 juli 2006 PTS-ER-2006:12 ISSN DIARIENR Strategi för ett säkrare Internet i Sverige

2

3 Förord Post- och telestyrelsen, PTS, har av regeringen fått i uppdrag att lämna förslag på en strategi för ett säkrare Internet i Sverige. Föreliggande rapport är PTS förslag. Internet är idag ett verktyg och ett forum för de flesta av oss, såväl i arbetslivet som i vardagen. Utmärkande för en sådan vardagsinfrastruktur som Internet blivit kan vara att vi tar den och dess funktion för given. Först när det blir problem märks den. Man kan göra en jämförelse med våra vägar vi tänker knappt på att de finns så länge de är hela och leder oss dit vi ska. Men finns det hål i vägbanan, eller när de är avstängda och vi tvingas välja en annan väg reagerar vi. Internet är en mer osynlig infrastruktur, där vi oftast inte ens ser den fysiska delen av infrastrukturen. Den logiska delen av Internet, som till exempel ett fungerande domännamnssystem, är ännu mer abstrakt för oss som Internetanvändare. Men lika viktigt som att kontinuerligt underhålla våra vägar och andra samhällsviktiga infrastrukturer är att skaffa en beredskap för att hantera eventuella hål i Internets infrastruktur, såväl den fysiska som den logiska. Det är dessa frågor rapporten Strategi för ett säkrare Internet i Sverige tar sikte på. Säkerhetsfrågor kring Internet är ett komplext område. Det visar rapporten tydligt. De omfattar inte bara frågor om sårbarhet och skydd för de komplexa fysiska och logiska nivåerna i infrastrukturen, utan väcker också frågor om vilket ansvar staten, operatörerna och Internetanvändarna har. Strategin pekar på vikten av att adressera dessa frågor nu, för att det förslag till vision som uttrycks i rapporten ska bli verklighet att Internet om tio år är säkert, snabbt och har hög tillgänglighet för alla i Sverige. Rapporten har utarbetats av följande medarbetare på PTS: Helena Bäckström, Frida Nilsson (projektadministratör), Kajsa Ritzén Frisell, Lars Hedensjö, Christoffer Karsberg (projektledare), Anders Rafting, Björn Scharin (stf projektledare), Roland Svahn och Eric Wedin. Stockholm i juli 2006 Katarina Kämpe Stf generaldirektör Post- och telestyrelsen

4

5 Innehåll Sammanfattning PTS har av regeringen fått i uppdrag att lämna förslag på en strategi för ett säkrare Internet i Sverige Det formella uppdraget från regeringen Syftet med strategin är att underlätta och tydliggöra det fortsatta arbetet med att säkra Internets infrastruktur Strategins omfattning och avgränsning Definition av Internet och Internets infrastruktur Metod för att utarbeta strategin Läsanvisningar strategins struktur Förutsättningar och nuvarande läge Riksdag och regering har länge fört fram IT-frågor där Internet och säkerhet behandlas som en del i IT-politiken Det offentliga åtagandet Det privata åtagandet Internationellt arbete för säkerhet i Internets infrastruktur Regelverk med betydelse för Internets infrastruktur Vision och mål för ett säkrare Internet i Sverige Visionen är att Internet om tio år är säkert, snabbt och har hög tillgänglighet Målet är att säkra kritiska funktioner i Internets infrastruktur Trender och hotbilder som påverkar Internets infrastruktur Beroendet av Internet ökar i samhället Samhället blir allt mer sårbart för IT-angrepp Upptäckter av sårbarheter i protokoll och program ökar Lagar, lagföring och policy hinner inte med teknikutvecklingen och globaliseringen Nät, terminaler och tjänster konvergerar allt mer Bristande säkerhet i användarnas miljö utgör en allt högre risk Kompetensgapet ökar i takt med ökad komplexitet Utvecklingen på marknaden innebär en ökad internationalisering Mer trådlösa nät och tjänster Strategiska ställningstaganden för ökad säkerhet i Internets infrastruktur Skydda Internets fysiska infrastruktur Skydda Internets logiska infrastruktur Öka motståndskraften mot störningar i domännamnssystemet Öka motståndskraften mot störningar i trafikutbytet mellan Internetoperatörer Informera användare och beställare för ökat säkerhetsmedvetande Öka ansvarstagandet för användares säkerhet Främja den nationella kunskapsutvecklingen Fördjupa det svenska deltagandet i internationellt arbete Utveckla krishanteringen avseende Internets infrastruktur Handlingsplan för genomförande av de strategiska ställningstagandena Åtgärder för att skydda Internets fysiska och logiska infrastruktur Ta fram rekommendationer till tillhandahållare av innehållstjänster för ökad tillgänglighet Främja användningen av DNSSEC i namnservrar Ta fram rekommendationer om säkrare trafikutbyte mellan Internetoperatörer...37 Post- och telestyrelsen 5

6 Bilagor 6.2 Åtgärder för information till användare Informera om sårbarheter Utveckla råd för beställning av Internettjänster Samordna och intensifiera informationsinsatser till användare Utbilda blivande lärare i Internetsäkerhet Vidareutveckla PTS webbplats för Internetsäkerhet Åtgärder för ett ökat ansvarstagande för användarnas säkerhet Arbete med specificerade krav på god funktion och teknisk säkerhet Följa upp Internetoperatörernas funktionsförmåga Ge Internetoperatörerna laglig möjlighet att förhindra spridning av skadlig trafik Utreda krav på ökat ansvar för tillhandahållare av programvaror och utrustning Åtgärder för att främja kunskapsutveckling Informera aktörer om de finansieringskällor som finns Arbeta för att medel avsätts inom ramen för EU:s forskningsprogram avseende Internets infrastruktur Åtgärder för att fördjupa det svenska deltagandet i internationellt arbete Öka svensk samordning och deltagande i internationella fora Tydliggöra svensk ansvarsfördelning i samband med internationella kontakter om säkerhet i Internets infrastruktur Vidareutveckla operativt internationellt nätverk för incidenthantering Fortsatt aktivt deltagande i översyn av EU-direktiv Öka deltagandet i standardiseringsarbete Åtgärder för att förbättra förmågan till krishantering Öka erfarenhetsutbytet, följa upp och dra lärdomar av större störningar Ta fram en koordinerande kontinuitetsplan för Internets infrastruktur i Sverige Utreda alternativa kommunikationsformer för driftsansvariga under kriser Utreda alternativa informationskanaler från Sitic till användare om Internets status i samband med störningar på Internet Plan för förvaltning av strategin Syfte med förvaltningsplanen Beslutsfattare, periodicitet och verkställighet Återrapportering...45 Litteratur...47 Bilagor Bilaga 1 - Förkortningar och begrepp...51 Bilaga 2 - Organisationer som är relevanta för Internets säkerhet...55 Bilaga 3 - Operatörernas ansvar för säkerheten i sina tjänster...65 Bilaga 4 - CIIP-Directory, nationella svenska kontaktpunkter Post- och telestyrelsen

7 Sammanfattning Post- och telestyrelsen, PTS, har av regeringen fått i uppdrag att lämna förslag på en strategi för ett säkrare Internet i Sverige. Syftet med strategin är att underlätta och tydliggöra det fortsatta arbetet med att säkra Internets infrastruktur. Strategin är inriktad mot de delar av infrastrukturen som är unika för Internet. Utgångspunkten för säkerhet i Internets infrastruktur är tillhandahållarnas ansvar för nät och tjänster utifrån marknadens krav. Det offentliga åtagandet bygger på att det finns krav som marknaden inte kan tillgodose. PTS är sektorsmyndighet för elektroniska kommunikationer vilket även inbegriper Internet. PTS förslag till vision är att Internet om tio år är säkert, snabbt och har hög tillgänglighet för alla i Sverige. Målet för en strategi för ett säkrare Internet i Sverige är att säkra kritiska funktioner i Internets infrastruktur som om de inte upprätthålls ger omfattande störningar eller avbrott och på så sätt försvårar eller förhindrar användning av Internet för stora grupper av enskilda användare eller för samhällsviktiga företag, myndigheter och organisationer. Trender och hotbilder: Beroendet av Internet ökar i samhället Samhället blir alltmer sårbart för IT-angrepp Upptäckter av sårbarheter i protokoll och program ökar Lagar, lagföring och policy hinner inte med utvecklingen och globaliseringen Nät, terminaler och tjänster konvergerar allt mer Bristande säkerhet i användarnas miljö utgör en allt högre risk Kompetensgapet ökar i takt med ökad komplexitet Utvecklingen på marknaden innebär en ökad internationalisering Mer trådlösa nät och tjänster Strategiska ställningstaganden: Internets fysiska infrastruktur bör skyddas mot olyckor, störningar, avlyssning och manipulation av information under överföring. Motståndskraften mot störningar i domännamnssystemet bör ökas. Motståndskraften mot störningar i trafikutbyte mellan Internetoperatörer bör ökas Användare och beställare bör utbildas och informeras för ökat säkerhetsmedvetande. Ansvarstagandet för användares säkerhet bör öka hos Internetoperatörer samt tillhandahållare av programvaror och utrustning. Den nationella kunskapsutvecklingen avseende Internets infrastruktur bör främjas. Det bör ske i ett bredare sammanhang rörande informationssäkerhet. Helhetssynen och samordningen av forskningen bör utvecklas. Post- och telestyrelsen 7

8 Det svenska deltagandet i internationella fora bör fördjupas. Detta bör ske i samverkan mellan privat och offentlig sektor. Krishanteringen avseende Internets infrastruktur bör utvecklas. Handlingsplanen består av ett antal åtgärder inom ramen för de strategiska ställningstagandena, med ansvarsfördelning, angelägenhetsgrad, tidsperiod och kostnadsuppskattning för respektive åtgärd. Förvaltningsplanen ställer upp de administrativa reglerna kring hur de strategiska ställningstagandena och handlingsplanen ska skötas. Exempelvis innehåller förvaltningsplanen riktlinjer om hur ofta handlingsplanen ska uppdateras och vem som har ansvaret för detta. 8 Post- och telestyrelsen

9 1 PTS har av regeringen fått i uppdrag att lämna förslag på en strategi för ett säkrare Internet i Sverige PTS har av regeringen fått i uppdrag att lämna ett förslag på en strategi för ett säkrare Internet i Sverige. Syftet med strategin är att underlätta och tydliggöra det fortsatta arbetet med att säkra Internets infrastruktur. Strategin är inriktad mot de delar av infrastrukturen som är unika för Internet samt information, ansvarsförhållanden, kunskapsutveckling, internationellt arbete och krishantering. Strategin har utarbetats med utgångspunkt från inriktningen i IT-propositionen, tidigare utredningar, trendanalysövningar, litteraturstudier och kontakter med tongivande personer inom området. Rapporten beskriver förutsättningar för strategin, nuvarande läge, förslag på vision och mål, trender och hotbilder, strategiska ställningstaganden, åtgärder inklusive bl.a. ansvarsfördelning samt förvaltning av strategin. 1.1 Det formella uppdraget från regeringen Post- och telestyrelsen, PTS, har i regleringsbrev för budgetåret fått följande uppdrag av regeringen: PTS skall lämna förslag på en strategi för ett säkrare Internet i Sverige enligt inriktningen i regeringens proposition Från IT-politik för samhället till politik för IT-samhället (prop. 2004/05:175). Förslaget skall även innehålla förslag på en handlingsplan, ansvarsfördelning och förvaltning av strategin. Förslaget skall redovisas till regeringen (Näringsdepartementet) senast den 31 juli Syftet med strategin är att underlätta och tydliggöra det fortsatta arbetet med att säkra Internets infrastruktur Syftet med en strategi för ett säkrare Internet i Sverige är att underlätta och tydliggöra det fortsatta arbetet med att säkra Internet infrastruktur. Regeringen konstaterar 2 att Internets uppbyggnad i grunden är robust och har stora möjligheter att kunna fungera även under svåra förhållanden och vid störningar i telekommunikationerna. Även om Internet i grunden är ett robust system för elektronisk kommunikation går det inte att en gång för alla lösa de 1 Regleringsbrev för budgetåret 2006 avseende Post- och telestyrelsen m.m. inom utgiftsområde 22 Kommunikationer och utgiftsområde 6 Försvar samt beredskap mot sårbarhet (rskr. 2005/06:81 och 2005/06:82) 2 I propositionen Från IT-politik för samhället till politik för IT-samhället, prop. 2004/05:175 Post- och telestyrelsen 9

10 säkerhetsproblem som finns på Internet. Därför är det angeläget att ha ett långsiktigt arbete för att följa, främja och, där det är lämpligt, påverka säkerhetsarbetet. 1.3 Strategins omfattning och avgränsning Ett förslag till strategi har tagits fram som beskriver ett långsiktigt övergripande tillvägagångssätt för ett säkrare Internet i Sverige. Strategins inriktning följer regeringens proposition Från IT-politik för samhället till politik för IT-samhället (prop. 2004/05:175). Det innebär bl.a. att strategin inriktas på fysisk och logisk infrastruktur. Strategin är inriktad mot de delar i infrastrukturen som ligger ovanför den så kallade transmissionsnivån, se figur 1, samt de delar av infrastrukturen som är unika för Internet, t.ex. knutpunkter för Internettrafik och servrar i domännamnsystemet. Figur 1: Nivåerna i IT-infrastrukturen 3 PTS strategi Robusta elektroniska kommunikationer behandlar infrastrukturen för elektronisk kommunikation i stort. 4 Eftersom Internet även nyttjar infrastrukturen i de underliggande nivåerna, t.ex. mobilmaster och stamnät för transmission, får arbetet inom ramen för strategin för robusta elektroniska kommunikationer, som görs på dessa nivåer, även effekter på den svenska delen av Internet. Strategin för robusta elektroniska kommunikationer behandlar även 3 Den IT-politiska strategigruppens arbetsgrupp för IT-infrastruktur och bredband, bilder över ITinfrastrukturen 4 Robusta elektroniska kommunikationer strategi för åren , Post- och telestyrelsen, 2006 (PTS-ER-2006:19) 10 Post- och telestyrelsen

11 vikten av robust tid, bl.a. för frekvens i kommunikationsnät, spårbarhet samt realtidstjänster som IP-baserad telefoni och IP-TV. Enligt inriktningen i IT-propositionen omfattar denna strategi även information, kunskapsutveckling och internationellt arbete. Med information avses här att informera användarna så att dessa inte utsätter sig för onödiga risker och skyddar sin miljö för att inte utgöra ett hot mot Internets infrastruktur. Strategin omfattar däremot inte åtgärder som användare måste vidta för att säkra information som skickas över Internet genom t.ex. kryptering, säker identifiering eller åtgärder mot störande verksamhet som inte direkt utgör hot mot Internets infrastruktur. I samband med framtagandet av strategin har PTS funnit ett behov av ytterligare två angelägna områden utöver de som anges IT-propositionen, ansvaret för slutanvändarens säkerhet (se avsnitt 5.4) och krishantering (se avsnitt 5.7). Dessa områden har bedömts vara av strategisk betydelse för att nå målet för strategin (se avsnitt 3.2). I Sverige innebär att själva strategin avgränsas till att omfatta nationen. Regeringen har anfört att det innebär att skapa underlag för och vidta de åtgärder som är möjliga i Sverige. Strategin ska dock inriktas på att beakta internationellt arbete. Internet i Sverige är också beroende av flera funktioner som ligger utomlands. Sammantaget kan begreppet i Sverige sägas vara en begränsning till vad svenska aktörer har för möjlighet att agera och påverka området med beaktande av internationella förhållanden. 1.4 Definition av Internet och Internets infrastruktur Internet är ett globalt världsomspännande logiskt nät som bildats genom att ett stort antal nät som ägs och förvaltas av olika privata och statliga aktörer, fysiskt och logiskt länkats samman. Lägre nivåer i nätinfrastrukturens hierarki, t.ex. fiber, koppar, radio och transmission och som används för Internettrafik, utnyttjas i de flesta fall även för trafik för andra tillämpningar, exempelvis fast och mobil telefoni, virtuella privata nät samt diverse IP-baserade kvalitativa tjänster. På grund av att nät och nätutrustning, som används för Internet på detta sätt, delas med andra tjänster, som har garanterad tillgänglighet och kvalitet enligt avtal, är resurserna för överföring av Internettrafik från ändpunkt till ändpunkt varierande och oförutsägbara. Alla datorer, som är kopplade till Internet, har möjlighet att kommunicera med alla andra datorer på Internet genom att samtliga använder IETF-standarden Internet Protocol (IP) för förmedling av trafiken. IP-tekniken innebär att trafiken, som förmedlas, delas upp i datapaket. Paketens väg genom nätet (routing) hanteras av speciell utrustning, s.k. routrar, och baseras på ett antal olika kriterier. För trafiken inom en operatörs nät görs routingbeslut (vägvalsbeslut) på grundval av tekniska parametrar, som avstånd, fördröjning och kapacitet. Trafik som utbyts mellan operatörernas nät, vilket sker i publika eller privata knutpunkter, styrs däremot av beslut baserade på operatörens policy. En policy för trafikutbyte med annan operatör kan innehålla preferenser för en viss väg, på grundval av affärsavtal, typ av trafik, lastfördelning m.m. Extern routing dvs. trafikutbyte mellan operatörer sker i s.k. gränsroutrar eller border gateways som finns i Post- och telestyrelsen 11

12 utkanten av näten och görs enligt en global standard från IETF, Border Gateway Protocol (BGP). En mycket viktig funktion i Internets infrastruktur är domännamnssystemet (DNS). Alla datorer på Internet identifieras med hjälp av en unik IP-adress vilken används för att förmedla datapaketen på Internet till rätt dator. En IP-adress uttrycks för läsbarhetens skull som grupper av tal åtskiljda av punkter. För att inte behöva komma ihåg krångliga sifferkombinationer, översätts dessa av DNS till en mer användarvänlig form, t.ex. Dessa s.k. domännamn är lätta att skriva och memorera när vi t.ex. önskar koppla upp oss mot webbsidor eller vill sända elektronisk post. 1.5 Metod för att utarbeta strategin Utgångspunkten för utarbetandet av denna strategi är IT-propositionen samt PTS tidigare utredningar 5 på området och de kunskaper som byggts upp i samband med dessa uppdrag. PTS har även beaktat propositionen om Samverkan vid kris - för ett säkrare samhälle. PTS har kompletterat underlaget med en studie av relevant litteratur på området. Under ett inledningsskede genomfördes ett trendanalysarbete, tillsammans med framtidsanalysföretaget Kairos Future, för att identifiera trender och hot mot Internets infrastruktur. Ett informellt samråd med ett antal tongivande personer på området har skett avseende vision, mål, trender och strategiska ställningstaganden. 1.6 Läsanvisningar strategins struktur Den föreslagna strategin i föreliggande rapport består av i huvudsak två delar; strategiska ställningstaganden (kap. 5) samt handlingsplan (kap. 6) Dessa två delar binds ihop av en förvaltningsplan (kap. 7), ett administrativt dokument, som bl.a. reglerar hur strategin praktiskt ska förvaltas. Kapitel 2 beskriver vilka utredningar som föregår denna rapport, hur det offentliga och privata åtagandet är fördelat, det internationella arbetet och hur det nuvarande regelverket ser ut på området. I kapitel 3 beskrivs PTS förslag till vision för Internet och mål för Internets infrastruktur ur ett säkerhetsperspektiv. Kapitel 4 behandlar de trender och hotbilder mot Internets infrastruktur som PTS kan urskilja. I kapitel 5 presenteras de strategiska ställningstagandena, dvs. hur PTS menar att Sverige bör arbeta på längre sikt för att säkra Internets infrastruktur. 5 Är Internet i Sverige robust (PTS-ER-2003:1), Den internationella förvaltningen av Internet (PTS-ER-2003:23), Säkra toppdomäner (PTS-ER-2004:19), Strategi för att säkra Internets infrastruktur (PTS-ER-2005:7) 12 Post- och telestyrelsen

13 Kapitel 6 presenterar PTS förslag till handlingsplan, som består av ett antal åtgärder inom ramen för de strategiska ställningstagandena. Kapitlet inleds med en sammanställning av åtgärderna med ansvarsfördelning, angelägenhetsgrad, tidsperiod och kostnadsuppskattning för respektive åtgärd. Handlingsplanen har en kortare livscykel än de strategiska ställningstagandena och uppdateras således med kortare intervall. Kapitel 7 innehåller förvaltningsplanen, som ställer upp de administrativa reglerna kring hur de strategiska ställningstagandena och handlingsplanen ska skötas. Exempelvis innehåller förvaltningsplanen riktlinjer om hur ofta handlingsplanen ska uppdateras och vem som har ansvaret för detta. Bilaga 1 innehåller förklaringar till förkortningar och begrepp. Bilaga 2 beskriver de internationella och svenska organisationer som är relevanta för arbetet med ett säkrare Internet. I bilaga 3 finns en diskussion kring operatörernas ansvar för säkerheten i sina tjänster. Bilaga 4 innehåller PTS förslag till uppdaterad kontaktlista för CIIP-directory 6. 6 CIIP-directory är en globalt erkänd kontaktlista till olika säkerhetsfunktioner i respektive land som förvaltas av Storbritanniens myndighet som är ansvarig för nätsäkerhet, NISCC National Infrastructure Security Co-ordination Centre Post- och telestyrelsen 13

14 2 Förutsättningar och nuvarande läge Riksdag och regering har länge behandlat Internet och säkerhet i IT-politiken. I den sk. IT-propositionen från 2004 föreslås målet för politiken för informationssamhället vara ett hållbart samhälle för alla. Delmål tre av tre omfattar tillgänglighet och säkerhet och är vägledande för denna rapport. Internets framgång beror i hög grad på privata organisationers insatser för utveckling av funktioner för Internet. Utgångspunkten för säkerhet i Internets infrastruktur är tillhandahållarnas ansvar för nät och tjänster utifrån marknadens krav. Det offentliga åtagandet bygger på att det finns marknadsimperfektioner, som marknaden inte kan tillgodose. PTS har som sektormyndighet ansvar för elektroniska kommunikationer inklusive Internets infrastruktur i Sverige. 2.1 Riksdag och regering har länge fört fram IT-frågor där Internet och säkerhet behandlas som en del i IT-politiken IT berör alla sektorer i samhället och kärnan i politiken för informationssamhället är de frågor som har en mer generell och gränsöverskridande betydelse. Vad som idag kallas politik för informationssamhället kallades i början av talet ofta datapolitik. I prop. 1984/85:220, Om datapolitik, behandlades datatekniken i arbetslivet, den tekniska utvecklingen, utbildning och personlig integritet. I prop. 1995/96:125, Åtgärder för att bredda och utveckla användningen av informationsteknik, var huvudinriktningen utbildning, rättsordning och samhällets informationsförsörjning. I arbetet med föregångaren till den nu gällande IT-propositionen, prop. 1999/2000:86, Ett informationssamhälle för alla, formulerade regeringen det IT-politiska målet att Sverige som första land skulle bli ett informationssamhälle för alla. Tillit, tillgänglighet och kompetens att använda IT skulle prioriteras. En utvärdering av den IT-politik som förts under åren efter propositionen Ett informationssamhälle för alla har genomförts av bland annat Ekonomistyrningsverket, ESV. Den visar, när det gäller IT-infrastrukturen, att Sverige har kommit långt i arbetet med en väl fungerande IT-infrastruktur som täcker hela landet. Den visar också att de statliga insatserna har bidragit till en god grund för företagande i glesbygd såväl som i andra regioner. I regeringens proposition Från IT-politik för samhället till politik för ITsamhället, prop. 2004/05:175, föreslås målet för politiken för informationssamhället vara ett hållbart informationssamhälle för alla. Riksdagen beslutade om propositionen den 25 januari Prioriterade uppgifter, eller delmål, är kvalitet, hållbar tillväxt och tillgänglighet och säkerhet. Delmålet kvalitet innebär att IT ska bidra till förbättrad livskvalitet och till att förbättra och förenkla vardagen för människor och företag. Delmålet hållbar tillväxt innebär att IT ska 14 Post- och telestyrelsen

15 användas för att främja hållbar tillväxt. Delmålet tillgänglighet och säkerhet innebär att en effektiv och säker fysisk IT-infrastruktur med hög överföringskapacitet ska finnas tillgänglig i alla delar av landet, bl.a. för att ge människor tillgång till interaktiva offentliga e-tjänster. Vidare ges i propositionen exempel på insatser som vidtagits från statens sida. Bland annat skapas förutsättningar för elektronisk kommunikation mellan myndigheter och medborgare, brottslighet och oseriös verksamhet bekämpas, insatser för att höja informationssäkerheten (t.ex. RAKEL) och för informationsförsörjning görs och dessutom främjas bredbandsutbyggnaden. När det gäller exempelvis RAKEL, som är ett radiokommunikationsnät för bl.a. polis, räddningstjänst och ambulans, har det betydelse för informationssäkerheten då det skapar förutsättningar för alternativa kommunikationsvägar. I propositionen Samverkan vid kris för ett säkrare samhälle, prop. 2005/06:133, redovisas regeringens strategi för samhällets säkerhet. Strategin syftar till att bilda ett ramverk för samhällets samlade arbete med att stärka säkerheten. Regeringen redogör bland annat för hur strukturen för krishantering bör förstärkas genom att en myndighet föreslås få det tvärsektoriella krisledande ansvaret. I propositionen beskrivs vidare regeringens syn på en utvecklad strategi på informationssäkerhetsområdet och ett nationellt program för säkerhetsforskning. Den så kallade Infosäkutredningens olika delbetänkanden har härvid beaktats. PTS har tidigare genomfört utredningar avseende säkerheten i Internets infrastruktur. Utredningen Är Internet i Sverige robust testade hur väl Internet fungerar oberoende av funktioner utomlands. I samband med utredningen genomfördes praktiska försök avseende för Sverige viktiga delar av DNS och en nationell knutpunkt för Internettrafik. Utredningen Den internationella förvaltningen av Internet beskriver hur förvaltningen av de viktigaste gemensamma resurserna går till. Utredningen Säkra toppdomäner innehåller en kartläggning av funktioner i driften och administrationen som är viktiga för en god säkerhet i DNS. Strategi för att säkra Internets infrastruktur låg till grund för mycket av inriktningen i IT-propositionen avseende säkerheten i Internets infrastruktur. Utöver dessa utredningar som PTS har genomfört på uppdrag av regeringen har PTS testat att som namnserveroperatör använda DNSSEC samt genomfört en förstudie med simuleringar av sårbarheter i trafikutbytet på Internet. Sveriges IT-incidentcentrum vid PTS, Sitic, bevakar och publicerar kontinuerligt information om sårbarheter i protokoll och program som är viktiga för Internets infrastruktur och dess användare. Sitic har även implementerat ett distribuerat intrångsdetekteringssystem som publicerar aktuell information om angreppsförsök direkt på Sitics hemsida. Utifrån tillgänglig information reagerar Sitic på incidenter, t.ex. publiceras information om förebyggande åtgärder. Utöver det har Sitic implementerat ett distribuerat system, "Hur mår Internet?", för att mäta problem på förbindelserna mellan de store svenska Internetoperatörerna. Dessa resultat publiceras på Sitics hemsida. För att ytterligare förbättra den operativa verksamheten har de internationella kontakterna breddats och fördjupats, vilket möjliggör effektivare ingripanden vid incidenter. Post- och telestyrelsen 15

16 2.2 Det offentliga åtagandet De generella motiv som har uppställts för offentliga åtaganden inom olika områden har i regel sitt ursprung i ekonomiska teorier om statens roll i samhällsekonomin. De ekonomiska motiven för offentliga åtaganden bygger till stor del på utgångspunkten att det finns ett antal marknadsimperfektioner som måste korrigeras genom insatser av offentliga aktörer. Det rör sig om behov som marknaden av olika skäl inte kan tillgodose. Försvar, polisväsende och räddningstjänst är typiska exempel på kollektiva nyttigheter. Utgångspunkten för det offentliga åtagandet är att den enskilde, både individer och företag, har ett grundläggande ansvar för att skydda liv och egendom och att vidta förebyggande åtgärder. Det betyder att skadeverkningar kan minskas om vissa grundläggande säkerhetsåtgärder redan tidigare vidtagits av den verksamhetsansvarige. Det innebär i sin tur att det är viktigt att stimulera alla aktörer i samhället att vidta de säkerhetsåtgärder som är möjliga och att utöva tillsyn över efterlevnaden av gällande bestämmelser på området. Krishantering på samhällsnivå har i grunden samma karaktär som verksamheterna ovan och behandlas mer ingående i både Säkerhet i en ny tid, SOU 2001:41 s. 76 och delvis i prop. 2005/06:133. Där sägs bland annat att det offentliga engagemanget i första hand bör gälla den typ av krissituationer i vilka endast statliga organ eller berörda kommuner kan ta ett övergripande ansvar för att leda, samordna och prioritera de åtgärder som behöver vidtas för att möta krisen. Av detta följer dock inte att offentliga organ bör ta på sig ett generellt finansieringsansvar för alla de åtgärder som kan krävas för att möta denna typ av krissituation. Statens åtagande när det gäller Internets infrastruktur bygger på det nu gällande övergripande IT-politiska målet att Sverige ska vara ett hållbart informationssamhälle för alla. Till grund för det ligger en politik för informationssamhället och det sker genom statligt ansvar för viss infrastruktur, för samordning av offentliga resurser och tjänster, för lagstiftning samt genom stöd till utveckling och nytänkande. Utgångspunkten när det gäller säkerheten i Internets infrastruktur är att det är tjänstetillhandahållaren (operatören) som sköter de elektroniska kommunikationerna som har ansvar för sina nät och tjänsternas kvalitet. Detta sker utifrån de krav marknaden ställer, se avsnitt 2.3. Det delmål som i första hand är vägledande för denna rapport är tillänglighet och säkerhet (i prop. 2004/05:175), framförallt vad avser målen för IT-infrastrukturen. Vad som förs fram som viktigt i propositionen är att möjliggöra ny teknik genom att så långt som möjligt upprätthålla teknikneutralitet, att främja konkurrens mellan nät av olika slag samt att sträva efter att göra befintlig infrastruktur tillgänglig för alla (vilket också varit en förutsättning för statens stöd för utbyggnaden av bredbandsnäten). Även öppenhet och interoperabilitet för att åtkomsten av tjänster inte ska hindras av tekniska eller affärsmässiga in- och utlåsningar nämns som viktigt. Dessutom framhålls informationssäkerheten, bland 16 Post- och telestyrelsen

17 annat Internets funktionssäkerhet, som en viktig samhällsfråga och därmed att Internet organiseras och förvaltas på ett fungerande och tillförlitligt sätt och att säkerheten på nätet följs noga. PTS är sektorsmyndighet för elektroniska kommunikationer vilket även inbegriper Internet. PTS vision är att alla i Sverige ska få tillgång till effektiva, prisvärda och säkra kommunikationer. PTS har ett tillsynsansvar i enlighet med lagen (2003:389) om elektronisk kommunikation (EkomL). Utgångspunkten för PTS arbete med kvalitet och säkerhet i elektroniska kommunikationer är att främja konkurrensen på marknaden, upphandling av säkerhetshöjande åtgärder, samverkan mellan stat och näringsliv samt reglering och tillsyn. PTS kan genom EkomL ställa krav på Internetoperatörerna att deras verksamhet uppfyller rimliga krav på god funktion och teknisk säkerhet. PTS kan också verka för att möjliggöra för konsumenterna att få information om tjänsternas kvalitet. Arbetet syftar till att underlätta för användare att göra rationella val. En lag om nationella toppdomäner för Sverige på Internet trädde i kraft den 1 juli Syftet med lagen är att tillförsäkra staten en möjlighet att säkerställa en effektiv och säker administration av toppdomänen för Sverige genom insyn och tillsyn. PTS är tillsynsmyndighet enligt lagen. Hanteringen av risker kopplade till Internets funktionalitet ligger utanför Sveriges kontroll i högre utsträckning än vad som är fallet för andra infrastrukturer. Det finns heller inget enskilt land eller organisation som är ansvarig för Internets säkerhet, vilket ställer krav på en internationell samverkan. Ett statligt inflytande gör inte ofrånkomligt Internet mer tillförlitligt, men det kan klargöra vilket ansvar som vilar på den som administrerar en toppdomän och kan skapa en laglig grund för att vid behov kunna vidta åtgärder på området. PTS upphandlar enligt ovan säkerhetshöjande åtgärder och har nyligen publicerat sin strategi för robusta elektroniska kommunikationer (PTS-ER- 2006:19). För övrigt genomförs aktiviteter för att förvalta de frågor som framhålls som viktigt i IT-propositionen inom olika politikområden. Vid Justitiedepartementet pågår en översyn av regelverket kring brott som äger rum i IT-miljö eller med IThjälpmedel. Krisberedskapsmyndigheten, KBM, ansvarar för uppbyggnaden av RAKEL. 2.3 Det privata åtagandet Den privata sektorns stora del i arbetet med Internets utveckling, förvaltning och säkerhet har historiska orsaker. Visserligen var det den amerikanska militären som under 1960 och 1970-talet inledde utvecklingen av nätverk för datatrafik och då i första hand som en intern forskningsangelägenhet, men så småningom tog civila amerikanska myndigheter på sig ansvaret att stödja denna forskning. Operatörer som tidigare enbart ägnat sig åt att erbjuda fast telefoni och hyrda förbindelser, har genom Internet fått kraftigt ökade affärsmöjligheter och idag finns tiotusentals Internetoperatörer världen över. Post- och telestyrelsen 17

18 Internets framgång beror i hög grad på privata organisationers insatser för utveckling och standardisering av funktioner för Internet. Förvaltningen av och säkerställandet av Internets kritiska immateriella resurser som IP-adresser och domännamn överlämnades 1998 av USA:s regering till den privaträttsliga organisationen ICANN. Genom organisationen IANA, som på uppdrag av ICANN har hand om de operativa delarna av verksamheten, delas block av IPadresser ut till fem regionala Internet-registratorer s.k. Regional Internet Registries (RIR) som är privata organisationer finansierade genom medlemsavgifter från RIR:ens kunder dvs. operatörer och större företag. De block av IP-adresser som varje RIR får sig tilldelat, fördelas vidare till Local Internet Registries (LIR) som vanligen utgörs av Internetoperatörer. Dessa LIR tilldelar i sin tur adresser till användare och återförsäljare av Internet-kommunikation. RIR är aktiva inom många områden när det gäller implementering av ny teknik och strävar efter goda relationer med industrin. En betydande del av RIR:ens verksamhet upptas av att sprida kunskap om hur trafikutbyte mellan Internetoperatörer ska ske på ett robust och säkert sätt. Detta görs bland annat genom att arrangera regelbundna konferenser och kurser. En stor del av ansvaret för säkerheten i nätinfrastrukturen ligger hos Internetoperatörerna som, inom ramen för vad som är kommersiellt möjligt på en konkurrensutsatt marknad, vidtar åtgärder för att skydda sina respektive delar av infrastrukturen mot störande eller förstörande incidenter. Konkurrensen är en drivkraft för att operatörerna ska upprätthålla god beredskap för att åtgärda störningar och fel som uppstår. Sedan telemarknaden avreglerades 1992 har Sverige fått en marknad med konkurrens, där säkerhet är en konkurrensfaktor tillsammans med pris och kvalitet. Det är därmed den enskilda operatören som tar ansvar, i avtalet gentemot slutanvändaren, för god funktion och teknisk säkerhet samt uthållighet och tillgänglighet i sina nät. Rättigheter och skyldigheter inklusive funktion och säkerhet regleras i första hand i det avtal som tecknas mellan slutanvändaren och operatören. Även slutanvändarna har ett ansvar för säkerheten i sin miljö och sitt beteende på Internet och det är uppenbart att ett av de stora hoten mot Internets infrastruktur är säkerhetsbrister i slutanvändarnas utrustning och dess förmåga att motstå attacker och intrång samt bristande säkerhetsmedvetande hos användarna. Genom svag säkerhet i slutanvändarnas utrustning, kan dessa utnyttjas som plattformar i samordnade attacker mot godtycklig funktion i infrastrukturen, t.ex. DNS eller en tjänsteserver för telefoni. Leverantörer av nätutrustning har på senare tid gjort ökade ansträngningar för att införa säkerhetsmekanismer, liksom de dominerande leverantörerna av programvara för slutanvändarnas utrustning. En mycket viktig roll i samhället har de olika privata organisationer, som arbetar med forskning, utveckling och standardisering, när det gäller säkerhet och som är relaterad till Internet och dess infrastruktur. Andra organisationer fungerar som diskussionsforum och kunskapsspridare, t.ex. genom att arrangera kurser och seminarier. En stor insats görs här när det gäller att utbyta och sprida information om säkerhetshöjande metoder och verktyg till såväl producenter som konsumenter av Internets tjänster. 18 Post- och telestyrelsen

19 För en utförligare beskrivning av de organisationer som har en viktig roll i arbetet med säkerheten för Internets infrastruktur, se bilaga Internationellt arbete för säkerhet i Internets infrastruktur Internets funktion ligger i högre utsträckning utanför Sveriges kontroll än vad som är fallet för andra infrastrukturer och ansvaret är fördelat på många olika aktörer såväl nationellt som internationellt. USA:s regering har av tradition haft en betydande roll i organisationen och förvaltningen av Internet. Under senare delen av 90-talet har förvaltningen börjat flyttas över från USA:s regering till ICANN. Kopplat till ICANN finns ett antal rådgivande kommittéer där näringsliv och allmänheten kan delta. Sverige är aktivt i den mellanstatliga rådgivande kommittén Governmental Advisory Committee (GAC). Kommitténs uppgift är att bistå ICANN med råd i frågor som rör statsangelägenheter, särskilt där ICANN:s policy kan komma i beröring med nationella lagar eller internationella fördrag eller överenskommelser. På världsnivå pågår ett samarbete om IT-politiska åtgärder och ställningstaganden som en uppföljning av FN-toppmötet the World Summit on the Information Society (WSIS) 7. Det övergripande målet är att överbrygga den digitala klyftan och den enskilt största frågan gäller Internets förvaltning och då framförallt hanteringen av vissa av Internets kritiska resurser, DNS och IP-nummer. Ur ett säkerhetsperspektiv är hanteringen av dessa delar kritisk och Sverige arbetar aktivt för att rådande ordning inte ska äventyras men på längre sikt internationaliseras. Arbetet sker inom ramen för flera olika internationella organisationer och samordning sker vanligtvis genom EU. Ur WSIS-arbetet föddes Internet Governance Forum (IGF), i vilket alla intressenter inom Internets förvaltning har möjlighet att diskutera bl.a. globala säkerhetsrelaterade frågor. Sverige är också aktivt inom ramen för det arbete som OECD bedriver när det gäller att ta fram rapporter med uppföljning och analys av utvecklingen inom bl.a. IT-området. Flera svenskar deltar i det internationella standardiseringsarbetet. Arbete sker främst inom den privata sektorn genom Internet Engineering Task Force (IETF). Under år 2004 etablerades den Europeiska byrån för nät- och informationssäkerhet (ENISA) som arbetar med nätsäkerhets och informationssäkerhetsfrågor inom EU. ENISA arbetar bl.a. inom följande områden: Riskanalys och riskhantering Följa standardiseringen Uppmuntra och initiera samarbete mellan incidenthanteringsfunktioner 8 7 FN-toppmöte om informationssamhället som genomförts i två etapper. Det första hölls år 2003 i Genève och det andra år 2005 i Tunis. Nu pågår implementering och uppföljning av åtgärder med betydelse för bl.a. Internets infrastruktur. 8 På engelska: Computer Emergency Response Team (CERT) Post- och telestyrelsen 19

20 Ta fram och uppmuntra användningen av rekommendationer 9 Medvetandehöjande åtgärder Inom EU har en kommunikationskommitté, COCOM, och en europeisk grupp av regleringsmyndigheter, ERG, inrättats för att regelverket om elektronisk kommunikation ska fungera som det är avsett. Avsikten är bl.a. att uppmuntra samarbete och samordning mellan länderna och EU-kommissionen. EUkommissionen har även en rådgivande högnivågrupp, High Level Group on Internet Governance (HLIG), med en representant från varje medlemsstat som förbereder EU-ståndpunkter gällande aktuella frågor kring Internets globala förvaltning. I artikel 23 i direktivet om samhällsomfattande tjänster 10 uppställs krav på att det fasta telefoninätet är tillgängligt i händelse av nätsammanbrott av katastrofkaraktär. Det finns också i enlighet med ramdirektivet 11 möjlighet för medlemsstaterna att vidta ytterligare åtgärder för att skydda allmän ordning och säkerhet. Mot bakgrund av att den svenska regleringen bland annat ska tolkas mot bestämmelsen i tillämpliga direktiv kan det vara av intresse att studera hur ett urval av andra medlemsländer valt att implementera EU:s bestämmelser. En sådan komparativ studie 12 visar att de flesta medlemsstater har implementerat artikel 23 om nätets integritet samt bestämmelser som relaterar till god funktion och teknisk säkerhet i någon form. Främst Finland har en mer omfattande teknisk reglering i form av krav avseende bland annat underhåll, prestanda och elförsörjning. Ytterligare andra ställer krav på att risk- och sårbarhetsanalys ska genomföras av berörda operatörer. I vissa fall återfinns krav på att operatörer ska informera användare om tjänsternas kvalitet. i Det europeiska informationssamhället för tillväxt och sysselsättning är det initiativ som ersätter den tidigare strategiska inriktningen eeuropa Initiativet är det första för att genomdriva den förnyade Lissabonstrategin. Säkerhet är en viktig del av i2010 initiativet. Inom ramen för i2010 har EUkommissionen tagit fram ett meddelande 14 om en europeisk strategi för ett säkert informationssamhälle, där tanken är att uppdatera meddelandet från år 2001 om Nät och Informationssäkerhet. För att möta säkerhetshoten mot informationssamhället i Europa finns tre inriktningar, specifika säkerhetsåtgärder, 9 På engelska: Best Practice 10 Europaparlamentets och rådets direktiv 2002/22/EG av den 7 mars 2002 om samhällsomfattande tjänster och användares rättigheter avseende elektroniska kommunikationsnät och kommunikationstjänster 11 Europaparlamentets och rådets direktiv 2002/21/EG om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster 12 Utredning och länderinformation rörande driftavbrott och krav på god teknisk funktion och säkerhet m.m. 13 KOM(2005) 229 slutlig, meddelande från kommissionen till rådet, europaparlamentet, europeiska ekonomiska och sociala kommittén samt regionkommittén i2010 Det europeiska informationssamhället för tillväxt och sysselsättning 14 COM(2006) 251 Communication from the Commission to the Council, The European Parliament, The European Economic and Social Committee and the Committee of the regions A Strategy for a Secure Information Society Dialogue, partnership and Empowerment 20 Post- och telestyrelsen

21 regleringen av elektroniska kommunikationer och att bekämpa IT-brottslighet. Det kommande meddelandet, strategin, innebär en samlad ansats där alla dessa tre inriktningar används. När det gäller nationella strategier är det få länder som tagit fram en motsvarande strategi som föreliggande förslag till strategi. Det finns dock ett antal länder som arbetat fram säkerhetsstrategier som bl.a. omfattar Internetområdet, t.ex. Nederländerna 15, Kanada 16, Norge 17 och USA 18. Det finns även länder som har arbetat med frågorna i samband med sina e-förvaltningsstrategier, exempelvis Nya Zeeland 19. Den Nya Zeeländska strategin är framtagen som en riskanalys där olika hot analyserats och vilket genomslag det kan få bl.a. riktat mot infrastrukturen och tilliten till Internet. I den amerikanska strategin lyfter man fram fem prioriterade områden, nationell incidenthantering, nationell riskhantering, medvetandehöjande åtgärder, säkerhet i offentlig förvaltning samt nationell och internationell samverkan. I strategin omnämns i samband med Internets infrastruktur bl.a. behovet av säkerhet i BGP och DNS. 2.5 Regelverk med betydelse för Internets infrastruktur Av 1 kap. 1 EkomL framgår att lagens mål bland annat är att enskilda och myndigheter ska få tillgång till säkra och effektiva elektroniska kommunikationer. Med säkra kommunikationer avses att kommunikationerna ska vara driftsäkra. Det finns en möjlighet för tillsynsmyndigheten att med stöd av 1 kap. 8 EkomL meddela föreskrifter för den fredstida planeringen av totalförsvarets behov av elektroniska kommunikationer. Denna föreskriftsrätt gäller enbart totalförsvarets behov av fredstida planering för krigssituationer, inte någon allmän planering av stabila och hållbara infrastrukturlösningar, även om detta naturligtvis kan generera synergieffekter för den fredstida planeringen. Enligt 1 kap. 9 EkomL får tillsynsmyndigheten förpliktiga den som tillhandahåller elektroniska kommunikationsnät eller elektroniska kommunikationstjänster av särskild betydelse från allmän synpunkt att på visst sätt beakta totalförsvarets behov av elektronisk kommunikation under höjd beredskap. Denna skyldighet gäller därmed endast nät och tjänster av särskild betydelse och kräver ett beslut från tillsynsmyndigheten. Eftersom skyldigheten ska beakta totalförsvarets behov torde mer allmänna åtgärder för att förbättra infrastrukturen eller stabiliteten bland ett flertal nät eller tjänster vara svåra att genomföra med 15 A safer Internet for all, KWINT (Kwetsbaarheid op Internet) an initiative of Ministry of economic affairs (NL), Government of Canada Position Paper on a National Strategy for Critical Infrastructure Protection 17 Nasjonal strategi for informasjonssikkerhet utfordringer, prioriteringer og tiltak, Forsvarsdepartementet, Närings- og handelsdepartementet och Justis- og politidepartementet (Norge), The national strategy to secure cyberspace, Department of Homeland Security (USA), Trust and Security on the Internet Keeping the Internet safe for e-government in New Zealand, November 2004 Post- och telestyrelsen 21

22 stöd av bestämmelsen. Dessa skyldigheter uppstår först när beslut eller föreskrift meddelats. Samhällets ökade användning och beroende av elektroniska kommunikationer minskar toleransen för avbrott och störningar. Av i 5 kap. 6 a EkomL framgår att det ställs grundläggande krav på god funktion och teknisk säkerhet och på uthållighet och tillgänglighet vid extraordinära händelser i fredstid rörande alla typer av elektronisk kommunikation. Bestämmelsen behandlar en grundläggande nivå av driftsäkerhet, ett visst minimum av garanterad säkerhet och omfattar alla tillhandahållare av ett allmänt tillgängligt kommunikationsnät eller en allmänt tillgänglig kommunikationstjänst. Detta för att användarna bör kunna lita på att kommunikationerna fungerar på en grundläggande nivå. Den ökande användningen av Internet för kritiska samhällsfunktioner gör det allt viktigare att det adresseringssystem, domännamnssystemet, som används för att översätta domännamn till IP-adresser, är robust. Den 1 juli 2006 trädde lag (2006:24) om nationella toppdomäner för Sverige på Internet i kraft. Lagen ger tillsynsmyndigheten möjlighet till insyn och tillsyn över den administratör som råder över den svenska nationella toppdomänen.se. Tillsynen omfattar olika områden, bl.a. att verksamheten sköts på ett säkert och effektivt sätt samt att överföring av, för verksamheten grundläggande, databaser sker till tillsynsmyndigheten. Lagen innefattar inte möjlighet för tillsynsmyndigheten att byta ut administratören över den svenska nationella toppdomänen men möjlighet till föreläggande att vid vite efterfölja myndighetens tillsynsbeslut. 22 Post- och telestyrelsen

23 3 Vision och mål för ett säkrare Internet i Sverige PTS förslag till vision är att Internet om tio år är säkert, snabbt och har hög tillgänglighet för alla i Sverige. Målet för en strategi för ett säkrare Internet i Sverige är att säkra kritiska funktioner i Internets infrastruktur som om de inte upprätthålls ger omfattande störningar eller avbrott och på så sätt försvårar eller förhindrar användning av Internet för stora grupper av enskilda användare eller för samhällsviktiga företag, myndigheter och organisationer. 3.1 Visionen är att Internet om tio år är säkert, snabbt och har hög tillgänglighet PTS förslag till vision är att Internet om tio år är säkert, snabbt och har hög tillgänglighet för alla i Sverige. Internet bidrar till att främja demokratin, en hållbar ekonomisk tillväxt, en ökad konkurrens och konsumenternas ställning på marknaden i Sverige. Ett säkert, snabbt och tillgängligt Internet förenklar vardagen och förbättrar livskvaliteten för medborgarna. Viktiga vardagsbestyr som tidigare krävde mycket tid av medborgaren kan nu effektivt göras över Internet; kommunikation med myndigheter, ekonomiska transaktioner, globala sociala och ekonomiska kontakter och köp av varor och tjänster. Internet används som bärare för en lång rad tjänster som telefoni, webb, radio och tv. Individen känner förtroende för att de Internetbaserade tjänsterna och att juridiska, ekonomiska och sociala interaktioner fungerar säkert och snabbt. Säkerhet är en självklar egenskap som förpackas i kommunikationsnät, programvaror och utrustning vilket gör användarens miljö och kommunikation säker. 3.2 Målet är att säkra kritiska funktioner i Internets infrastruktur Målet för en strategi för ett säkrare Internet i Sverige är att säkra kritiska funktioner i Internets infrastruktur som om de inte upprätthålls ger omfattande störningar eller avbrott och på så sätt försvårar eller förhindrar användning av Internet för stora grupper av enskilda användare eller för samhällsviktiga företag, myndigheter och organisationer. Post- och telestyrelsen 23