En vägledning om säkerhetsskydd betraktat ur ett cyberperspektiv. av Christoffer Strömblad

Transkript

1 En vägledning om säkerhetsskydd betraktat ur ett cyberperspektiv av Christoffer Strömblad 1

2 Förord Det finns ämnen som är torra, och så finns det fnöskestorra. Säkerhetsskydd skulle kanske kunna placeras i det senare. Oaktat ämnestorrhet går det inte att säga samma sak om dess relevans i nutiden. Jag behöver inte upprepa allt som sagts om varför säkerhetsskydd är ett högaktuellt ämne men faktum kvarstår, vi behöver mer av det mer av allt. Mer kompetens på området, mer kunskapsspridning och erfarenhetsutbyten. Fler med förståelse för varför det är viktigt. Men kanske framförallt hur vi kan arbeta med frågorna praktiskt. Samtidigt som vi saknar allt det där för säkerhetsskydd gäller egentligen samma sak för cyberdomänen. Även här är efterfrågan långt över vad branschen kan tillföra. I digitaliseringens skugga döljer sig en av samhällets kanske största utmaningar som måste angripas på alla plan. Denna vägledning är mitt högst ödmjuka försök att bidra med lite kunskap och erfarenhet inom säkerhetsskydd och cybersäkerhet. Min förhoppning är att vägledningen kan bidra till att du får några verktyg att använda i ditt säkerhetsskyddsarbete. Observera att vägledningen saknar kapitel för att identifiera åtgärder och och ett kapitel hur allting sammanförs i en säkerhetskyddssplan. Vägledningen kommer uppdateras så fort dessa är färdigskrivna. Christoffer Strömblad Stockholm, Mars

3 Introduktion Säkerhetsskydd 2019 Ingen kan bli rik utan att berika andra. - Andrew Carnegie Den 1 april 2019 får Sverige en ny och uppdaterad säkerhetsskyddslagstiftning, SFS 2018:585 (lag) och SFS 2018:658 (förordning). Den nya lagstiftningen har utformats för att omhänderta omvärldsutvecklingen sedan 1996 då den föregående lagstiftningen blev gällande. Detta innebär bland annat ett avsevärt högre fokus på informationsteknologi, internationell samverkan, den ökade sårbarheten i samhällsviktiga funktioner och att säkerhetskänslig verksamhet i allt större omfattning bedrivs i enskild regi (fysiska och juridiska personer). För information och informationsteknologi ger lagstiftningen ett ökat fokus på tillgänglighets- och riktighetsaspekterna. Det handlar alltså inte längre om att endast skydda informationstillgångar ur ett konfidentialitetsperspektiv utan ur den mer traditionella modellen. Det handlar inte heller endast om informationstillgångar utan även IT-system (informationssystem) där funktionen IT-systemet tillhandahåller är viktigare än dess informationella innehåll. Och så antar Sverige fyra internationella klassificeringar av information. Detta och mycket annat finns med i den nya lagstiftningen. Om vägledningen Detta är en vägledning om säkerhetsskydd men med en viktig avgränsning: perspektivet är cyber. Varför denna avgränsning kanske du undrar? Främst är det en fråga om pragmatism och vad som är rimligt för en person att framställa i privat regi. Det här också en fråga om var min 3

4 erfarenhet finns. Även om vägledningens huvudspår är hur säkerhetsskydd förhåller sig till cyber finns det vissa områden som inte går att ignorera. Exempelvis måste jag diskutera hur ni avgör lagens tillämplighet. Det finns helt ennkelt vissa delar som är nödvändiga, oavsett om det handlar om cyber eller inte. Vägledningen har sitt ursprung i en serie av artiklar jag publicerat på C.O.R.S 1. För att bättre passa formatet har de genomgått en hel del omstrukturering för att bättre passa det aktuella formatet. Det är inom framförallt området cybersäkerhet och säkerhetsskydd jag anser att det är särskilt angeläget med vägledning. Det behövs diskussioner om termer och begrepp, användning av dessa och hur bedömningar kan göras avseende diverse konsekvenser och effekter. Min förhoppning är att jag genom den här vägledningen kan bidra till ett ökat kunnande om säkerhetsskydd och samtidigt ge dig förutsättningarna och verktygen att skapa en god grund att stå på. Vägledningens struktur I den första versionen var vägledningen uppdelad i två övergripande delar, en teoretisk och en praktisk. Detta kom jag dock fram till är en suboptimal och egentligen onödig uppdelning. Teori och praktik går hand-i-hand och kompletterar varandra. Den ena står inte utan den andra, och därför har jag i den här versionen valt att göra en ny struktur jag tror kommer att tilltala dig och andra läsare. Den här versionen är istället strukturerad efter principen att det ska finnas en röd tråd genom samtliga kapitel och avsnitt. Vi börjar med den mest väsentliga frågan, är lagen tillämplig för min verksamhet? Därefter följer vi det logiska flödet av utredningar och analyser som syftar till att besvara den frågan. Under resans gång kommer jag definiera begrepp som är centrala i lagstiftningen, men jag definierar begreppen när vi stöter på dem och där det känns befogat att spendera tid på detta. Den tidigare praktiska delen är således istället direkt inarbetad i vägledningen. Det blir genom detta också enklare för dig att snabbt navigera 1 4

5 till det kapitel och avsnitt som känns mest relevant och aktuellt. Det är min övertygelse att den här strukturen är att föredra över den föregående uppdelningen, jag hoppas att du delar min övertygelse efter att du läst vägledningen. Kapitelbeskrivning I kapitel 1 inleder vi med begreppsdiskussionen där vi lite djupare i några centrala begrepp som säkerhetsskyddsanalys, sårbarhetsanalys och hotbedömning. Därefter flyttar vi fokus till lagstiftningen (lag och förordning) samt föreskrifterna från Säkerhetspolisen (PMFS 2019:2). Vi gör även ett besök hos Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2015:2). I kapitel 2 handlar det om din verksamhet och verksamhetsanalysen. Detta är ett kapitel om ransakning, förståelse för vad din verksamhet gör, och hur den förhåller sig till sin omvärld. Vidare till kapitel 3 börjar vi fundera kring effekterna av att din verksamhet blir utsatt för antagonistiska aktiviteter, konsekvensanalysen står på menyn. Kapitel 4 av handlar Versioner och uppdateringar Version Stora förändringar i övergripande struktur. Inte längre en teoretisk eller praktisk del, allt är sammanflätat för en mer logisk följd av kapitelindelningen. Version En första version med allt vad det innebär. Senaste versionen Den mest uppdaterade versionen av vägledningen finns alltid på C.O.R.S 2. Och om du mot förmodan laddat ner vägledningen någon annanstans bör du först och främst gå dit för att säkerställa att du har den senaste versionen. Feedback och kontakt Jag har skrivit det förr och jag skriver det igen. Detta är ett arbete som gjorts i privat regi, på sena kvällar och tidiga mornar, med barn springades 2 5

6 runt benen, över benen och ibland på tangentbordet. Det kan helt enkelt ha introducerats ett eller annat fel i texten. Jag ursäktar det inte, men jag förvarnar er och tar tacksamt emot all form av feedback på innehållet i den här vägledningen. Om du saknar en förklaring, tycker något är otydligt eller skulle önska att något område fick lite mer kärlek är det bara att du kontaktar mig. Vägledningen kan bara bli bättre. Du får gärna kontakta mig per e-post på christoffer@cstromblad.com och lämna all form av feedback, positiv såväl som negativ. Följ mig gärna på Twitter, 3 Facebook 4 eller LinkedIn 5 så får du direkt information om när jag släppt en ny version av vägledningen

7 Kapitel 1 För vem gäller lagen? Slappna av, inget är under kontroll. - Okänd Vi börjar från toppen där säkerhetsskyddslagen (2018:585 6 ) i första paragrafen anger följande: 1 Denna lag gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet). Och direkt får vi några nya frågor att undersöka. Vad innebär det att bedriva verksamhet som är av betydelse för Sveriges säkerhet och vad innebär förpliktande internationella åtaganden? Bedriver vi säkerhetskänslig verksamhet? Hur vet vi det? Säkerhetskänslig verksamhet är ett centralt begrepp i lagstiftningen och omfattar alla former av verksamheter som är av betydelse för Sveriges säkerhet. Det finns även särskilt säkerhetskänslig verksamhet vilken behöver generera skadekonsekvenser enligt nivå 4 och nivå 5. Nivå-vad säger du? Kapitel 3 kommer förklara dessa nivåer närmre. Grundläggande om lagstiftningen Lagstiftningen som är aktuell för den här vägledningen är följande: Säkerhetsskyddslag (SFS 2018:585) Säkerhetsskyddsförordning (SFS 2018:658) 6 7

8 Sedan är givetvis Säkerhetspolisens föreskrifter (PMFS 2019:2) onekligen viktiga då dessa i än mer detalj beskriver hur lagstiftningen ska tillämpas. Likt föregående lagstiftning är det fortsättningsvis så att lagen i huvudsak är ämnad att skydda det mest skyddsvärda men vad som anses vara det mest skyddsvärda har förändrats och framförallt blivit mer omfattande. Bland annat har den informationsteknologiska utvecklingen gjort Sverige mer sårbart för elektroniska hot som riktas mot centrala och samhällsviktiga funktioner. Genom användandet av säkerhetskänslig verksamhet avser lagstiftningen skydda dessa verksamheter mot antagonistiska hot som spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. Det är framförallt genom sista punkten, andra brott, som lagstiftningen förändras där vi nu även ska skydda hantering av it-system eller sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle eller verksamheter som behöver skyddas på grund av att den kan utnyttjas för att skada nationen. Lagstiftningens tillämpningsområde breddas och omfattar i allt större utsträckning även delar av det civila samhället. Centrala begrepp i lagstiftningen Den nya lagstiftningen förändrar några tidigare centrala begrepp för att tydliggöra lagstiftningens huvudsakliga inriktning och syfte. Dels så ska vi använda Sveriges säkerhet istället för rikets säkerhet och dels används säkerhetskänslig verksamhet som ett samlingsbegrepp för 1) verksamheter som är av betydelse för Sveriges säkerhet och 2) överenskommelser Sverige har med andra stater och mellanfolkliga organisationer, internationella säkerhetsskyddsåtaganden. Vidare kommer vi nu också behöva använda begreppet säkerhetsskyddsklassificerade uppgifter istället för hemliga uppgifter och handlingar. Det är en onekligen fler konsonanter och vokaler i detta begrepp men ett i mitt tycke mycket välkommet begrepp som gör det otvetydigt vilka typer av uppgifter som avses. Säkerhetskänslig verksamhet används i den föregående lagstiftningen men 8

9 då mycket sparsamt. I den nya lagstiftningen får begreppet en central betydelse och är således av vikt att känna till. Sist, men absolut inte minst, är säkerhetsskyddsanalysen. Denna lyfts nu fram och in i lagen (2 kap 1 ) som central för att uppnå ett ändamålsenligt säkerhetsskydd. Tidigare kunde vi läsa om säkerhetsanalysen först i förordningen, men detta förändras alltså nu då den placeras i lagen. Informations- och it-säkerhet Inom ramen för den nya lagstiftningen är informationsteknologi något som lyfts fram som nytt avseende lagstiftningens tillämpningsområde. Detta tar sig uttryck som att vi kan läsa följande under 2 kap 2 andra punkten: 2. förebygga skadlig inverkan i övrigt på uppgifter och informations-system som gäller säkerhetskänslig verksamhet. Detta får långtgående konsekvenser för de analyser som ska ligga till grund för säkerhetsskyddet. Särskilt när det kombineras med informationssäkerhetsaspekterna tillgänglighet och riktighet (som även ska tillämpas på it-system). Det är således främst inom dessa nya och tillkommande områden som jag kommer fokusera den här vägledningen. Cyberperspektivet Cyberdomänen är i många avseenden helt unik i jämförelse med de övriga och mer traditionella, militära domänerna. I cyberdomänen är kunskap en otroligt starkt bidragande faktor till vem som "vinner". De "vapen" vi använder kan dels göras tillgängliga för i princip vem som helst och dels uppdateras av vem som helst med tillräcklig kunskap. That's it. Det krävs inte särskilt mycket mer. En dator och internetförbindelse, en IDE för utveckling och testmål finns det gott om på internet. Jämför detta med exempelvis krigföring på land och de vapen vi använder där. De är långt ifrån tillgängliga för alla och långt ifrån möjliga att uppdatera för de med endast kunskap. Särskilt begränsat blir det om vi talar om hot som kan komma att riktas mot Sveriges säkerhet. Eftersom det krävs mycket resurser (tid, pengar, know-how osv) för att realisera dessa typer av hot blir 9

10 också bedömningar och analyser avseende aktörer i dessa domäner enklare. Färre kan genomföra angreppen. I cyberdomänen kan nästan vem som helst utgöra en hotaktör. Ett hot kan komma att riktas mot Sveriges säkerhet av en enskild antagonist. Detta försvåras ytterligare av det globala nätverket av samverkande teknologier, system, sensorer och människor. Detta gör att den antagonistiska bedömningen och analysen måste angripas annorlunda. Jag säger detta för att tydliggöra svårigheterna med att peka ut specifika antagonister och deras förmågor. Detta är ett kusligt svårt område inom vilket få kan hävda någon slags övertygande expertis. Min erfarenhet säger mig att vi tjänar mer på att grundligt förstå på vilket sätt en given teknik, system, protokoll kan missbrukas och hur detta förhåller sig till vår säkerhetskänsliga verksamhet. Eftersom alla kan utgöra en antagonist är det min uppfattning och åsikt att vi behöver förändra vår syn på det antagonistiska hotet. Vi skulle troligen tjänas bättre av att karakterisera egenskaperna hos en antagonist istället för att försöka mer specifikt peka ut enskild, organisation, nätverk, stat som antagonist. Detta är ett komplicerat område som kräver mycket tankeverksamhet och diskussioner. Jag är öppen för sådana. Verksamhet som är av betydelse för Sveriges säkerhet Lagstiftningens tillämplighet hänger i stor utsträckning på om du bedriver en verksamhet som är säkerhetskänslig. Sveriges säkerhet brukar traditionellt delas in i två överordnade områden, den inre och yttre säkerheten. Men även samhällsviktig verksamhets kan röra Sveriges säkerhet. Det första steget mot att kunna besvara frågan om ni bedriver säkerhetskänslig verksamhet är, hör och häpna, en verksamhetsanalys vilken du läser om i kapitel 2. Den yttre säkerheten Omfattar Sveriges gränser (vår territoriella suveränitet) och politiska självständighet. Den nationella försvarsförmågan är en av de mer uppenbara delarna av detta och här axlar Försvarsmakten huvudansvaret. De kanske inte omedelbart uppenbara delarna av den nationella försvarsförmågan är alla de 10

11 verksamheter som exempelvis forskning, utveckling och produktion av försvarsmateriel. Den inre säkerheten Omfattar förmågan att upprätthålla och säkerställa Sveriges statsidé, vår demokrati. Det handlar om särskilt kritiska anläggningar, funktioner och informationssystem för Sveriges statsskick, rättsväsende eller brottsbekämpande förmåga. Samhällsviktig verksamhet Omfattar ett flertal verksamheter inom energiförsörjning, livsmedel, elektronisk kommunikation, vattenförsörjning, transporter och finansiella tjänster. Dessa anses många gånger vara en förutsättning för ett fungerande samhälle och utan dessa kommer Sveriges säkerhet snabbt kunna sättas ur spel. Sveriges ekonomi Omfattar de verksamheter som är en del av Sveriges förmåga att utföra och hantera finansiella transaktioner på nationell nivå. Konsekvenserna avgör Den eventuella skada som uppstår genom en antagonistisk handling är avgörande för att kunna bedöma om Sveriges säkerhet påverkas och om omfattningen på skadan är tillräckligt omfattande. Hur du går tillväga att bedöma konsekvenserna kommer vi diskutera i kapitel 3. Allt du, förhoppningsvis, behöver veta om konsekvenser kommer behandlas i kapitel 3. Antagonistisk handling Ett hot är en varning om en, eller serie av, handling(ar) som kan resultera i negativa effekter för den mot vilket hotet riktas. I sammanhang av lagstiftningen handlar det om antagonistiska hot. En antagonist är en individ, grupp, nätverk, organisation eller stat som med förmåga och avsikt kan komma att realisera ett hot. Antagonistiska hot innebär således att en aktör med förmåga och avsikt 11

12 kan komma att realisera ett angrepp direkt mot det som ni bedömt vara en säkerhetskänslig verksamhet. När ni bedriver säkerhetskänslig verksamhet Efter genomförda analyser med hjälp av verksamhetsanalysen (kapitel 2) och konsekvensanalysen (kapitel 3) ska ni kunna konstatera om ni bedriver till någon del säkerhetskänslig verksamhet. Bedriver ni sådan verksamhet är det nu allvaret börjar på riktigt, det är nämligen dags att påbörja arbetet med att upprätta en säkerhetsskyddsanalys (kapitel 4). I kapitel 4 introduceras du till säkerhetsskyddsanalysen och vad en sådan analys innebär, hur du planerar för och genomför en sådan analys. 12

13 Kapitel 2 Verksamhetsanalysen Det är inte vad du ser på som betyder något, det är vad du ser. - Henry David Thoreau Det är många som undrar om lagstiftningen gäller för deras verksamhet och hur de kan avgöra detta. Verksamhetsanalysen är ett första steg mot att kunna svara på frågan om lagstiftningen är tillämplig för deras verksamhet. Målsättningen med det här kapitlet är att ge dig några förhoppningsvis någorlunda konkreta verktyg för att kunna ta ett första steg mot att besvara frågan om huruvida någon, eller några, verksamhet(er) inom er organisation faller in under ramen för säkerhetskänslig verksamhet. Observera att verksamhetsbeskrivningen troligen inte ensamt kan besvara frågan om lagstiftningens tillämplighet. Ni kommer också behöva genomföra en konsekvensanalys (kapitel 3) och först därefter kommer ni med större trygghet kunna besvara frågan om lagen är tillämplig eller inte. Och, jag måste även säga det, jag är inte en jurist. Lagstiftning är sällan så enkelt att det räcker med att läsa en paragraf och tro att allting är färdigt. Det kan finnas undantag, särskilda fall, lagkommentarer, förarbeten osv. som påverkar hur en paragraf ska tolkas. Idealt vore givetvis att finna en erfaren jurist med fokus på lagstiftningen, men de är få. En jurist, även utan specifik erfarenhet från lagstiftningen, är en viktig resurs eftersom de har förståelse för lagstiftningsarbetet och allt vad det innebär. Nå väl, nog om detta. Nyckelinsikter Hurvida lagen är tillämplig är i huvudsak beroende av er förmåga att analysera den verksamhet ni analyserar. I någon mån är det nämligen ni själva som avgör om lagen är tillämplig. Verksamhetsbeskrivningen avser ge er ett inriktande svar på vilka delar 13

14 av er verksamhet som eventuellt kan komma att betraktas som säkerhetskänslig. Dessvärre kan det vara lätt att fastna i detaljer och i ett slags bottom-up perspektiv. Börja översiktligt och jobba er ner mot detaljerna och endast i den mån det är nödvändigt. Försök även genom analysen besvara frågan om vilka beroenden som ni har till andra, samt andra har till er. Verksamhetsanalysen är en förutsättning för att kunna genomföra nästa steg vilket är konsekvensanalysen (menbedömningen). Vad är en verksamhet? Vi börjar med ordet verksamhet som enligt Svenska Akademiens Svensk ordbok 7 (SO) definieras så här: målinriktat arbete som fortlöpande utförs Kort och gott, det kan vara nästan vad som helst så länge det bedrivs målinriktat och utförs fortlöpande. Analys behöver vi kanske inte riktigt definiera. Sammantaget ger detta oss således verksamhetsanalysen; en analys av det målriniktade arbetet som fortlöpande utförs. Om att analysera verksamheter Innan jag börjar att försöka förklara hur detta arbete ska genomföras och vilka aktiviteter som är relevanta måste jag först ge lite utrymme för några varnande ord. Att analysera en organisation och de verksamheter den består av är faktiskt en helt egen disciplin och kärt barn har många namn; affärsanalys, verksamhetsanalys, affärsmodellering m.fl. Oaktat namn är målsättningen att i text och grafik visa vad organisationen gör, hur den gör det, varför den gör det, med vilka resurser, för vem och vad osv. Genom denna analys kan vi få fram relationer till andra organisationer, företag eller myndigheter. Vi kan få en bättre förståelse för vilka vi beror på 7 Svensk Ordbok av Svenska Akademien (SO), (Online: hämtad: ) 14

15 och vilka som beror på oss. Vi kan förstå hur information förmedlas mellan verksamheter, mellan IT-system, eller mellan människor. Hur processer genererar värde, och vilka processer som hänger ihop med andra. Detta kan bli ett oerhört omfattande arbete och det ligger dessvärre i farans riktning att man fastnar i detaljer kring olika affärsprocesser, stödprocesser, kärn- och stödverksamheter, eller kanske rentav detaljer i ett eller flera ITsystem. Det är viktigt att parallellt med arbetet att dokumentera en verksamhet hålla fokus på att den övergripande frågan vi försöker besvara. Kan verksamheten troligtvis komma att betraktas som säkerhetskänslig? Ja, nej eller delvis. Och med detta sagt vill jag poängtera vikten av att försöka se skogen och ignorera träden. I det här sammanhanget är detaljerna ännu inte det viktigaste. Detaljerna får utrymme senare när du fått fram ett underlag som faktiskt är indikativt på att verksamheten troligtvis är att betrakta som säkerhetskänslig. Nåväl, en hel del introducerande text men nu är vi här. Målsättningen är som tidigare skrivet att kunna (delvis) besvara frågan om huruvida någon, eller vilka, verksamhet(er) kan komma att betraktas som säkerhetskänslig(a). Frågeställningen ger oss en ram för hur ambitiösa vi behöver vara med analysen. Detaljerna är i det här skedet inte särskilt viktiga. Det ni behöver göra är att få en "känsla" för vilka delar av er verksamhet som kanske behöver analyseras lite djupare. Och givetvis dokumenterar ni det arbete ni gör för att hitta känslan. Det kanske viktigaste av allt är att... involvera verksamheten. Låt ansvariga, eller anställda inom aktuell verksamhet, själva berätta hur verksamheten fungerar osv. Detta är inte ett arbete som du sätter dig i ett isolerat rum och försöker klurat hur och vad en given verksamhet gör och fungerar. I det här kapitlet kommer vi att fokusera på din verksamhet och dokumentera hur den fungerar, varför den fungerar, med stöd av vem, vilka och vad. 15

16 De första frågorna Här är några förslag på frågor att försöka besvara i hopp om att identifiera eventuellt känsliga delar som behöver analyseras närmre. Vad gör ni? Vad är det som existensberättigar verksamheten? Vilka är era kunder? Till vem, vilka eller vad tillhandahåller ni tjänster och produkter? Hur och till vad används produkterna eller tjänsterna? Målsättningen ni ska ha är att identifiera kombinationer av ovan där ni får en känsla av att den aktuella verksamheten har bäring på Sveriges säkerhet. Att någon av tjänsterna eller produkterna används på ett sådant sätt att den inre, eller yttre säkerheten skulle kunna påverkas vid en antagonistisk handling. Exempel - Kommunen Rulteby Kommunen Rulteby om cirka medlemmar bedriver kommunal verksamhet vilket är reglerat i lag 8. Sedan finns det ett gäng andra lagar som ytterligare reglerar vilka verksamheter en kommun som Rulteby är skyldig att tillhandahålla sina medlemmar. Den kommunala räddningstjänsten, den kommunala skolan och vatten/avlopp är tre exempel på verksamheter som bedrivs i kommunen. Fördjupade frågeställningar Utifrån dessa frågeställningar gräver vi sedan lite djupare i analysen: Är någon av de verksamheter vi tillhandahåller tjänster och produkter till... viktig? Kan vår verksamhet enkelt ersättas i händelse av bortfall? Tänk tandläkare vs akutvård. Är det vi tillhandahåller unikt och samtidigt absolut nödvändigt för konsumenten? Tänk programvara till styrsystem för högspänningsnät. Kan fel i tjänsten eller produkten relativt snabbt få stora konsekvenser? Tänk uppkopplade styr- och reglersystem för kollektivtrafik. 8 Lagen.nu, (Online: hämtad: ) 16

17 Exempel - Kommunen Rulteby Som kommun är vi ensamma i att tillhandahålla tjänster för att transportera våra medlemmars avloppsvatten och samtidigt tillhandahålla dricksvatten. Det är inte enkelt för den enskilde medlemmen att ersätta dessa tjänster och produkter. De kan dock under en begränsad tid (någon dag eller två) eventuellt tillgå vatten i livsmedelsbutiker. Däremot blir det snabbt svårt för den enskilde att hantera tjänstebortfall av avlopp/rengöring som inte enkelt kan ersättas. Sammanfattning Syftet med alla dessa frågor är att vaska fram känslan som eventuellt talar för att verksamheten kan komma att betraktas som säkerhetskänslig. Det kan givetvis krävas ett antal fler frågor och omgångar av analys med diverse resurser och kompetenser. Det kan krävas att ni i än mer detalj förstår exakt hur en tjänst fungerar, eller hur en produkt är sammansatt eller produceras. Verksamhetsanalysen syftar till att delvis besvara frågan om någon eller några av de verksamheter ni bedriver är att betrakta som säkerhetskänslig. Jag säger delvis för det är endast en indikation på att ni kanske bedriver säkerhetskänslig verksamhet. För att besvara detta mer definitivt behöver ni även göra en konsekvensanalys. Det är här ni i mer detalj analyserar konsekvenserna av att en verksamhet eller del av faller bort. Verksamhetsanalysen som del av arbetet med säkerhetsskyddslagstiftningen är inte avsedd att i detalj, åtminstone inte initialt, förklara varje del av en verksamhet. Den ska vaska fram känslan av att ni troligen kommer betraktas som säkerhetskänslig. Konstaterar ni detta behöver ni göra en fördjupad analys, först genom konsekvensbedömning och sedan genom säkerhetsskyddsanalysen. 17

18 Kapitel 3 Konsekvensanalysen Det är en stor fördel att tidigt begå de misstag man kan lära något av. - Winston Churchill Ett viktigt moment i säkerhetsskyddsarbetet är att identifiera och bedöma konsekvenserna av att en verksamhet, eller del av, tappas eller kraftigt begränsas under en tid. Och om detta bortfall kan innebära skada för Sveriges säkerhet. I detta kapitel utforskar vi hur vi kan identifiera konsekvenser och bedöma dessa och avgöra om konsekvenserna är så pass allvarliga att det även skadar Sveriges säkerhet. Först efter att vi gjort en konsekvensbedömning av en given verksamhet kan vi avgöra om den faller in under ramen för säkerhetskänslig verksamhet. Om ni här bedömer att negativa händelser kan få konsekvenser för Sverige finns det anledning att anta att ni bedriver säkerhetskänslig verksamhet vilket förflyttar arbetet in inom ramen för säkerhetsskyddslagen. Tillsammans med verksamhetsbeskrivningen ger konsekvensanalysen ett svar på huruvida ni bedriver säkerhetskänslig verksamhet och således kommer att omfattas av lagstiftningen. Bedriver ni sådan verksamhet är också lagen tillämplig vilket innebär att nästa steg är att upprätta en säkerhetsskyddsanalys. För vissa är det uppenbart och snabbt avgjort om lagstiftningen är tillämplig, för andra mindre så. Nyckelinsikter Förvänta dig inga konkreta beskrivningar eller siffror på när en konsekvens innebär fara för Sveriges säkerhet; det ligger lite i sakens 18

19 natur att sådana inte kan (ska!) finnas. Utgå ifrån verksamhetsbeskrivningarna, arbeta tillsammans med representanter från verksamheten och utmana med provocerande påståenden som t.ex. att verksamheten upphör, permanent. Arbeta er sedan "nedåt" i.e. verksamheten halveras eller hindras från att fungera i tre dagar osv. Identifiera smärtgränserna. När blir effekterna av en händelse jobbiga på riktigt? Spelar det någon roll om smärtgränsen nås omedelbart, eller över tid? Tillsammans med verksamhetsbeskrivning ger analysen svaret på om huruvida ni bedriver säkerhetskänslig verksamhet och således om ni kommer att omfattas av lagstiftningen. Därför genomför vi en konsekvensanalys Syftet med konsekvensanalysen är att dokumentera icke-önskvärda resultat av att antagonistiska hot realiseras. Istället för att börja med alla hot som skulle kunna riktas mot vår verksamhet börjar vi med att identifiera sådana effekter, eller konsekvenser, den aktuella verksamheten inte vill erfara. Målsättningen med konsekvensanalysen, så som den förhåller sig till lagstiftningen är att besvara frågan om vi bedriver helt, delvis, eller inte alls någon säkerhetskänslig verksamhet. Bedriver vi ingen säkerhetskänslig verksamhet omfattas vi inte heller av lagstiftningen. Och det här med säkerhetskänslig verksamhet är onekligen elefanten i rummet. Någonstans övergår konsekvenserna från att inte vara tillräckligt omfattande för att påverka Sveriges säkerhet... till att vara det. Dessvärre finns det ingen enskild konsekvens, eller definition, som kan ge svaret. Det är en bedömningsfråga som måste sättas i sammanhang av den verksamhet som påverkas och en rad andra faktorer. Detta är en konsekvens En konsekvens är följden av en viss handling. Det är effekter som uppstår av att något har hänt. Effekterna kan vara direkta, eller indirekta. De kan vara 19

20 omedelbara eller uppstå över tid. De kan vara mer eller mindre omfattande. Effekter är kostnaderna som uppstår i samband med en incidentutredning av ett dataintrång. Det är fiendens kunskap om och förmåga att kringgå eller oskadliggöra våra skyddsåtgärder. Det är medborgarnas förlorade förtroende för att Sverige klarar av att upprätthålla en demokrati. Direkta och indirekta konsekvenser Det finns direkta och indirekta konsekvenser och detta kan innebära vissa svårigheter i bedömningarna. Direkta konsekvenser är exempelvis uppenbart när de gäller energidistribution, vattenförsörjning etc. Där kan det snabbt bli stora konsekvenser för många direkt när system som bär dessa infrastrukturella tjänster havererar. Det svåra är att avgöra konsekvenserna när det handlar om indirekta effekter. Information som måste användas i kombination med något annat för att kunna leda till stora konsekvenser. Och än svårare blir det när effekterna avser abstrakta ting som också över tid förändras. När har exempelvis förtroendet för rättsapparaten påverkats i tillräcklig utsträckning för att anses uppnå effekter på Sveriges säkerhet? Detta är komplicerade och svårbedömda konsekvensanalyser. Skada för Sveriges säkerhet För att en konsekvens, eller en effekt, ska vara relevant i sammanhang av lagstiftningen måste effekterna vara av nationell karaktär, de måste innebära skada på Sveriges säkerhet. Det innebär alltså att en händelse som inträffar hos er måste även få konsekvenser för Sveriges förmåga att upprätthålla sin säkerhet. Studerar vi Säkerhetspolisens föreskrifter (1 kap 2 ) kan vi läsa följande: 2 Identifiering av sådana anläggningar, objekt, system och liknande verksamhet som avses i 1 andra stycket 3 ska utgå från vilken typ av skada för Sveriges säkerhet en antagonistisk handling mot en viss verksamhet skulle kunna medföra. Identifieringen ska göras utifrån följande konsekvenskategorier. Skada för Sveriges yttre säkerhet Skada för Sveriges inre säkerhet 20

21 Skada på nationellt samhällsviktig verksamhet Skada för Sveriges ekonomi Sveriges yttre säkerhet avser förmågan att upprätthålla ett nationellt försvar (territoriell suveränitet) samt Sveriges integritet, oberoende och handlingsfrihet (politisk självständighet). Sveriges inre säkerhet avser förmågan att upprätthålla och säkerställa grundläggande strukturer i form av det demokratiska statsskicket, rättsväsendet och den brottsbekämpande förmågan på nationell nivå. Nationellt samhällsviktig verksamhet avser påverkan på leveranser, tjänster och funktioner som är nödvändiga för samhällets funktionalitet på nationell nivå. Sveriges ekonomi avser den nationella betalningsförmågan, där skadan behöver få negativa konsekvenser för Sveriges suveränitet, handlingsfrihet och oberoende. Konsekvensnivåer Säkerhetspolisen beskriver i sina föreskrifter om säkerhetsskydd fem nivåer av skada. Och enligt bilagan i föreskrifterna är dessa nivåer följande: Nivå 5: Synnerligen allvarlig skada för Sveriges säkerhet Nivå 4: Allvarlig skada för Sveriges säkerhet Nivå 3: Inte obetydlig skada för Sveriges säkerhet Nivå 2: Ringa skada för Sveriges säkerhet Nivå 1: Inte mätbar eller inte relevant konsekvens med bäring på Sveriges säkerhet För respektive nivå finns det sedan en textmässig beskrivning av den skada som nivån förväntas beskriva. Dessa är på sin höjd inriktande och i viss utsträckning vägledning, men det är marginellt skulle jag vilja påstå. Händelser som påverkar Sveriges säkerhet Det väsentliga i konsekvensanalysen är att avgöra om negativa händelser i er verksamhet kan innebära konsekvenser för Sveriges säkerhet. Och nej, det 21

22 finns inga exakta ord, beskrivningar eller siffror som förklarar när konsekvenser når denna nivå. Det ligger lite i sakens natur att vi inte kan peka ut specifikt vad som påverkar Sveriges säkerhet. Det finns några frågeställningar i Säkerhetspolisens vägledning 9 om säkerhetsskydd som belyser detta och som kan användas för att utvärdera identifierade konsekvenser: 1) Påverkas ett större antal människors liv och hälsa? 2) Påverkas ett större geografiskt område? Är denna påverkan långvarig och/eller inträffar den vid en olämplig tidpunkt? 3) Får händelsen allvarliga sociala, ekonomiska och/eller politiska konsekvenser för samhället? 4) Påverkas andra samhällsviktiga verksamheter allvarligt? 5) Finns det risk att allvarliga negativa konsekvenser uppstår i framtiden? Dessa frågeställningar är hämtade från Säkerhetspolisens vägledning i säkerhetsskydd. Ja, dom är övergripande och nej, de ger inte alldeles för mycket vägledning i konsekvensbedömningarna. Men vad dom däremot ger är en känsla för den förväntade omfattningen på en händelse och dess konsekvenser. Två saker, konsekvenser och antagonistiska angrepp. Konsekvenser i sammanhang av säkerhetsskyddslagen handlar om konsekvenser för Sverige som nation. Konsekvenserna i verksamheten måste alltså påverka nationen som helhet, inte endast verksamheten. Mer om det strax. Antagonistisk handling Ett hot är en varning om en, eller serie av, handling(ar) som kan resultera i negativa effekter för den mot vilket hotet riktas. I sammanhang av lagstiftningen handlar det om antagonistiska hot. En antagonist är en individ, grupp, nätverk, organisation eller stat som med förmåga och avsikt kan komma att realisera ett hot. 9 Säkerhetsskydd - En vägledning, Säkerhetspolisen, (Online: d23c ea2808/ /Sakerhetsskydd-envagledning.pdf, Hämtad: ) 22

23 Antagonistiska hot innebär således att en aktör med förmåga och avsikt kan komma att realisera ett angrepp direkt mot det som ni bedömt vara en säkerhetskänslig verksamhet. Planera och genomföra en konsekvensanalys På ett övergripande plan innebär konsekvensanalysen att vi ska ta oss igenom följande steg: 1) Utifrån verksamhetsbeskrivningen välja en avgränsad och någorlunda väl definierad verksamhet. 2) Identifiera konsekvenser som potentiellt kan ha bäring på Sveriges säkerhet. 3) Analysera identifierade konsekvenser; förstå smärtgränserna. 4) Sammanställa och besvara frågan om ni helt, eller delvis, bedriver någon verksamhet som kan komma att betraktas som säkerhetskänslig. Som allting annat ni gör inom ramen för säkerhetsskydd, ska även den här aktiviteten dokumenteras. Steg 1 - Välja verksamhet I det föregående kapitlet avhandlade vi verksamhetsbeskrivningen som syftar till att beskriva företagets eller organisationens syfte och mål, dess verksamhet. Verksamhetsbeskrivningen, bör ge en idé om vilken verksamhet ni bör inrikta er på först. Det är nu dags att välja och inrikta er på en specifik verksamhet. Detta bör ni gör tillsammans med verksamhetsrepresentanter. Det är viktigt att ni tillsammans med aktuell verksamhet diskuterar potentiella effekter. Det finns egentligen inte särskilt mycket att säga om det här. Allting som hjälper er att förstå aktuell verksamhet är bra. Processer, information, arbetsbeskrivningar, tjänster, produkter, interna och externa partners. Allt som hjälper till att måla upp en bild av hur verksamheten fungerar. Det är genom dessa beskrivningar vi kan "se" olika typer av effekter. Steg 2 - Identifiera konsekvenser Okej, så vi har en bra (förhoppningsvis) verksamhetsbeskrivning. Ni 23

24 förstår vad det är ni analyserar och gör detta tillsammans med representanter från verksamheten. Det är nu dags att identifiera konsekvenser som vi ska gå vidare med och analysera. Det är vanligt att frågor uppstår som rör digniteten på konsekvenserna. Ska vi utgå ifrån värsta tänkbara konsekvens? Eller vad som känns rimligt? Hur ska vi resonera när det gäller vilka konsekvenser som ska beaktas? Hur väljer vi och avgör detta? Analytiska verktyg För att identifiera konsekvenser är det som alltid nödvändigt med verktyg som hjälper till att identifiera potentiella konsekvenser som kanske kommer att behöva adresseras. Nedan är några förslag på verktyg ni troligtvis redan känner till och kan använda er utav i arbetet med att identifiera konsekvenser. Tillgänglighet, riktighet och hemlighet (konfidentialitet) I samband med att vi försöker identifiera konsekvenser för verksamheter kan vi ta hjälp av den klassiska informationssäkerhets-triaden. Så använd dessa när ni ställer er själva frågor om konsekvenser för verksamheten. Vad innebär det att verksamheten är borta under en timme, dag, vecka eller permanent? Vad innebär det att viss vital information kommer en antagonist tillhanda? Uppstår skadan omedelbart eller över tid? Vad innebär det om vissa styrparametrar ändras och visar en verklighet som inte stämmer? Trycket i en gasledning? Antalet revolutioner per minut i en centrifug? Dessa frågor kombinerar ni sedan med de frågeställningar som Säkerhetspolisen beskriver i sin vägledning, se ovan. Hitta smärtgränserna Något som jag tycker hjälpsamt är att betrakta eventuella konsekvenser som del av ett spektra. Den absolut värsta tänkbara effekten för ett företag är onekligen resultatet av en händelse som innebär att företagets hela verksamhet upphör, permanent. Ett bra exempel på händelser med den här typen av effekt är DigiNotar där bolaget efter ett intrång upphörde, permanent. 24

25 På ett spektra av effekter finns det ett intervall där vi når någon slags smärtgräns, där det faktiskt blir jobbigt på riktigt. Ett exempel från vardagen. Att åka pendeltåg kan vara smärtsamt. Ständiga förseningar som beror på elfel, idioter på spåren osv. I begränsad omfattning, några timmar, påverkas ett stort antal människor, men det har ännu inte blivit kaos. Några fickor med knutna nävar. Ökar vi däremot längden på omfattningen, säg någon dag eller kanske två, börjar det bli jobbigt på riktigt. Nu handlar det om att tiotusentals människor inte längre kan ta sig till sina arbetsplatser och hindras från att kanske utföra vitala aktiviteter. Någonstans här hittar vi en smärtgräns, något vi måste planera för och hantera. En konsekvens vi således behöver analysera är att verksamheten för pendeltågstrafiken upphör på samtliga, eller delar av vissa, sträckor under minst två dagar. Att identifiera en smärtgräns och detaljerna runt denna är en indikation på att denna verksamhet kanske är att betrakta som säkerhetskänslig verksamhet. För att kunna avgöra det behöver vi analysera konsekvensen i något mer detalj. Observera att vi inte ännu behöver förklara HUR denna effekt kan komma att realiseras. Dokumentera identifierade konsekvenser Det finns egentligen inga rätt eller fel i hur ni väljer att identifiera konsekvenser. Jag skulle dock vilja rekommendera ett uppifrån-och-nedperspektiv. Det kan vara lockande att börja fokusera på enskilda IT-system, för att det kanske uppfattas som relativt enkelt. Men, nej. Börja istället, precis som i verksamhetsanalysen, längst upp på toppen. Vad skulle det innebära om hela verksamheten upphörde? En händelse är så pass förlamande att hela organisationen stannar upp och väsentligen slutar att fungera. Vilka effekter får detta på omgivningen? Vilka företag, organisationer eller individer kommer att påverkas? På vilket sätt kommer de att påverkas? Steg 3 - Bedöma konsekvenser Efter att ni har identifierat konsekvenser och fått fram en bruttolista är det dags att ta steget mot att bedöma och analysera dessa konsekvenser i mer 25

26 detalj. Efter konsekvensanalysen kommer ni att ha identifierat det verkligt skyddsvärda, sådant som har bäring på Sveriges säkerhet. Att analysera olika konsekvenser innebär att vi ställer mer riktade frågor kring effekterna. Målsättningen är att vaska fram information om effekterna som gör att vi är trygga med en bedömning om huruvida de påverkar Sveriges säkerhet. Vem/vilka påverkas av effekterna? Företag, organisationer, myndigheter eller individer? Kommer människors liv och hälsa påverkas allvarligt? Kan människor dö? Är effekterna omedelbara eller uppdagas de över tid? Skulle dessa effekter i kombination med andra negativa händelser resultera i en mer allvarlig situation? Har liknande händelser skett med de effekter ni identifierat? Det sägs att historien upprepar sig... Genom att systematiskt analysera varje identifierad effekt kommer ni förhoppningsvis få förståelse och kunskap om hur denna påverkar er, samhället och Sverige som nation. Det sistnämnda kan givetvis vara svårt att avgöra. Men när ni kommit så här långt och är osäkra, då vänder ni er till Säkerhetspolisen och ber om hjälp. Steg 4 - Sammanställa Och så slutligen, det sista steget i konsekvensanalysen. Efter ett gediget arbete med att identifiera och analysera konsekvenser är det dags att sammanställa resultatet. Ni har nu ett underlag som ligger till grund för att avgöra om ni överhuvudtaget kommer att omfattas av lagstiftningen. Om konsekvenserna är indikativa på att negativa händelser i er verksamhet kan få effekter på Sveriges säkerhet omfattas ni troligtvis av lagstiftningen. Skulle ni göra bedömningen att effekterna inte påverkar Sveriges säkerhet har ni nu ett underlag som tydligt visar att ni gjort en bedömning, hur ni resonerat och vad som låg till grund för denna. Hur ni väljer att sammanställa och organisera dessa konsekvenser spelar mindre roll. Ett text-dokument med en sammanfattning och slutsats avseende 26

27 analysen samt en rubrik per verksamhet med underordnade avsnitt för identifierade och analyserade konsekvenser bör vara tillräckligt. Observera att allt detta kan förändras. Utökad verksamhet, nya kunder, ny omvärldsutveckling osv. Ni bör därför rimligen återbesöka verksamhetsbeskrivningen och konsekvensanalysen för att undersöka om något förändras till den grad att bedömningen inte längre gäller. Det finns ingen reglering i hur ofta detta ska göras, utan ni får helt enkelt göra det i takt med att ni utvecklas och förändras. Sammanfattning I det här kapitlet har jag beskrivit konsekvensanalysen genom vilken vi identifierar och bedömer tänkbara effekter som kan uppstå genom negativa händelser i en verksamhet. Målsättningen är att identifiera sådana effekter som kan påverka Sveriges säkerhet. Sveriges säkerhet omfattar inre och yttre säkerhet, samhällsviktig verksamhet och Sveriges ekonomi. Tillsammans med verksamhetsbeskrivningen ger konsekvensanalysen svar på om ni bedriver säkerhetskänslig verksamhet och således omfattas av lagstiftningen. 27

28 Kapitel 4 Säkerhetsskyddsanalys Rädslan är en dålig rådgivare. - Okänd Detta kapitel handlar om ett centralt begrepp inom lagen och också något väldigt konkret, nämligen säkerhetsskyddsanalysen, tidigare säkerhetsanalys. Du ska göra en säkerhetsskyddsanalys om du bedriver säkerhetskänslig verksamhet. Detta ska du nu kunna besvara efter att du gjort en verksamhetsanalys (kapitel 2) och konsekvensanalys (kapitel 3). I det här kapitlet kommer jag att ge någon slags övergripande introduktion till säkerhetsskyddsanalysen. Det blir en introduktion till alla de kommande analysern (hotanalys, sårbarhetsanalys, åtgärdsanalys) som ska genomföras. Dessa analyser sammanfogas sedan i en säkerhetsskyddsanalys tillsammans med en säkerhetsskyddsplan vilken visar på vilket sätt (genom vilka åtgärder) ni avser hantera vilka hot och sårbarheter. Det kanske är att slå in öppna dörrar men säkerhetsskyddsarbete är ett omfattande arbete och kan i delar bli mycket komplext, särskilt när det gäller avvägningar och bedömningar om skyddsvärden, hot, sårbarheter och skyddsåtgärder. Lagen är inte deskriptiv utan endast normativ, den anger ett mönster för hur ni ska tänka kring säkerhetsskydd. Detta är ett sådant där tillfälle då ni lämpligen söker stöd från en senior rådgivare med erfarenhet och kunskap inom området, särskilt om det är "skarpt" läge för er avseende lagens tillämpning. Nyckelinsikter En verksamhets- och konsekvensanalys avgör om ni bedriver säkerhetskänslig verksamhet Säkerhetsskyddsanalysen är ett dokumenterat resultat från analysen av 28

29 den säkerhetskänsliga verksamheten Ska besvara frågor om den säkerhetskänsliga verksamheten om varför den ska skyddas (konsekvenser), från vad (hot) och på vilket sätt (skyddsåtgärder) den avses skyddas En dimensionerande hotbeskrivning förklarar antagonistens förmåga och tillvägagångssätt att realisera ett hot; beskrivningen motiverar dimensioneringen av skyddet. Observera att begreppets användning har ändrats i Säkerhetspolisens föreskrifter om säkerhetsskydd. Modellera genom exempelvis cyber kill chain 10 hur ett antagonistiskt cyberangrepp kan komma att genomföras för att identifiera brister i skyddet Bedriver vi säkerhetskänslig verksamhet? Vi har redan konstaterat att lagen gäller för utövare av säkerhetskänslig verksamhet och gör en snabb repetition. Verksamhetsanalys (-beskrivning) Verksamhetsanalysen syftar till att klargöra verksamhetens målsättning och uppdrag. För ett energibolag skulle den övergripande verksamhetsbeskrivningen kunna bli något i stil med: producerar och levererar energi till den svenska marknaden. Energibolagets verksamhet kan sedan delas upp i andra distinkta verksamheter, exempelvis verksamheten för energiproduktion, eller verksamheten för energidistribution, verksamheten för energiförsäljning och så vidare. Konsekvensanalys Konsekvensanalysen ska hjälpa oss att besvara frågan om skyddsvärdet på olika delar av verksamheten. Det handlar om att analysera oönskade händelser och orsakskedjor som kan påverka det skyddsvärda negativt. Vilka konsekvenser kan uppstå av att den givna verksamheten utsätts för antagonistiska angrepp?

30 Detta är en säkerhetsskyddsanalys Säkerhetsskyddsanalysen är det dokumenterade resultatet av allt arbete med att identifiera, analysera och bedöma ett antal säkerhetsrelevanta faktorer. Exempelvis ska ni analysera och bedöma hot som kan komma att riktas mot den säkerhetskänsliga verksamheten. Bedömning av säkerhetshot Säkerhetshotbedömningen avser antagonistiska hot, som tidigare nämnt. Om konsekvensanalysen beskriver effekterna av att något har hänt, handlar säkerhetshotsbedömningen om identifiera och analysera på vilket sätt en antagonist skulle kunna realisera ett hot och uppnå dessa icke önskvärda konsekvenser/effekter. Kapitel 5 diskuterar säkerhetshotbedömningen och hur dessa genomförs. På ett övergripande plan handlar det om att bedöma olika typer av hot som exempelvis kan avse möjligheten för en antagonist att utföra ett cyberangrepp för att "uppnå" de konsekvenser vi försöker undvika. Eftersom min erfarenhet är nästan uteslutande begränsad till cyberangrepp är det endast här jag känner mig någorlunda bekväm att uttrycka möjliga typer av hot. När det gäller andra typer av hot inom ramen för sabotage, terrorism får jag lov att hänvisa till... någon annan, Säkerhetspolisen kanske kan vara lämplig? I samband med bedömningen av säkerhetshot kommer ni stöta på begreppet dimensionerande hotbeskrivning. Detta är en mer allmän beskrivning av en aktörs förmåga och tillvägagångssätt för att utföra ett cyberangrepp. Tanken är att denna beskrivning ska dimensionera säkerhetsskyddet och alltså motivera införandet av olika typer av åtgärder. Denna del av säkerhetsskyddsanalysen bör vara så omfattande och uttömmande som möjligt eftersom det är utifrån denna som skyddet motiveras och dimensioneras. Observera också att sannolikhetsbedömningar helst ska undvikas eftersom de är högst svåra att tillförlitligt estimera. Istället bör hotbedömningarna vara konsekvensdrivna. Observera att en konsekvens i det här sammanhanget handlar om vad en angripare uppnår med ett givet steg i angreppet. Exempelvis angripa en klient 30

31 ger konsekvensen att angriparen nu har fotfäste i organisationen. Det handlar således mer om angriparens resultat av att genomföra ett givet steg i angreppet. Vissa steg kanske ni faktiskt uppmuntrar, tänk vilseledande åtgärder 11. Nästa steg är att identifiera och analysera vilka eventuella svagheter, eller sårbarheter, som finns och skulle kunna utnyttjas av en angripare. Sårbarhetsanalys De brister och svagheter vilka existerar i skyddet av sådant vi bedömt som särskilt skyddsvärt kan komma att utnyttjas av en tänkt hotaktör och medföra allvarliga konsekvenser. Sårbarhetsanalysen innebär analys av existerande åtgärder. Det kan exempelvis omfatta mätningar och tester av existerande skydd, analyser av inträffade incidenter etc. För att analysera organisationens sårbarheter avseende ett antagonistiskt cyberangrepp kan ni exempelvis ställa upp hoten enligt cyber kill chain 12 och för varje moment i angreppskedjan analysera vilka skyddsåtgärder ni har och vilka eventuella brister som finns. Beskriv helt enkelt hela angreppskedjan från start till mål och analysera varje steg var för sig. För varje steg skulle ni exempelvis kunna bedöma utifrån förebyggande åtgärder, eller upptäckande åtgärder. Även om en angripare lyckas få fotfäste på en klient kanske ni har upptäckande åtgärder som ser om denne exekverar ett PowerShell-skript som försöker upprätta C2-kommunikation? Det andra mer uppenbara sättet att identifiera brister är att helt enkelt ta in en lista på vilka tekniska sårbarheter som finns i infrastrukturen. Vilka patchar och uppdateringar har ni inte installerat på kritiska system i DMZ? Det finns helt enkelt en hel del steg att ta för att konkret identifiera vilka brister som innebär en försämrad förmåga att motstå antagonistiska cyberangrepp. Efter sårbarhetsanalysen kommer vi till identifiering och värdering av skyddsåtgärder