TMALL 0141 Presentation v 1.0. Cybersäkerhet och ny lagstiftning

Transkript

1 TMALL 0141 Presentation v 1.0 Cybersäkerhet och ny lagstiftning

2 Bertil Bergkuist Säkerhet och Risk IT IT-Säkerhetssamordnare Direkt: Trafikverket Solna strandväg Solna Telefon:

3 3 En värld i fred

4 4 Nu en värld i förändring... och osäkerhet...

5 DN Debatt Militära hot. 2 Informations- och cybersäkerhet. Vi ska utveckla vår kapacitet att minska sårbarheter, motstå försök till påverkan, och stärka vår informations- och cybersäkerhet. 3 Terrorism och våldsbejakande extremism. 4 Organiserad brottslighet. 5 Hot mot energiförsörjning. 6 Hot mot transporter och infrastruktur. Vitala delar av transportinfrastrukturen i Sverige ska få ett bättre skalskydd. 7 Hälsohot. 8 Klimatförändringar. 5

6 Totalförsvaret är under uppbyggnad 6

7 Målbilden för Sverige är att år 2020 åter har ett fungerande Totalförsvar Trafikverket ska då kunna : Hantera verksamhet och stöd till Totalförsvaret med inneboende robusthet, uthållighet och förmåga att hantera komplexa händelser Skydda kritiska datasystem, transport- och kommunikationssystem Förmåga att efter störning med resurser styrbara inom Sverige kunna komma igång igen eller ha en förmåga att använda andra alternativ Säkerställa att Trafikverkets stöd till Totalförsvaret är en prioriterad uppgift Identifiera vilka privata samhällsviktiga aktörer som krävs i vår verksamhet eller stöd till Totalförsvaret och säkerställa detta stöd i avtal Identifiera vilka materiella resurser som kan behöva förhandslagras i Sverige för att säkerställa vår verksamhet eller stöd till Totalförsvaret Ref: bl.a. Skrivelse FM :3 / MSB

8 8 EU NIS Direktiv

9 Börjar sannolikt att gälla under 2018 Utmaning nu är att anpassa föreslagen lagstiftning till Svenska NISU-utredningen och EU NIS direktiv. 9

10 Betänkandet om ny Säkerhetsskyddslag (1) I övrigt säkerhetskänslig verksamhet kan även omfatta ITsystem som är av central betydelse för ett fungerande samhälle. Det kan vara fråga om IT-system som styr viktiga samhällsfunktioner eller som hanterar information där informationens tillgänglighet eller riktighet är av kritisk betydelse för ett fungerande samhälle. Medför att betydligt mer inom Trafikverket kan komma att omfattas av krav på Säkerhetsskydd. 10

11 Betänkandet om ny Säkerhetsskyddslag (2) Utredningen har gett exempel på områden, verksamheter och funktioner som är av sådan karaktär att de skulle kunna omfattas av krav på skydd enligt säkerhetsskyddslagen. Av dessa bedöms nedanstående sektorer åtminstone ha en direkt eller indirekt påverkan på Trafikverket : Totalförsvaret Energiförsörjning Elektronisk kommunikation Skydd mot olyckor Annan livsmedelsförsörjning (b.la. Transport av livsmedel i en obruten kylkedja.) Transporter och kommunikation 11

12 Betänkandet om ny Säkerhetsskyddslag (3) Transporter och kommunikation Denna sektor avser transporter på land, till sjöss eller i luften som kan anses skyddsvärda. Till dessa räknas både själva färdmedlen, viktiga styrsystem och den infrastruktur som behövs för att transporterna ska fungera, t.ex. system för styrning av kritiska järnvägsväxlar. I sammanhanget bör beaktas att transporter är direkt eller indirekt beroende av el, både för själva transporten, för stödfunktioner och för transport av bränsle. 12

13 13 Remissvar på SOU 2015:25

14 NISU - Nationell Informations- SäkerhetsUtredning

15 15 EU NIS Direktiv

16 Strategi för informations- och cybersäkerhet i staten 16

17 Strategi för informations- och cybersäkerhet i staten 17

18 18 Remissvar SOU 2015:23

19 Försvarspolitisk inriktningsproposition

20 20 EU NIS Direktiv

21 21 Försvarspolitisk inriktningsproposition 2015

22 22

23 23 USA kan slå ut satellit och internet i ditt hus SvD

24 EU-direktivet för nät- och informationssäkerhet

25 25 EU NIS Direktiv

26 EU-direktivet för nät- och informationssäkerhet (NIS) (1) EU parlamentet röstade igenom NIS-Direktivet och Sverige har nu lite mer än 21 månader på sig att införa reglerna i Svensk lagstiftning. (Senast klart runt April 2018) 26

27 EU-direktivet för nät- och informationssäkerhet (NIS) (2) Krav på säkerhet (åtgärd!) och skyldigheten för samhällsviktiga företag som levererar tjänster inom sektorer såsom energi, transport, sjukvård, ekonomi och leverans av dricksvatten att rapportera säkerhetsincidenter. Det kan till exempel vara om en tjänst är viktig för ekonomin och samhället i stort, och om en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. EU-länderna måste själva identifiera företagen. 27

28 EU-direktivet för nät- och informationssäkerhet (NIS) (3) De nya reglerna föreskriver dessutom en strategisk samarbetsgrupp som ska utbyta information och hjälpa EU-länderna med att bygga upp en större IT-säkerhetskapacitet. Varje land är skyldigt att anta en nationell nätoch informationssäkerhetsstrategi. EU-länderna måste nu också inrätta enheter för hantering av datasäkerhetsincidenter för att hantera incidenter och risker, diskutera gränsöverskridande säkerhetsärenden etc. 28

29 EU-direktivet för nät- och informationssäkerhet (NIS) (3) Regeringen bedömer att det förslag om antagande av en nationell strategi för statens informations- och cybersäkerhet som föreslås i NISU-utredningen (SOU 2015:23) bör kunna anpassas för att motsvara direktivets krav på vad en nationell strategi för säkerhet i nätverk och informationssystem ska innehålla. NISU Nationell InformationsSäkerhetsUtredning 29

30 Påverkan på Trafikverkets informationsflöden

31 Principskiss över miljöer och informationsflöde Nuläge Extern miljö Operativa miljöer Kontors nära Medborgare Företag HEMLIGmiljö Externmiljö Kontorsnära Processmiljöer Processmiljöer Operativamiljöer 31

32 Principskiss över miljöer och informationsflöde Nuläge Operativamiljöer Externmiljö Medborgare Företag Kontorsnära Processmiljöer HEMLIGmiljö 32

33 OBS! Informationsflöde Ej teknisk lösning NISU - SGSI Konsekvens på informationsflöde Operativamiljöer Extern miljö Medborgare Företag HEMLIGmiljö Kontorsnära Processmiljöer SGSI Swedish Government Secure Intranet 33

34 OBS! Informationsflöde Ej teknisk lösning Ny Säkerhetsskyddslag Konsekvens informationsflöde Operativamiljöer Extern miljö Medborgare Företag Processmiljöer Kontorsnära Säkerhetsskyddsklassificerad miljö SGSI Swedish Government Secure Intranet 34

35 OBS! Informationsflöde Ej teknisk lösning Stöd till Totalförsvaret/Försvarsmakten Primär verksamhet måste alltid fungera Operativamiljöer Extern miljö Medborgare Företag Processmiljöer Kontorsnära Säkerhetsskyddsklassificerad miljö Vi måste exempelvis kunna köra tåg utan krav på ett fungerande Internet. SGSI Swedish Government Secure Intranet 35

36 OBS! Informationsflöde Ej teknisk lösning Kriskommunikation Primär verksamhet måste alltid fungera Operativamiljöer Extern miljö Medborgare Företag Processmiljöer Kontorsnära + annan kriskommunikation MATS MobiSIR Säkerhetsskyddsklassificerad miljö SGSI Swedish Government Secure Intranet 36

37 Ny Säkerhetsskyddslag och EU NIS-direktiv Konsekvens på informationsflöde OBS! Informationsflöde Ej teknisk lösning Extern miljö Medborgare Företag Företag Processmiljöer Kontorsnära Säkerhetsskyddsklassificerad miljö Operativamiljöer SGSI? Swedish Government Secure Intranet 37

38 Säkerhetsskyddslag och EU-NIS direktiv (1) Ny Säkerhetsskyddslag - Skydd av transporter viktiga för Sveriges Säkerhet omfattar: Färdmedlen, viktiga styrsystem, nödvändig infrastruktur Direkt eller indirekt beroende av stödfunktioner t.ex. el, bränsle. 39

39 Säkerhetsskyddslag och EU-NIS direktiv (2) EU-NIS direktiv Krav på säkerhet (åtgärd!) och skyldigheten för samhällsviktiga företag (och Myndigheter/ organisationer) att rapportera säkerhetsincidenter. Ändamålsenliga åtgärder ska införas som står i proportion till hoten för att garantera nät- och informationssäkerheten. Copyrighted CS Odessa's, Covered by Creative Commons 40

40 41