Samhällets informationssäkerhet

Storlek: px
Starta visningen från sidan:

Download "Samhällets informationssäkerhet"

Transkript

1 Samhällets informationssäkerhet 2007 Lägesbedömning

2 Sammanfattning... 3 Ord- och förkortningslista Inledning KBM:s årliga lägesbedömning till regeringen Vad är informationssäkerhet? Rapportens upplägg Uppföljning av 2007 års lägesbedömning Utvecklingstendenser Övergripande tendenser på samhällsnivå Utveckling på organisatorisk nivå Utveckling på individnivå Antagonistiska hot Blockering och klotter Den IT-relaterade brottsligheten förfinas Direkta IT-relaterade angrepp mot samhället Cyberkrig och terrorism Angrepp mot digitala kontrollsystem Sårbarheter och risker Administrativa sårbarheter Riksrevisionens granskning av regeringens styrning av informationssäkerhetsansvariga myndigheter Bristande förmåga att hantera storskaliga attacker Myndigheters bristande rutiner och arbetssätt Beroende av elektroniska datakommunikationer Vårdsektorn Finansiella sektorn Sårbarheter i nätinfrastrukturen Brister i myndighetsnät och webbplatser Tekniska sårbarheter Övergång till digital teknik IP-telefoni Digital-TV Beroenden mellan IT-system och fysiska försörjningssystem Vidare läsning

3 Sammanfattning Med tanke på hur allvarliga konsekvenserna kan bli av potentiella angrepp eller dåliga säkerhetsrutiner är frågan om informationssäkerhet ständigt aktuell. Det är osäkert hur det svenska samhället skulle kunna hantera ett storskaligt nätangrepp och inom det offentliga råder det brister i arbetet med att förebygga IT-relaterade incidenter. Samtidigt ökar beroendet av IT, särskilt i tidskritiska verksamheter som sjukvården och finanssektorn. Händelser i vårt grannland Estland visade under våren 2007 att hela samhället kan påverkas av störningar vid storskaliga nätangrepp mot informationstillgångar. Liknande angrepp förväntas också öka och för närvarande pågår diskussioner inom flera internationella organ om hur denna nya hotbild ska hanteras. I många länder rustar man sig nu också för att kunna motstå befarade framtida attacker mot kritisk samhällsinfrastruktur som elförsörjning, vattenrening och liknande. Sådana angrepp skulle kunna få mycket drastiska konsekvenser. IT-kriminaliteten omsätter idag betydande belopp och är ett växande problem som samhället måste skydda sig mot. En utspridd IT-kriminalitet kan i förlängningen skada förtroendet för både privata och offentliga e-tjänster. De kriminella gruppernas agerande är mycket målmedvetet. De tar snabbt till sig sofistikerade metoder och det blir allt svårare att värja sig mot angreppen. Under året har vi kunnat notera två motriktade trender. Dels upptäcks allt fler små och riktade angrepp, dels skapas det mycket stora nät av kapade datorer som kan hyras kommersiellt för att genomföra angrepp. Majoriteten av de IT-relaterade incidenterna hos svenska myndigheter orsakas fortfarande av organisatoriska brister. Arbetet varierar starkt i omfattning och prioriteras alltför sällan av respektive myndighets ledning. Många myndigheter saknar fortfarande fastställd informationssäkerhetspolicy, ledningssystem för informationssäkerhet och systemsäkerhetsanalyser för verksamhetskritiska system. Majoriteten saknar även en kontinuitetsplan i händelse av avbrott eller incident. Här finns ett tydligt behov av förbättringar, såväl genom inriktning som genom kunskapshöjande åtgärder. Informationssäkerhet berör hela samhället och handlar ytterst om förtroende. Målsättningen med informationssäkerhet är att samtliga aktörer i samhället ska kunna lita på informationssystemen. Bristande informationssäkerhet kan hota effektiviteten och kvaliteten i samhällets informationshantering och förmåga att hantera allvarliga störningar och kriser. Det kan vidare inverka negativt på brottsbekämpning, näringslivets lönsamhet och tillväxt samt medborgarnas personliga integritet. För att åstadkomma en god informationssäkerhet i samhället både i normaltillstånd och i ett krisläge måste frågan därför uppmärksammas på allvar bland alla aktörer, privata som offentliga. Lägesbedömningen fokuserar i år i första hand på hot och sårbarheter. De åtgärder som behövs för att uppnå en god informationssäkerhet behandlas i den handlingsplan för genomförande och förvaltning av den nationella informationssäkerhetsstrategin som Krisberedskapsmyndigheten kommer att lämna till regeringen. 3

4 Ord- och förkortningslista Botnät - Nätverk av datorer som infekterats med skadlig kod som gör det möjligt för en tredje part att kontrollera och fjärrstyra datorerna samtidigt. Common Criteria - Är en standard för hur man ställer krav, deklarerar och evaluerar säkerhet i IT-produkter och system. Communities (nätmötesplatser) - Webbplatser där det ofta krävs ett medlemskap för att ta del av innehållet. Huvudsyftet är oftast att komma i kontakt med likasinnade. COTS (Commercial off-the-shelf) - Kommersiellt tillgängliga standardprodukter. Digitala kontrollsystem (SCADA) Datorbaserade system för styrning, reglering och övervakning av fysiska processer som exempelvis el-, gas- och vattenförsörjning samt spårbunden trafik. DNS (Domain Name System) - Den funktion på Internet som översätter domännamn till IP-adresser. Då det finns ett stort antal domännamn och ingen enskild server kan ha en komplett lista över dessa, finns det i stället ett nät av sammankopplade DNS-servrar som ber varandra om hjälp vid behov. IP-stamnät I Sverige finns det idag fyra större operatörer med egna rikstäckande ipstamnät för Internettrafik. Sedan finns det ett antal mindre Internetoperatörer vars nät inte täcker hela landet, men som kan erbjuda Internettjänster med hjälp av samtrafik med något av stamnäten. Man-i-mitten-attack - En utomstående som genom att koppla in sig på en förbindelse mellan två parter simulerar respektive parts identitet mot den andre och på det sättet kan avlyssna eller förändra den överförda informationen. Nätfiske - En metod som går ut på att få en person att lämna ifrån sig konfidentiell information genom att lura personen att antingen svara på ett falskt e-postmeddelande eller besöka en falsk webbsida. Peer-to-peer Ett icke-hierarkiskt datornätverk där anslutna datorer kan hitta andra datorer och utväxla information direkt med varandra. Varje dator kan på det sättet agera både server och/eller klient. Rekursiv uppslagning DNS-servern får i uppdrag att leta reda på ett domännamn eller ipadress även om den själv inte känner till det. Det går att ställa in denna funktion så att den endast svarar på frågor från det egna nätverket. I annat fall går den vidare och frågar andra namnservrar, som kan befinna sig vara var som helst, för att ta reda på svaret. SAMFI (Samverkansgruppen för Informationssäkerhet) I denna grupp som leds av KBM ingår även FRA, PTS, VERVA, FM, RPS och FMV. Script kiddies Personer som ägnar sig åt dataintrång och datasabotage, men saknar djupare kunskaper om datasystem och använder färdigskrivna program (skript). SGSI (Swedish Government Secure Intranet) - En nättjänst som inte är beroende av Internet och till vilken svenska myndigheter kan ansluta sig och kommunicera med varandra. Social manipulering Då en person använder sig av olika sociala knep för att skapa förtroende i syfte att förmå någon att lämna ut känslig eller hemlig information. Nätfiske är en form av social manipulering. SQL-injektioner - Metod som utnyttjar säkerhetshål i hanteringen av indata i vissa datorprogram som arbetar mot en databas. Problemet uppstår då indata till en sql-sats inte behandlas på rätt sätt av programmeraren, varpå en attackerare kan använda speciella tecken och kommandon för att manipulera data eller skaffa sig information. Metoden har fått sitt namn av databasfrågespråket SQL. Tillgänglighetsattacker eller DDoS-attacker - Aktiviteter som kan överbelasta eller blockera vissa IT-resurser och på det sättet förhindra behörig åtkomst till resurser i ett ITsystem eller fördröja tidskritiska operationer. 4

5 1 Inledning 1.1 KBM:s årliga lägesbedömning till regeringen Denna rapport utgör Krisberedskapsmyndighetens (KBM) årliga lägesbedömning av samhällets informationssäkerhet. I 5 förordningen 2007:856 med instruktion för KBM stadgas att myndigheten ska analysera omvärldsutvecklingen inom området mot bakgrund av erhållet underrättelseunderlag och årligen lämna en samlad bedömning till regeringen. Den årliga lägesbedömningen vänder sig i huvudsak till regeringen, men rapporten är även tänkt att kunna utgöra ett stöd till andra aktörer inom krishanteringssystemet. Lägesbedömningen har med tiden även kommit att utgöra ett inriktningsdokument för KBM:s arbete inom ramen för det sammanhållande ansvaret för samhällets informationssäkerhet. Bedömningen grundar sig primärt på utvecklingen under Vad är informationssäkerhet? Med informationssäkerhet avses förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet vid hantering av information något som omfattar aspekter av såväl administrativ som teknisk karaktär. De hot och sårbarheter som tas upp i lägesbedömningen återspeglar olika händelser och tillstånd där någon eller några av dessa tre faktorer inte uppfylls i tillräcklig hög grad, vilket leder till att samhällets informationstillgångar och samhällsviktig verksamhet påverkas med varierande konsekvenser för samhällets sätt att fungera. KBM har angivit följande villkor som definition för samhällsviktig verksamhet ur ett krishanteringsperspektiv. Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället. Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad allvarlig kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt. En orsak till att informationssäkerhetsområdet har fått ökad uppmärksamhet idag är att informationsteknologin har blivit en allt viktigare komponent i för samhället viktiga verksamheter som kärnkraftverk, el, tele, betalningssystem och vattenförsörjning. Det finns emellertid ingen heltäckande förteckning idag över samhällets viktigaste informationstillgångar, varken system eller datamängder. Med tanke på samhällets föränderlighet är det heller inte ändamålsenligt att centralt försöka katalogisera varje enskild skyddsvärd faktor, utan detta måste varje aktör och organisation kontinuerligt utvärdera för sin egen räkning. I vissa fall är det uppenbart att information och system, som till exempel innehåller uppgifter av betydelse för rikets säkerhet, måste skyddas enligt särskilda regler och metoder. I andra fall kan det vara aggregerade mängder av till synes okänslig data som utgör sådan samhällsviktig information som kräver särskild hantering. Lägesbedömningen av samhällets informationssäkerhet är en kartläggning på generell nivå. I och med att informationssäkerhet är ett sektorsövergripande och tvärsektoriellt område, där händelser kan ha högst oanade effekter, har lägesbedömningen inte begränsats till att enbart omfatta förlopp som snabbt och direkt leder till eller förvärrar en allvarlig kris i samhället. 5

6 Detta för att lämna utrymme för diskussioner om utvecklingstrender och fenomen som även i ett längre tidsperspektiv kan hänföras till samhällets informationstillgångar eller samhällsviktig verksamhet. Effektiv krishantering bygger i hög grad på ett grundligt förebyggande arbete. Hur god informationssäkerheten är i normaltillstånd avgör också till stor del hur väl samhället klarar av att hantera allvarliga störningar och kriser operativt. De IT-relaterade hot och sårbarheter som diskuteras i den fortsatta framställningen knyter an till samhällets förmågor och brister både i normaltillstånd och i ett krisläge. 1.3 Rapportens upplägg Lägesbedömningen utgår från en modell för hotbildsanalys som kan beskrivas som en trappa. På det första steget identifieras olika typer av hot eller icke önskvärda händelser. Hoten ställs i sin tur mot identifierade sårbarheter, och resultatet blir att man kan få en bild av möjliga konsekvenser. Genom att uppskatta sannolikheten för att en hotande händelse med viss konsekvens inträffar kan man därefter ta ytterligare ett steg och fastställa en risk. Denna risk kan i sin tur vägas mot olika åtgärdsalternativ, vilket i ytterligare ett steg leder till att man skaffar sig ett underlag för beslut. Arbetet med lägesbedömningen har koncentrerats till att identifiera hot, sårbarheter och risker. Med anledning av att KBM även kommer att överlämna en handlingsplan för informationssäkerhet innehåller lägesbedömningen i år inget avsnitt om skyddsåtgärder. Handlingsplanen för genomförande och förvaltning av den nationella informationssäkerhetsstrategin innehåller såväl konkreta förslag på åtgärder för att förbättra informationssäkerheten i Sverige som mer långsiktiga åtgärdsplaner. Handlingsplanens förslag syftar till att hantera sådana risker som identifierats bland annat med utgångspunkt från denna lägesbedömning. Lägesbedömningen bygger i huvudsak på information från djupintervjuer med aktörer inom såväl offentlig som privat sektor, öppna källor, fördjupningsstudier samt en enkätundersökning riktad till statliga myndigheter. Rapporten bygger på såväl öppet som hemligt material. Det är emellertid en öppen rapport då känslig information har kunnat verifieras med öppna källor eller har lyfts upp till en generell nivå. Arbetet med att identifiera och prioritera viktiga frågor har skett i samverkan med bland andra samverkansgruppen för informationssäkerhet (SAMFI) samt KBM:s informationssäkerhetsråd och dess arbetsgrupp för näringslivsfrågor. 6

7 2 Uppföljning av 2007 års lägesbedömning Detta kapitel är en sammanfattande uppföljning av ett flertal av de slutsatser som presenterades i föregående års lägesbedömning. Föregående års slutsatser är kursiverade och texten som följer utgör uppföljningskommentarer. Det saknas idag en samlad inventering av hur myndigheter, kommuner och landsting anslutits till Internet. Det finns ingen direkt indikation på akuta sårbarheter hos samhällsviktiga Internetanslutningar. Däremot är det väsentligt att få en samlad bild av hur det allmänna anslutit sig. Stiftelsen för Internetinfrastruktur har tillsammans med KBM under året genomfört en undersökning avseende nåbarheten i domännamnsystemet (DNS) i.se samt viktiga parametrar för e-post och webb. Undersökningen omfattar över 800 domäner och över 1000 olika namnservrar hos bland annat kommuner, landsting, banker och finansbolag samt statliga bolag. Undersökningsresultatet utgör underlag för lägesbedömningen och behandlas särskilt under kapitel 5. KBM avser att under 2008 fortsätta kartläggningen, bland annat genom en uppföljande studie. Säker elektronisk identifiering är en grundförutsättning för fungerande e-tjänster i samhället. Det är samhället som sörjer för att alla medborgare tilldelas en unik identitet. När allt fler vardagsärenden digitaliseras faller det sig därför också naturligt att samhället åtar sig ett omfattande ansvar avseende ett ramverk för elektronisk identifiering. Det gäller här att få fram enkla metoder som når allmän spridning. Därför borde detta område prioriteras i statens satsningar på informationssäkerhetsområdet. Verva har i uppdrag av regeringen att skapa säkert elektroniskt informationsutbyte och säker hantering av elektroniska handlingar i statsförvaltningen. I juni 2007 presenterades en skiss till färdplan för hur förvaltningen ska driva utvecklingen så att e-legitimation blir en lika självklar del i människors vardag som traditionella id-kort. Regeringskansliet har tagit fram en handlingsplan för att förbättra sin egen samordning avseende det strategiska e-förvaltningsarbetet. Målet är att Sverige skall vara ledande inom e-förvaltningsområdet år Handlingsplanen syftar till att förverkliga detta genom dess fyra insatsområden; regelverk för myndighetsövergripande samverkan och informationshantering, tekniska förutsättningar och IT-standardisering, gemensamma verksamhetsstöd, kompetensförsörjning och samlad uppföljning samt förvaltningens kontakter med medborgare och företagare. Alla insatsområden ska redovisas den 31 december Regeringen föreslår i en lagrådsremiss att Sverige ska följa EU:s rambeslut om angrepp mot informationssystem. Rambeslutet innehåller bestämmelser om vilka handlingar som ska vara straffbelagda samt vilken påföljden blir. Kriminaliseringen innebär exempelvis att tillgänglighetsattacker blir straffbara. För att detta ska kunna realiseras krävs det att Sverige utvidgar bestämmelsen om dataintrång i brottsbalken. Dataintrångsbestämmelsen kommer även att straffbelägga försök, förberedelse samt medverkan till sådana typer av brott. Ändringarna i föreslås träda i kraft den 1 juni Riksdagen antog lagändringen vilket innebär att DDoS-attacker och andra så kallade tillgänglighetsattacker blev straffbara från och med den 1 juni

8 Då det är konstaterat att många sårbarheter kan kopplas till den interna organisationen är det viktigt att se till att informationssäkerhetsfrågorna lyfts upp på ledningsnivå. Det är viktigt att det ges rätt förutsättningar för att kunna upprätthålla god informationssäkerhet. LIS, är som tidigare konstaterades, ett bra ramverk som ger handledning i hur man inför ett ledningssystem för informationssäkerhet i verksamheten. KBM anser att det bör finnas en grundläggande säkerhetsnivå för informationssäkerhet i samhället. Verket för förvaltningsutveckling (Verva) föreslog mot slutet av 2007 en föreskrift för myndigheters tillämpning av informationssäkerhetsstandarder (VERVAFS 2007:2). Föreskriften innebär att tillämpning av standarderna ISO/IEC och blir obligatorisk för statliga myndigheter. Denna föreskrift gäller från och med 1 januari Det har visat sig att många myndigheter generellt välkomnar fler krav och direktiv på detta område. Standarder, metodikstöd och rådgivning har särskilt efterfrågats. I den handlingsplan som KBM presenterar senare finns förslag på olika typer av stöd för myndigheternas arbete med standarder. 8

9 3 Utvecklingstendenser 3.1 Övergripande tendenser på samhällsnivå Området informationssäkerhet har fått stor offentlig uppmärksamhet under det senaste året. De omfattande nätattackerna mot Estland i april-maj aktualiserade på ett mycket konkret sätt behovet av ett nationellt försvar mot liknande händelser i Sverige. Återkommande rapporter om driftstörningar och andra IT-relaterade incidenter hos offentliga organisationer har under året illustrerat hur det brister i det allmännas hantering av sin informationssäkerhet, en fråga som även Riksrevisionen lyft fram. Samtidigt fortsätter IT-kriminaliteten att utvecklas och finna nya former, vilket i sin tur ställer allt större krav på våra rättsvårdande myndigheter får betraktas som året då begreppet cyberkrig myntades på allvar. I samband med omfattande kravaller i Estland i slutet av april utsattes informationssystem i landet för massiva tillgänglighetsattacker. Attackerna pågick under flera veckor. Fenomenet fick snabbt beteckningen Cyber Riots (cyberkravaller) och händelserna gavs uppmärksamhet i massmedia över hela världen. Några mer bestående skador på system eller infrastruktur tycks attackerna dock inte ha resulterat i. Men händelserna ger likväl en antydan om vilka nya möjligheter som nu står till buds för att i organiserad form angripa ett helt land via Internet. Hotbilden mot annan kritisk infrastruktur har också uppmärksammats. Speciellt gäller det nätangrepp mot digitala kontrollsystem kopplade till samhällsviktiga system, exempelvis energiförsörjning och vattendistribution. Här har flera svenska myndigheter och andra aktörer idag etablerat ett mycket aktivt samarbete. Nyligen bekräftades denna hotbild via amerikanska rapporter om lyckade hackarangrepp mot flera stora eldistributionsnät, där attackerna uppges ha slagit ut energiförsörjningen i hela städer. Nätangreppet mot Estland var det mest tydliga exemplet på cyberkrigföring under året. Men det sker också liknande utveckling inom traditionell terrorism. När IT-terrorism kommer att bli mer utbredd beror till stor del på angriparnas förmåga. Under året har det börjat diskuteras om martyrskapet kan vara på gång att tappa sin attraktionskraft. Många av dagens terrorister är sannolikt mer intresserade av att penetrera nätverk. Än så länge är kunskaperna om angreppsmetodik föga utbredda bland traditionella terroristgrupper, men fler och fler lär sig i takt med att den nya teknikens möjligheter blir allt tydligare. Terrorhotet mot Sverige kan dock inte betraktas som särskilt stort idag. Däremot finns det en möjlighet att personer arbetar med den sortens verksamhet i Sverige, men enbart använder landet som utgångspunkt för sina aktiviteter. Hotet kan dock snabbt växa i takt med ett ökat internationellt engagemang från svensk sida, till exempel genom medverkan i internationella militära insatser. Den kriminella Internetverksamheten omsätter mycket stora belopp idag och det finns inget som tyder på att utvecklingen kommer att stanna av. Det är emellertid svårt att bedöma hur stor andel av de svenska IT-brotten som är av allvarlig karaktär och har möjlighet att påverka samhällets funktion. Här saknas det fortfarande ordentlig genomlysning. Angreppen mot enskilda datoranvändare tycks dock inte visa tendenser att mattas av. Nätfiske riktat mot svenska Internetbankkunder inleddes redan under 2006, och skapade då stor uppmärksamhet i massmedia. Men det fortsatte även under 2007, varvid metoderna förfinades. Angreppen är idag mycket svåra att värja sig mot. Under samma period har även annan angreppsmetodik utvecklats så att skadlig kod inte längre sprids genom storskaliga attacker utan snarare i mindre skala och med riktad verkan, 9

10 varvid angriparen lättare undviker upptäckt. Tillverkarna av säkerhetsprogram hinner därmed inte ta fram motmedel i samma takt som angreppen skiftar skepnad. Utvecklingen går hand i hand med en mer långsiktig trend där individuella, nyfikenhetsmotiverade angrepp ersätts av alltmer organiserade angrepp med kriminella motiv. Vi kan med utgångspunkt från europeisk statistik räkna med att det numera kapas något tusental datorer dagligen i Sverige genom angrepp med skadlig kod. Aktiviteten på botnätsområdet har inte minskat. Under sommaren och hösten 2007 fick ett botnät med namnet Storm stor uppmärksamhet. Storm uppnådde ett maximum under hösten och uppgavs då globalt bestå av mellan 50 och 70 miljoner datorer i ett enda samlat botnät. Dessa botnät har potential att utvecklas till ett växande samhällsproblem. Vissa av dem har försetts med motmedel som slår tillbaka mot dem som försöker kartlägga verksamheten. Det är numera fullt möjligt att köpa botnät, få servrar hackade, skaffa sig tillgång till bankkonton och mycket mer på strikt kommersiell bas. Dessutom blir det allt lättare för kriminella att knyta till sig kompetens i takt med att hackarsektorn professionaliserats. Internationellt finns det idag en yrkeskår av hackare som på heltid förser kriminella med tekniska lösningar. År 2007 har även kännetecknats av en rad rapporter om driftsäkerhetsproblem, dator- och näthaverier som påverkat tillgången till information eller orsakat störningar i viktiga samhällsprocesser. Som exempel blockerades regeringens webbplats tillfälligt vid ett tillfälle under senvåren. Ett omfattande sändningsavbrott hos Teracom skapade störningar i TV- och radioutsändningar, och flera mer omfattande driftstörningar har under 2007 drabbat system inom bland annat domstolsväsendet och sjukvården. Offentliga organisationers IPtelefonisystem har flera gånger under året drabbats av störningar. De flesta myndigheter ser idag att deras sårbarhet ökar i takt med att utbudet av e-tjänster byggs ut. Verksamhetsexponering på Internet leder till ökad sårbarhet och frågan om säker identifiering betraktas som bekymmersam. På sistone har det skett incidenter där stora mängder stulna lösenord hamnat i omlopp. I samband med dessa incidenter har det även visat sig att många användare utnyttjar samma lösenord för olika tjänster. Detta är förstås oacceptabelt, men händelserna indikerar likväl att det kan brista i rutinerna, eller åtminstone hur lösenordsregler efterlevs. I en enkätundersökning riktad till ett antal myndigheter, uppgav drygt hälften att de råkat ut för någon typ av incident under året. Incidenterna har varit av olika karaktär, och har innefattat allt från skräppost, virusangrepp och mer avancerade, underrättelsebaserade attacker till incidenter med orsaker som den mänskliga faktorn, bristande rutiner och driftproblem. Bland de myndigheter som uppger att de inte varit utsatta kan det inte uteslutas ett större mörkertal, med tanke på att de kan ha varit utsatta utan att ha fått kännedom om det. Av de incidenter som har identifierats har de flesta varit av sådan karaktär att befintliga system klarat av att hantera dem. Det finns något undantag, där myndigheten förefaller ha varit utsatt för en mer riktad attack. 3.2 Utveckling på organisatorisk nivå Regeringskansliet har nyligen tagit fram en handlingsplan för att förbättra sin egen samordning avseende det strategiska e-förvaltningsarbetet. Hanteringen av e-fakturor har reglerats i föreskrifter som kommer att träda i kraft vid halvårsskiftet Dessutom föreskrev Verva i slutet av 2007 att statliga myndigheter måste anpassa sin 10

11 informationssäkerhet till det ramverk som beskrivs i standardserien ISO (Ledningssystem för informationssäkerhet, LIS). Myndigheterna ska tillämpa LIS. Ett steg på vägen för att uppfylla kraven enligt LIS kan vara att använda KBM:s råd och rekommendationer för en basnivå för informationssäkerhet (BITS och BITS Plus). På certifieringsområdet har Försvarets Materielverk och dess certifieringsenhet för Common Criteria, CSEC, under året slutfört processen för att godkännas som certifieringsorgan (Certification Body, CB) inom det multilaterala samarbetet CCRA. Sverige är nu godkänd som certifikatutgivande nation. Sättet på vilket myndigheterna går mot ett näringslivstänkande kan också innebära ökad sårbarhet. När system outsourcas eller börjar kopplas ihop för marknadsanpassning är de som står för besluten sällan medvetna om vilka risker detta medför. Internationellt går det att se en trend idag av hur information börjas delas på flera parter, rättighetshantering läggs ut och liknande. Sådana åtgärder kräver emellertid också ett genomtänkt säkerhetsarbete. Storbritannien är ett exempel på hur man löst situationen genom en uppdelning mellan sektoransvarig myndighet, leverantör och en speciell myndighet för informationssäkerhetsrelaterad tillsyn. 3.3 Utveckling på individnivå Antalet svenska Internetanvändare ökar inte längre nämnvärt enligt Statistiska centralbyrån. De befintliga användarna blir emellertid allt flitigare i sin användning av Internet. Under våren 2007 använde 71 procent en bredbandsanslutning till Internet, vilket är en markant ökning jämfört med våren 2005 då motsvarande andel var 44 procent. Internet används mest frekvent för att söka information om varor och tjänster, skicka och ta emot e-post samt för att göra bankaffärer. Cirka hälften av alla personer i åldern år använde under första kvartalet 2007 Internet för att hämta information från myndigheters webbplatser. Drygt 10 procent av de tillfrågade har under det senaste året råkat ut för datavirus som resulterat i förlust av data eller tid. Det är fortfarande ovanligt att privatanvändare tar säkerhetskopior eller backup på materialet på datorn hemma. Sociala nätverk av olika slag tycks få en alltmer betydande roll bland Internetanvändarna. Under det senaste året har flera webbtjänster för social samverkan fått vid spridning bland svenska nätanvändare. Tyvärr innebär användningen påtagliga integritetsrisker. Användarna är ofta omedvetna om hur många som får åtkomst till deras personuppgifter. Detta kan utgöra ett hot om nätverken infiltreras och det görs sammanställningar av digitala personakter, kanske i syfte att utföra identitetsstölder eller företagsspionage. De virtuella ekonomiska marknader som uppstått kring onlinespel är inte lagreglerade vilket gör dem intressanta för kriminella. Även detta utgör ett problem. Den anonymitet som erbjuds kan utnyttjas för att tvätta pengar och användare kan bli lurade att ladda ner skadlig kod. Även fildelning kan leda till nedladdning av skadlig kod. Fler än en miljon svenska datoranvändare använder sig idag av fildelningsprogram. 11

12 4 Antagonistiska hot Hot mot verksamheter och tillgångar kan antingen vara antagonistiska med tydliga avsändare eller oavsiktliga som till exempel naturkatastrofer och tekniska fel. Förutsättningarna för dessa två typer av hot skiljer sig åt på en rad punkter och därför kommer de att redovisas i separata genomgångar där detta kapitel enbart fokuserar på aktörsbundna IT-relaterade hot. Sårbarheter, som fallerande skydd och bristande rutiner, bidrar till att hot realiseras. Skillnaden mellan en sårbarhet och ett icke antagonistiskt hot är ibland hårfin och dessa beskrivs följaktligen tillsammans i kapitel 5. De antagonistiska hoten, förutsätter en angripare (antagonist) och inbegriper dennes avsikt och förmåga att genomföra skadliga handlingar. Förmåga i detta sammanhang utgörs av de samlade möjligheter som antagonisten har att omsätta sina resurser (kompetens, ekonomisk styrka, insiderkunskap) i en IT-relaterad attack. När det gäller IT-relaterade hot har aktörerna traditionellt graderats enligt förmåga och motiv, från mindre avancerade script kiddies till hackare och crackare och vidare till organiserade grupper och statsaktörer. Graden av specialisering har antagits öka i takt med mer specifika motiv och ökade resurser, men på senare tid har nya utvecklingstendenser kunnat skönjas gällande både motiv och förmåga. De verktyg som de resursstarka specialisterna utvecklat finns nu tillgängliga även för mindre avancerade aktörer som använder dem i andra syften. Samtidigt har motiven skiftat i allt större utsträckning från ära till ekonomisk vinning. Det är dock viktigt att påpeka att nya hot inte nödvändigtvis ersätter gamla, utan endast kompletterar floran. De olika aktörernas samverkan och utbyte av tjänster ökar alltså gradvis. Konsekvensen blir att samma metoder utnyttjas av aktörer med olika resurser och i olika syften. Detta gör det svårt att ställa upp aktörer och metoder på ett linjärt sätt i förhållande till konsekvenserna för samhället. Visserligen varierar sannolikheten för större skada för samhället i de olika fallen, men även nyfikna script kiddies kan orsaka samhällsproblem trots att det inte var deras syfte. Kapitlet illustrerar några av de centrala företeelserna bland aktörer och metoder som i olika kombinationer utgör hot med potentiella konsekvenser för samhället. Grupperingen är en grov fördelning efter aktörernas bakomliggande motiv. 4.1 Blockering och klotter Under det gångna året har det förekommit flera uppmärksammade hackarattacker mot webbplatser både i Sverige och i utlandet. I anslutning till debatten om Lars Vilks teckning av profeten Muhammed som rondellhund noterades en ökning av överbelastningsattacker och intrång mot svenska webbplatser. Efteråt pågick också ett så kallat hackarkrig mellan svenska och turkiska hackare, där aktörerna växelvis publicerade aggressiva budskap på hackade webbplatser. I början av 2008 noterades flera intrång mot olika medlemssidor där angriparna offentliggjorde användarnas inloggningsuppgifter. Även en kvällstidning utsattes för angrepp från en hackargrupp som påstår sig ha haft tillgång till delar av tidningens system över en längre tid. Många av dessa attacker har, åtminstone till synes, haft ett enkelt syfte att demonstrera den egna makten eller målets sårbarhet. I vissa fall har politisk övertygelse framförts som orsak, men det är osäkert om det ändå inte handlat om hobbyhackare, enskilda individer eller löst sammansatta grupper med liknande intressen, som använt den 12

13 allmänna debatten som förevändning för sitt klotter. Det kan också röra sig om personer med insiderkunskap om målsystemen, till exempel anställda eller konsulter. De metoder och verktyg som används för att hacka in sig på webbplatser är ofta allmänt kända och sällan specialutvecklade av aktören i fråga. Som till exempel attackerna mot vissa webbplatser med personlig inloggning där angriparna använde sig av SQL-injektioner som utnyttjade kända sårbarheter i databaserna. Dylika manifesteringar har sällan som syfte att vålla någon större skada. Däremot kan röjda användaruppgifter och manipulering av webbplatser, särskilt mediernas, skapa stor oro bland allmänheten. I förlängningen kan hackarverksamheten således bli en viktig fråga om förtroendet för elektroniska tjänster. Andra följdeffekter är att känsliga data som sprids, till exempel personuppgifter, kan snappas upp av andra aktörer med mer illasinnade syften. Om demonstrationerna inbegriper blockering av tillgänglighet till system och information, försämras målets kommunikationsförmåga, det vill säga viktig information till allmänheten kan fördröjas och tjänster kan inte utnyttjas. Under 2007 har bland annat sådana centrala informationskällor som regeringens samt finska rundradions webbplatser utsatts för åtkomstattacker. Det som skedde i Estland krävde dock mer omfattande koordinering än vad några enskilda hackare kan åstadkomma. 4.2 Den IT-relaterade brottsligheten förfinas Samtidigt som gamla hot gör sig påminda sker också en förfining av metoder och skiftning av motiv. Där det förr räckte med ett erkännande för kunskaperna vill aktörerna nu tjäna pengar på dem och detta i allt större grad på brottsliga sätt. Den asymmetri som informationsteknologin erbjuder brottslingar, gör arenan till ett lockande alternativ till bankrån eller annan traditionell brottslighet. Anonymiteten, den tillgängliga tekniken och den hittills låga risken för att åka fast kan antas vara bidragande orsaker till den ökade ITrelaterade brottsligheten. Mycket tyder också på att IT-brotten i allt större utsträckning bedrivs av välorganiserade grupper med betydande resurser. De mer tekniskt specialiserade aktörernas kunskaper finns tillgängliga och till salu för kriminella grupper. IT-brottsligheten bedrivs än mer målmedvetet och mer sofistikerat. Kriminella grupper utgör omfattande nätverk med olika roller uppdelade på flera olika länder. Europeiska nät- och informationssäkerhetsbyrån, ENISA, har observerat fenomenet i bland annat Brasilien, USA, Ryssland, Östeuropa, Hong Kong och Kina. För den enskilde svenske användaren fortsätter bedrägerier att vara det vanligaste IT-brottet. Under 2007 märktes en stor ökning av nätbedrägerier, främst på så kallade auktionssajter. Nätbedragarna dras dit pengarna rör sig, vilket idag i första hand betyder Internetbanker och e-handelstjänster. Språkbarriären har tidigare isolerat Norden, vilket gjort att användarna inte varit mentalt förberedda på de senaste årens bedrägeriförsök. I Sverige drabbades ett stort antal bankkunder av en nätfiskekampanj i slutet av 2006, och verksamheten fortsatte under För den här typen av bedrägerier är det vanligt att pengarna slussas vidare via så kallade målvakter som lånar sina konton åt bedragarna, ibland till och med omedvetna om att de begår en brottslig handling. Detta gör att de egentliga gärningsmännen är svåra att spåra upp och att brottsutredarna endast kommer åt de inhemska målvakterna, som i fallet ovan där flera av dessa åtalats. Enligt en studie som Finansinspektionen gjort om brottsliga angrepp mot Internetbanker hade antalet lyckade Internetangrepp mot kunders konton i Sverige ökat från 10 till 300 från

14 till Relaterat till transaktionernas enorma ökning över tid, anses omfattningen ändå vara begränsad. Det har också skett angrepp mot en svensk Internetbank, där angriparen har handlat från kundernas konton i syfte att påverka priset på värdepapper. Angreppen anses inte ha varit oerhört avancerade, vilket de med all sannolikhet kommer att bli framöver enligt bankerna, som även förväntar sig fler hot i framtiden. Man-i-mitten-attackerna ändrar skepnad kontinuerligt. Det blir också svårare för den enskilde att verifiera webbplatsernas legitimitet. Det saknas för närvarande en heltäckande bild av hur stora belopp som bankbedrägerierna omsätter i och med att bankerna inte behöver rapportera alla incidenter till Finansinspektionen. Än så länge har bedrägerierna främst riktats mot privatpersoner, men om de kriminella väljer att rikta sina angrepp mot företagskunder kan de ekonomiska konsekvenserna bli mer omfattande. En annan form av brott som det inte finns lika många anmälda fall av är utpressning av individer och organisationer. Angriparen kan till exempel hota med att sprida känsliga uppgifter och affärshemligheter eller blockera eller förstöra informationssystem och data. I grund och botten använder kriminella aktörer och organiserade grupper tidigare kända men förfinade metoder. Till exempel är det språk som använts i nätfiske mot svenska bankkunder mycket bättre än tidigare. Attackverktygen, som trojanerna, är också oftare skräddarsydda för ändamålet. Antalet trojaner fortsätter för övrigt att växa och utgör den i särklass största gruppen av skadlig kod som observeras. Förutom att trojanerna blir mer specifika, sprids de också via nya kanaler som snabbmeddelandesystem och webbaserade sociala nätverk. Social manipulering används i allt större utsträckning för att sprida trojaner och annan skadlig kod, bland annat genom de möjligheter som olika communities erbjuder. Ett allt vanligare sätt för spridning av skadlig kod, för åtkomst till individers datorer och information, är manipulering av legitima webbplatser. Angriparna riggar dessa med program som obemärkt laddas ner av besökarna. Programmen är dessutom ofta kapabla att dölja sig och använder antiforensiska metoder för att förhindra bekämparna att samla prover och analysera koden. Botnäten fortsätter att utvecklas och utgör ett vanligt verktyg som nyttjas av kriminella till allt från identitetsstölder till blockering vid utpressning. Antalet kapade datorer i världen uppskattas uppgå till tiotals miljoner. Särskilt drabbade är Kina, USA, Tyskland, Spanien och Frankrike. Även i Sverige uppskattas minst hundratusen datorer ingå i något botnät. Det ökända Stormnätet fortsätter att förbrylla forskare med sin förmåga att ändra skepnad och slå tillbaka mot inkräktare. Botnätsadministratörerna jobbar hårt på att göra näten mer osynliga och svårupptäckta, bland annat genom att spjälka upp dem i mindre enheter samt att ändra styrningen från kommandoservrar till decentraliserade mekanismer som liknar peer-to-peernät. Botnäten är effektiva spridningsverktyg och kan användas för att sprida desinformation i stor skala, till exempel i syfte att påverka marknaden för finansiella instrument. Kunskapen om botnät verkar dock inte ha ökat bland Internetanvändarna. Ofta vet människor inte om att deras datorer har blivit kapade och även om de gjorde det, vet de inte vad de kan göra åt saken. I takt med utbyggd bandbredd hos hushållen, ökar också slagstyrkan hos ett botnät av infekterade hemdatorer. Samlade i ett enda botnät skulle Sveriges 2,5 miljoner bredbandsanslutna hushåll i teorin kunna få en total kapacitet som är åtminstone gånger så stor som hos den största attackvåg som kunde observeras i Estland under våren

15 För att kunna tackla problemen med botnät krävs det ett nära samarbete mellan olika rättsvårdande myndigheter, Internetleverantörer och privata aktörer. Fler makthavare behöver dessutom bli medvetna om problemet och lagstiftning inom området harmoniseras för att kunna åtala cyberkriminella. Ett problem med att bedöma IT-kriminalitetens konsekvenser för samhället är det stora mörkertalet. Företag och organisationer drar sig fortfarande för att anmäla brott i rädsla för att skada sitt eget rykte. Därmed är det ytterst svårt att veta omfattningen på de olika typer av IT-brott som kan påverka samhället. Till exempel ger de svenska bankerna inga tecken på att vara särskilt oroade, medan trenden i Europa visar på fler bedrägerier vilket istället oroar Interpol. IT-brott mot banker och värdepappersinstitut skulle i förlängningen kunna hota allmänhetens förtroende för det finansiella systemet. Bedömningen är att angreppen för närvarande inte hotar stabiliteten. Mycket av IT-brottsligheten bygger på utnyttjande av olika slags personuppgifter som bankkonton, inloggningsuppgifter, personnummer och kreditkortsuppgifter. Handel med dylika uppgifter är vanligt förekommande i hela världen, något som kan ha effekt på användarnas beteende. Även för e-förvaltningen är förtroendet för tjänsterna den springande punkten och IT-kriminaliteten utgör ett av de största hoten mot att myndigheternas e-tjänster utvecklas vidare och att fler medborgare utnyttjar dem. Det har även förekommit fall där svenska myndigheter har blivit utsatta för incidenter som syftar till att påverka deras beslutsprocess. 4.3 Direkta IT-relaterade angrepp mot samhället Detta avsnitt uppmärksammar särskilt sådana fall där antagonisten har som uttalad avsikt att skada det offentliga eller producenter av sådant som kan anses vara samhällsviktiga förnödenheter och tjänster, som till exempel elbolag och transportföretag. Målet kan också vara informationshämtning, men då på en nivå som hotar rikets säkerhet. Vid IT-relaterade angrepp mot kritisk samhällsinfrastruktur eller staters informationstillgångar skiljer sig metoderna något från dem som beskrivits i tidigare avsnitt. Detta främst genom behovet av avancerad underrättelseverksamhet. Kritiska faktorer för verkställandet av hoten är aktörens resurser som tid och pengar. Terroristorganisationer och statsmakter kan givetvis samarbeta och beställa tjänster från andra aktörer också. Exempel på samarbete mellan kriminella förmågor och terrorister med religiösa motiv har förekommit. När det gäller tillgång till känslig information och känsliga system är insidern en central aktör. Organisationer med kännedom om vikten av sina informationstillgångar är benägna att skydda dem efter bästa förmåga. Externa aktörer får därmed svårare att göra intrång om de saknar insiderkunskap eller en person på insidan. Ett problem är att insiderverksamhet är svårare att upptäcka i och med att personen ofta har legitim åtkomst till kritiska informationstillgångar. Konsekvenserna kan bli särskilt allvarliga om det till exempel rör sig om företagsspionage inom verksamheter av särskild betydelse för svenska intressen. Insidern kan givetvis agera på egen hand också och med olika motiv, som till exempel sabotage i hämndsyfte. Som exempel kan nämnas skadegörelsen under året mot en myndighets ITsystem då en anställd avsiktligt flyttade och raderade filer i nätövervakningssystemet. Personen hade systemrättigheter till systemets mest kritiska delar. Den missnöjde arbetstagaren är inget nytt hot, men i de fall personen har tillgång till informationstillgångar av kritisk natur för samhället är risken givetvis stor att även konsekvenserna blir allvarliga. 15

16 4.3.1 Cyberkrig och terrorism Cyberkrigföring och statsmakters IT-baserade underrättelseverksamhet spås växa i omfattning framöver och under 2007 rapporterades fler fall av detta än någonsin tidigare. Bland annat har amerikanska myndighetssystem utsatts för intrångsförsök som sägs härstamma från främmande stat. I juni 2007 uppmärksammades en attack mot Pentagon och det amerikanska försvarsdepartementets e-postsystem som ledde till att över 1500 datorer fick kopplas bort från nätet. Även Tyskland och Storbritannien har uppgett att de under 2007 varit föremål för fler attacker än tidigare år mot nationella myndigheter. Som exempel drabbades den tyska premiärministerns kansli av intrång. De attacker som skett har varit mer sofistikerade och specifikt utformade för att undgå upptäckt. Allmän nyfikenhet har ersatts av specifika mål som politisk, ekonomisk och teknisk vinning. Enligt analytiker på NATO är många stater omedvetna om de hot som finns mot dem och att de är öppna för attacker. Ett flertal länder uppges utveckla teknik för att kunna angripa andra länders informationssystem. Attackerna mot Estland har ytterligare aktualiserat frågan om cyberkrigföring och den har hamnat på dagordningen i internationella fora som Nato, EU och FN. För Sveriges del bedöms hotet om externa angrepp mot nationella mål vara lågt för närvarande. Däremot kan exempelvis svensk spetsteknologi och forskning vara av intresse för statliga aktörer. Traditionellt har terrorister använt Internet för rekrytering, bred informationsinhämtning och kommunikation. Den nya cyberterrorismen visar dock samma tecken på specialisering som IT-kriminaliteten och handlar nu bland annat om kartläggning av sådana verksamheter där ett angrepp kan orsaka stor skada. Det finns bland annat indikationer på att religiösa lärosäten kan komma att utvecklas till plantskolor för cyberterrorister. I takt med ökad IT-mognad ökar också risken för att avancerade IT-attacker används i kombination med fysiska terrorhandlingar. Att terrorister har flyttat ut sin verksamhet på Internet har medfört vissa problem för flera nationer då deras lagstiftning hindrat dess rättsväsende att vidta nödvändiga åtgärder för att följa verksamheten på ett effektivt sätt. Den belgiska polisen uppger till exempel att terroristerna sedan länge upphört med att sköta sina kontakter via mobiltelefoner och numera helt gått över till att använda sig av säkra webbsidor dit den belgiska polisen inte har någon åtkomst på grund av bestämmelser i lagen. Åklagare efterfrågar därför en ändring av dessa förhållanden för att hindra terroristerna att ligga steget före. Även den tyska polisen har uppgett att en rådande brist på specialister som kan utföra Internetbaserad efterforskning leder till ett ökat terrorhot. Den tyska inrikesministern uppges efterfråga det skyndsamma införandet av en särskild lag som ger polisen möjlighet att i vissa fall genomföra hemliga efterforskningar via Internet Angrepp mot digitala kontrollsystem I dagsläget består den största delen av den öppna informationen om IT-relaterade incidenter i digitala kontrollsystem av anekdoter och övergripande beskrivningar av ett fåtal händelser. Tyvärr saknas många relevanta tekniska detaljer, även när det gäller de publikt uppmärksammade incidenterna. I de öppna incidentdatabaser som finns saknas vanligen sökbara begrepp som relaterar specifikt till digitala kontrollsystem. De databaser som endast behandlar incidenter i kontrollsystem är inte publikt tillgängliga. Vidare saknas etablerade standarder för incidentrapportering inom området, och den här informationen uppfattas ofta som mycket känslig. 16

17 Det kan även finnas formella skäl till varför informationen inte kan rapporteras, till exempel i de fall där informationen berör rikets säkerhet. Sammanfattningsvis är det mycket svårt att ge någon entydig bild av de antagonistiska hoten mot digitala kontrollsystem i samhällsviktiga verksamheter. Området har behandlats vid hackarkonferenser sedan många år tillbaka, och relativt detaljerade tekniska diskussioner pågår i olika forum. Under senare år verkar området även ha fått en ökad uppmärksamhet bland mindre kvalificerade hackare och begagnad utrustning som används i kontrollsystem efterfrågas, och erbjuds, i olika sammanhang på Internet. CIA presenterade för första gången någonsin sin syn på hoten mot digitala kontrollsystem vid SANS SCADA Summit i New Orleans i januari Enligt den öppna presentationen känner man till ett flertal intrång i infrastruktursystem utanför USA vilka även följts av utpressningsförsök. CIA misstänker, men kan inte bekräfta, att i några av dessa fall har angriparna haft hjälp av insiders. Vidare har IT-relaterade attacker stört utrustning i elsystem i ett flertal regioner utanför USA. I åtminstone ett fall har en IT-relaterad attack lett till ett samtidigt elavbrott i flera städer. Intrång i digitala kontrollsystem beskrivs som vanligare än vad som ansetts hittills och externa attacker via Internet har förekommit. Hittills har man inte sett några IT-relaterade attacker som gett fysiska skador eller ekonomiska förluster som följd av långa eller geografiskt utspridda störningar. CIA:s öppna presentation innehöll inte några närmare tekniska detaljer eller uppgifter om vilken typ av angripare det handlat om. Informationen är ändå betydelsefull, främst av den anledningen att ingen annan säkerhetsmyndighet hittills officiellt gått ut och bekräftat att man känner till specifika angrepp mot digitala kontrollsystem. 17

18 5 Sårbarheter och risker Sårbarhet betecknar säkerhetsbrister av såväl teknisk som administrativ karaktär. I detta kapitel har vi även valt att inbegripa företeelser som brukar benämnas icke antagonistiska hot, eftersom dessa är starkt sammankopplade med sårbarheter. Med icke antagonistiska hot avses exempelvis naturkatastrofer, olyckor, tekniska fel och mänskliga misstag. IT-incidenter beror i högre grad på administrativa än tekniska sårbarheter. Enligt myndigheternas egna uppskattningar har två tredjedelar av inträffade incidenter under 2007 möjliggjorts av administrativa sårbarheter samt sådana orsaker som kan kopplas till den mänskliga faktorn. 5.1 Administrativa sårbarheter Riksrevisionens granskning av regeringens styrning av informationssäkerhetsansvariga myndigheter Riksrevisionen publicerade under 2007 en granskning av regeringens styrning av informationssäkerhetsarbetet inom den statliga förvaltningen. Riksrevisionens samlade bedömning är att det inte gjorts tillräckligt för att följa upp och kontrollera den interna styrningen av informationssäkerheten vid myndigheterna. Regeringens strategi inom informationssäkerhet ger inte någon tydlig vägledning till myndigheterna, utan är mer allmänt hållen. Vidare konstaterar Riksrevisionen att expertmyndigheterna inte har givits tillräckligt tydliga mandat vilket försvårat arbetet med att förmedla en samlad bild från myndigheterna. Även själva organiseringen av arbetet inom regeringskansliet bedöms av Riksrevisionen vara otillräcklig för att kunna hantera myndigheternas informationssäkerhetsfrågor. Regeringens organisering av informationssäkerhetsarbetet kan också påverka hur Sverige bedriver detta arbete inom EU. Sverige bedöms ha stora möjligheter att påverka EU:s politik på detta område. Att agera vid rätt tidpunkt är emellertid minst lika viktigt som hur och med vem det sker. Svenska representanter behöver därför vara uppdaterade på vilken övergripande informationssäkerhetspolitik som Sverige vill bedriva och dessutom vilka personer de ska samverka med samt vilka som har kunskaper i sakfrågor och processer. Idag har Sverige aktörer från departement, myndigheter, näringsliv och universitet som är engagerade i olika delar av EU:s informationssäkerhetsarbete. För att mer effektivt kunna påverka från de olika sektorerna krävs en samlad och konsekvent generell linje från svensk sida Bristande förmåga att hantera storskaliga attacker Erfarenheterna från bland annat händelserna i Estland våren 2007 visar att det vid en storskalig attack är betydelsefullt att upprätthålla en gemensam lägesbild. Det är oklart hur Sverige skulle lösa den uppgiften vid en liknande allvarlig händelse och vilka aktörer som skulle ta på sig arbetet. Under normala förhållanden förefaller Sveriges nätoperatörer samarbeta väl idag. Vad som däremot är mer osäkert är hur situationen skulle hanteras vid ett större nätangrepp mot svenska intressen. Sverige har idag inte någon effektiv mekanism för att upptäcka störningar och angrepp i nättrafiken och kan inte därför upprätthålla någon generell lägesbild. Ytterligare en försvårande faktor är att aktörerna bakom de mer kvalificerade attackerna sällan går att spåra. Många attackflöden är kortvariga till sin karaktär och kräver därför att den organisation eller aktör som ska hantera incidenter kan handla snabbt och effektivt. För detta krävs bland annat goda kontakter med nätoperatörer så att flöden kan stängas av så nära källan som 18

19 möjligt, ofta i nät på andra platser i världen. Den svenska staten har inte något större inflytande över dessa procedurer. De baseras på en kombination av informella kontaktnät och affärsavtal mellan operatörer där polisanmälan ofta utgör en förutsättning för att motparten ska strypa trafikflöden eller spärra enskilda användare. Hittills har detta fungerat väl. De flesta normalt förekommande incidenter är ur ett samhällsperspektiv små och berör egentligen inte staten. Men om staten står utanför det operativa informationsflödet vid normaltillstånd kommer motsvarande att gälla även i en kritisk situation. Detta är ett dilemma. Efter händelserna i Estland har frågan om hantering av storskaliga nätangrepp aktualiserats i flera internationella organ, och diskussionen om cyberförsvar har nu på flera håll börjat fokuseras på myndigheternas kontroll över tillståndet i sina egna nät. Myndighetsnäten kallas med ett samlingsnamn ofta för govnet (government network). I mindre länder med mer eller mindre samlade myndighetsnät är det relativt okomplicerat att upprätthålla kontroll över trafiken i dem. I större länder eller länder med mer spridd nätstruktur krävs det däremot särskilda åtgärder för att få en samlad lägesbild av tillståndet i myndighetsnäten. Åtgärderna kan bestå av direkt nätövervakning eller av automatiserad eller manuell avvikelserapportering från de olika myndighetsnäten. För myndigheter inom den svenska statsförvaltningen är det viktigt kunna upprätthålla ett sektorövergripande informationsutbyte mellan myndigheter i samband med en allvarlig händelse. När tillgängligheten i Internet är begränsad eller helt utslagen kan till exempel SGSI (Swedish Government Secure Intranet) utgöra en redundant kommunikationsväg. SGSI kan även nyttjas för kommunikation med EU:s organ och myndigheter. En tydlig sårbarhet i samband med nätangrepp är det begränsade antal personer i Sverige som besitter den operativa erfarenhet som krävs för att hantera omfattande och tidsmässigt utdragna händelser. Kompetensen finns idag huvudsakligen hos nätoperatörerna och det svenska knutpunktsbolaget. Situationen är liknande på andra håll i världen. Vid mycket omfattande incidenter kan det snabbt uppstå behov av ytterligare ledningsstöd, både hos de kommersiellt verksamma nätoperatörerna och i en organisation som hanterar incidenter i myndighetsnät. I det läget krävs personer med mycket speciella erfarenheter, till exempel av loggranskning och analys av trafikdata. Att se till att den kompetensen finns tillgänglig i en tillräckligt vid krets av personer skulle kunna utgöra ett bidrag från samhället till en i övrigt väl fungerande Internetinfrastruktur Myndigheters bristande rutiner och arbetssätt Ett problem med informationssäkerhet är att det skyddsvärda inte alltid är synligt. Människor kan ha svårt att uppskatta det abstrakta värdet som finns i skyddsvärd information. Dessutom kan det vara svårt att bryta mönster på en arbetsplats. Vanans makt är mycket stor när det gäller rutiner och arbetssätt. Säkerhetsanalyser och återkommande tillsynsverksamhet är därför viktiga verktyg. I början av 2008 uppmärksammades en händelse där en anställd vid försvarsmakten glömt kvar ett USB-minne i en öppen datasal i biblioteket vid Stockholms Universitet. Detta minne innehöll dokument om bland annat sprängmedel samt säkerhets- och utbildningsmaterial. Viss del av informationen kom även från USA. Ett annat fall där känsliga uppgifter kom bort inträffade i England under slutet av 2007 då två CD-skivor från det brittiska skatteverket försvann i posten. De innehöll känsliga uppgifter om 19

20 25 miljoner britter däribland detaljerad information om alla brittiska barnbidragstagare. Det var en anställd som kopierade uppgifter om barnbidragsmottagare och skickade två försändelser med bud till den brittiska riksrevisionen varvid den ena inte kom fram. De svenska myndigheterna förefaller arbeta på olika sätt med informationsinsamling om hotbilder och potentiella incidenter. Vissa uppger att de agerar på incidenter i takt med att de uppstår, andra förlitar sig på rapporter från sina nätleverantörer. Somliga förefaller ha goda rutiner och arbetar aktivt med hotbildsanalyser medan andra inte har några rutiner alls. Årliga risk- och sårbarhetsanalyser kan användas som ett sätt att identifiera sårbarheter inom den egna organisationen. Tyvärr verkar informationssäkerhet ännu inte ha någon naturlig plats i dessa analyser. Enbart 15 av de 103 myndigheter som upprättat risk- och sårbarhetsanalyser 2006 har analyserat området informationssäkerhet. Detta trots att det i KBM:s enkätundersökning framkommit att över hälften av de tillfrågade myndigheterna uppgett att riskanalys inom informationssäkerhet ingår i verksamhetens säkerhetsarbete. I Riksrevisionens granskning ansåg de tillfrågade myndigheterna att organisationens informationssäkerhet var tillräcklig eller i något fall behäftad med mindre brister. Det visade sig dock att myndigheterna inte arbetade tillräckligt efter de normer som finns avseende intern styrning och kontroll av informationssäkerheten. Granskningen visade på att brister i säkerhetsarbetet i flera fall lett till incidenter. Exempelvis har det förekommit att handläggare inte kunnat nå nödvändig information på grund av att man misslyckats med att avvärja virusattacker. I andra fall har samhällstjänster blivit tvungna att släckas ned i upp till två veckor och vissa brister på myndigheternas webbplatser har lett till att obehöriga fått tillgång till integritetskänsliga uppgifter. Sådana brister i säkerheten hos myndigheterna som leder till att obehöriga får tillgång till känslig information skulle i förlängningen kunna hota hela den statliga satsningen på e-förvaltning. Ledningens betydelse för informationssäkerheten är något som flera gånger påpekats i tidigare lägesbedömningar. Även Riksrevisionen har under 2007 konstaterat att bristerna bland annat finns på ledningsnivå. Ledningarna är osäkra på vilka uppgifter de själva har i informationssäkerhetsarbetet, vilket i förlängningen leder till att man inte begär tillräckliga eller tydliga underlag om de hot och risker som finns och därmed inte heller kan prioritera arbetet rätt. Ett annat problem tycks vara att de åtgärder som ledningen beslutat om inte efterföljs. Ledningen följer å andra sidan inte alltid upp om säkerheten uppfyller de krav som ställts. En tredjedel av de myndigheter som KBM tillfrågat har inte identifierat, förtecknat eller prioriterat kritiska system för verksamheten. Vidare har en fjärdedel av dem inte inbegripit IT-relaterade kriser i sin krishanteringsplan. Dessutom saknar nästan hälften av myndigheterna en fastställd informationssäkerhetspolicy och drygt hälften saknar såväl ledningssystem för informationssäkerhet som systemsäkerhetsanalyser för sina verksamhetskritiska system. När det gäller myndigheters säkerhetsarbete har det framkommit att det är i själva säkerhetsanalysen bristerna finns. Myndigheter upplever framför allt att det är svårt att definiera vilka saker som kan beröra rikets säkerhet. Svårigheten ligger i att hotbilden förändras i takt med exempelvis saker som händer runt om i världen - samt förändringar i myndighetens egen verksamhet. Detta gör att det inte går att ha någon statisk lista på vad som är skyddsvärt. 20

Vem tar ansvar för Sveriges informationssäkerhet?

Vem tar ansvar för Sveriges informationssäkerhet? Vem tar ansvar för Sveriges informationssäkerhet? 6 åtgärder för förbättrad informationssäkerhet Sälen 2008-01-14 Vem har ansvaret vid en storskalig it-attack? Vem skulle vara ansvarig om Sverige utsattes

Läs mer

Strategi för samhällets informationssäkerhet 2010 2015

Strategi för samhällets informationssäkerhet 2010 2015 Strategi för samhällets informationssäkerhet 2010 2015 Strategi för samhällets informationssäkerhet 2010 2015 1 Förord I dagens informationssamhälle bearbetar, lagrar, kommunicerar och mångfaldigar vi

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet Richard Oehme Chef enheten för samhällets informationssäkerhet Internrevisionen Generaldirektör Överdirektör Kommunikationsdirektör

Läs mer

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23) REMISSVAR DNR: 5.1.1-2015- 0781 Justitiedepartementet 103 33 Stockholm Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23) Riksrevisionen

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Genomförande av direktivet om it-relaterad brottslighet. Arbetsgruppen, ordförande Asko Välimaa, sekreterare Mikko Monto

Genomförande av direktivet om it-relaterad brottslighet. Arbetsgruppen, ordförande Asko Välimaa, sekreterare Mikko Monto 29.4.2014 Publikationens titel Författare Justitieministeriets publikation Genomförande av direktivet om it-relaterad brottslighet Arbetsgruppen, ordförande Asko Välimaa, sekreterare Mikko Monto 27/2014

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

EBITS 2013. Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

EBITS 2013. Totalförsvarets Forskningsinstitut David Lindahl Erik Westring EBITS 2013 Totalförsvarets Forskningsinstitut David Lindahl Erik Westring Demo: Hur går ett angrepp till Något förenklat på grund av tidsbrist..men bara något. Antagonistiska hot Antagonistiska hot är

Läs mer

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1 Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet Under denna gransknings gång har två pågående utredningar haft i uppdrag att hantera mer övergripande frågor som

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Digital strategi för Uppsala kommun 2014-2017

Digital strategi för Uppsala kommun 2014-2017 KOMMUNLEDNINGSKONTORET Handläggare Datum Diarienummer Sara Duvner 2014-04-23 KSN-2014-0324 Digital strategi för Uppsala kommun 2014-2017 - Beslutad av kommunstyrelsen 9 april 2014 Postadress: Uppsala kommun,

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Att hantera överbelastningsattacker 1

Att hantera överbelastningsattacker 1 Att hantera överbelastningsattacker Att hantera överbelastningsattacker 1 Att hantera överbelastningsattacker Myndigheten för samhällsskydd och beredskap (MSB) Layout: Advant Produktionsbyrå AB Tryck:

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Ny samverkan till stöd vid upphandling av kryptolösningar

Ny samverkan till stöd vid upphandling av kryptolösningar Försvarets Materielverk/CSEC 2005 Document ID ED-188 Issue 0.1 Ny samverkan till stöd vid upphandling av kryptolösningar Dag Ströman, Verksamhetschef, Sveriges Certifieringsorgan för IT-säkerhet vid FMV

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon Sammanställt av Bengt-Göran Carlzon Säkerhet på Internet Bristande säkerhet på Internet beror i första hand på 3 saker 1. UOkunskap 2. Slarv 3. Oseriösa användare Informationssäkerhet För mycket skydd

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Försvarsdepartementet

Försvarsdepartementet Ds 2006:1 En strategi för Sveriges säkerhet Försvarsberedningens förslag till reformer REGERINGENS PROPOSITION 2005/06:133 Samverkan vid kris - för ett säkrare samhälle Säkerhetsstrategin Arbetet bör bedrivas

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS, 2013 11 13

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS, 2013 11 13 Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? henrik.christiansson@sakerhetspolisen.se Enheten för InformationsSäkerhet och Bevissäkring i IT-miljö (ISBIT) EBITS,

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Samhällets informationssäkerhet. Lägesbedömning 2009

Samhällets informationssäkerhet. Lägesbedömning 2009 Samhällets informationssäkerhet Lägesbedömning 2009 2 MSB:s kontaktperson: Helena Andersson, 010-240 41 33 Publikationsnummer MSB 0023-09 ISBN 978-91-7383-009-6 3 Förord Myndigheten för samhällsskydd och

Läs mer

Motion nr 17. Angående terrorismen hotar Sverige. Sofia Ridderstad, Nässjö kommun

Motion nr 17. Angående terrorismen hotar Sverige. Sofia Ridderstad, Nässjö kommun Motion nr 17 Angående terrorismen hotar Sverige Sofia Ridderstad, Nässjö kommun Angående: Terrorismen måste tas på allvar och bekämpas Med dagens säkerhetspolitiska läge måste Sverige agera mot den storskaliga

Läs mer

Regler för användning av Riksbankens ITresurser

Regler för användning av Riksbankens ITresurser Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och

Läs mer

En enklare förvaltning - till nytta för medborgare och företag

En enklare förvaltning - till nytta för medborgare och företag Offentliga rummet 2007-05-30 Bo Frändén bo.franden@verva.se 08-5505 5745 Grundfakta om VERVA Enrådighetsverk med ett råd Generaldirektör Lena Jönsson chef för myndigheten 6 Enheter Ca 100 anställda 60

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Certifiering av informationssäkerhet Vad, varför, hur? Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.

Certifiering av informationssäkerhet Vad, varför, hur? Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis. Certifiering av informationssäkerhet Vad, varför, hur? Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Vad är.se? Stiftelsen för Internetinfrastruktur grundades

Läs mer

Riskanalys och informationssäkerhet 7,5 hp

Riskanalys och informationssäkerhet 7,5 hp Riskanalys och informationssäkerhet 7,5 hp Margaretha Eriksson Civ.Ing. och doktorand i informationssäkerhet KTH irbiskonsult@tele2.se Föreläsning 1 Vad menar vi med säkerhet? Säkerhet är en grad av skydd

Läs mer

Stärkt straffrättsligt skydd för egendom (SOU 2013:85)

Stärkt straffrättsligt skydd för egendom (SOU 2013:85) REMISSYTTRANDE Vår referens: 2014/0004 Er referens: Ju/2013/8738/L5 1 (5) 2014-04-25 Justitiedepartementet 103 33 Stockholm e-post: ju.l5@regeringskansliet.se Stärkt straffrättsligt skydd för egendom (SOU

Läs mer

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten REMISSVAR Hanteringsklass: Öppen 2015-09-14 1 (6) Dnr 2015/633 Justitiedepartementet Enheten för samordning av samhällets krisberedskap 103 33 Stockholm Kopia: Fritzes kundservice 106 47 Stockholm Remissvar

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om hantering av operativa risker; FFFS 2014:4 Utkom

Läs mer

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Undantag från förbudet i 21 personuppgiftslagen (1998:204) BESLUT Dnr 2008-03-18 1402-2007 Svenska Bankföreningen Att: Marie-Louise Ulfward Box 7603 103 94 STOCKHOLM Såsom ombud för: Se bilaga. Undantag från förbudet i 21 personuppgiftslagen (1998:204) Datainspektionens

Läs mer

IT-relaterad brottslighet

IT-relaterad brottslighet Juridiska motmedel IT-relaterad brottslighet Helena Andersson Institutet för rättsinformatik Stockholms universitet H. Andersson IRI 1 Upplägg Informationssäkerhet Juridikens roll IT-relaterad brottslighet

Läs mer

Internetdagarna 2003-10-07--08. Staffan Karlsson. Informationssäkerhetsenheten. Enhetschef

Internetdagarna 2003-10-07--08. Staffan Karlsson. Informationssäkerhetsenheten. Enhetschef Internetdagarna 2003-10-07--08 Staffan Karlsson Enhetschef Informationssäkerhetsenheten Bakgrund Sårbarhets- och säkerhetsutredningen 2001 Fortsatt förnyelse av totalförsvaret Prop. 2001/02:10 Samhällets

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703

Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703 Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2012-03-28 Dnr 114-2011 Försvararsamtal BAKGRUND Enligt lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (tillsynslagen) har Säkerhets-

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Hot + Svaghet + Sårbarhet = Hotbild

Hot + Svaghet + Sårbarhet = Hotbild 4 Hotbild Du har säkert hört begreppet hotbild tidigare. Om jag skulle försöka mig på att klassificera begreppet hotbild skulle det kunna vara enligt följande formel: Hot + Svaghet + Sårbarhet = Hotbild.

Läs mer

ISA Informationssäkerhetsavdelningen

ISA Informationssäkerhetsavdelningen ISA Informationssäkerhetsavdelningen Peter Nilsson, ISA N CISSP, GSLC FRA Signalunderrättelsetjänsten Drygt 600 personer Informationssäkerhetstjänsten Cirka 35 personer, sakta ökande Se även www.fra.se

Läs mer

Internetsäkerhet. banktjänster. September 2007

Internetsäkerhet. banktjänster. September 2007 Internetsäkerhet och banktjänster September 2007 Skydda din dator Att använda Internet för att utföra bankärenden är enkelt och bekvämt. Men tänk på att din datormiljö måste vara skyddad och att du aldrig

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

ÄNDRINGSFÖRSLAG 1-25

ÄNDRINGSFÖRSLAG 1-25 GEMENSAMMA PARLAMENTARISKA AVS EU-FÖRSAMLINGEN Utskottet för politiska frågor AP101.544/AA1-25 12.02.2014 ÄNDRINGSFÖRSLAG 1-25 Förslag till betänkande Medföredragande: Moses Kollie (Liberia) och Zita Gurmai

Läs mer

Integritet på nätet. Jon Karlung, Bahnhof

Integritet på nätet. Jon Karlung, Bahnhof Integritet på nätet Jon Karlung, Bahnhof Kort om Bahnhof Grundades 1994 10 stycken US Robotics-modem på IKEA-hyllor. Maximal bandbredd 28,8 kbit/s Egen förbindelse på 64 kbit/s Tre anställda i en barrack

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se

Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Det här är.se Stiftelsen för Internetinfrastruktur grundades 1997. Verka för positiv utveckling

Läs mer

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun Fastställd av kommunstyrelsen 2012-11-13 Dnr 2012-259 Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun Användningen av IT-stöd i vårt dagliga

Läs mer

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser Regel BESLUTSDATUM: 2014-03-24 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Lars Andersson HANTERINGSKLASS: Ö P P E N SVERIGES RIKSBANK

Läs mer

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER ANSLUTA=RISK Fast bredband attraktiv plattform att angripa från Mobilt bredband/trådlösa nätverk/bluetooth lätt att ta

Läs mer

Surfa säkrare. Goda råd om säkerhet på Internet. Information från Post- och telestyrelsen

Surfa säkrare. Goda råd om säkerhet på Internet. Information från Post- och telestyrelsen Surfa säkrare Goda råd om säkerhet på Internet Information från Post- och telestyrelsen Goda råd för att surfa säkrare Stäng av datorn när den inte används Riskerna du utsätter dig för på Internet är beroende

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Slutrapport till SE:s Internetfond. rörande projektet. ECPAT Hotline 2007

Slutrapport till SE:s Internetfond. rörande projektet. ECPAT Hotline 2007 Slutrapport till SE:s Internetfond rörande projektet ECPAT Hotline 2007 Innehållsförteckning 1. Bakgrund 2. Projektets genomförande 3. Resultat och analys av 2007 4. Framtida arbete 2 1. Bakgrund Syftet

Läs mer

TeliaSoneras syn på öppenhet

TeliaSoneras syn på öppenhet TeliaSoneras syn på öppenhet Inledning Begreppet öppenhet har många dimensioner och tolkningar. Det definieras också på olika sätt av olika aktörer inom telekom- och Internetbranschen. För slutanvändare

Läs mer

Sidan 1 av 29. Samhällets informationssäkerhet

Sidan 1 av 29. Samhällets informationssäkerhet Sidan 1 av 29 Samhällets informationssäkerhet 2006 Lägesbedömning 2007 2008 2009 Innehållsförteckning Sid 2(29) 1 Sammanfattning... 3 Ord- och förkortningslista... 4 2 Inledning... 5 2.1 KBM:s uppdrag...

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia Upphandlingssystem och IT-säkerhet Britta Johansson Sentensia 1 Säkerhetsfrågor i fokus dagligen 2 IT-säkerhet i upphandlingssystem Deltagare presenterar sig för varandra Myndighet Erfarenhet av elektronisk

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Nuläget kring säkerhet och internet

Nuläget kring säkerhet och internet Nuläget kring säkerhet och internet Vad är det som händer? Vad ska vi akta oss för? Anne-Marie Eklund Löwinder Säkerhetschef,.SE https://www.iis.se amel@iis.se @amelsec Det här är.se Stiftelsen för Internetinfrastruktur

Läs mer

Innehåll Ökad säkerhet i internetbanken för företag och företagare... 3 Mobilt BankID... 3 Så här skaffar du mobilt BankID...

Innehåll Ökad säkerhet i internetbanken för företag och företagare... 3 Mobilt BankID... 3 Så här skaffar du mobilt BankID... Viktig information om internetbankens behörighetssystem, trojaner och virus Den senaste tiden har ett antal svenska bankkunder drabbats av så kallade trojaner i sina datorer. En trojan infekterar datorn

Läs mer

Årsrapport 2014 KUNSKAP OM UTLANDET - FÖR SVERIGES INTEGRITET

Årsrapport 2014 KUNSKAP OM UTLANDET - FÖR SVERIGES INTEGRITET Årsrapport 2014 KUNSKAP OM UTLANDET - FÖR SVERIGES INTEGRITET Tvära kast och växande utmaningar Under 2014 hörde vi uttryck som Det nya kalla kriget allt oftare i den säkerhetspolitiska debatten. Oavsett

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Svenska e-legitimationer och certifikat. Wiggo Öberg, Verva

Svenska e-legitimationer och certifikat. Wiggo Öberg, Verva Svenska e-legitimationer och certifikat Wiggo Öberg, Verva Presentation av rapport och förslagets inriktning Historia och bakgrund Målbild Alternativa vägar Förslag Genomförande Frågor, synpunkter och

Läs mer

Juridiska säkerhetskrav

Juridiska säkerhetskrav Juridiska säkerhetskrav Lagar med säkerhetskrav Det finns ingen datasäkerhetslag och inga juridiska krav på viss teknik, men... Vissa juridiska krav leder till krav på teknik i praktiken Grundtyper av

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 749-2011 Capio S:t Görans Sjukhus 112 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen

Läs mer

Verkligheten bakom gratis ISP DNS

Verkligheten bakom gratis ISP DNS Excedo Networks AB Box 3065 SE-169 03 SOLNA SWEDEN +46-(8)-501 612 00 www.excedodns.se Verkligheten bakom gratis ISP DNS En viktig förutsättning för verksamheten som är värd att betala för. Ditt företag

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Exponerade fakturor på internet

Exponerade fakturor på internet BESLUT 1(6) Datum Vår referens Aktbilaga 2013-12-18 Dnr: 13-9151 12 Nätsäkerhetsavdelningen Jeanette Kronwall 08-6785898 jeanette.kronwall@pts.se TeliaSonera AB Att: Ann Ekstrand Stab Juridik, Regulatoriska

Läs mer

Frågor & svar om nya PuL

Frågor & svar om nya PuL Frågor & svar om nya PuL Fråga 1: Varför ändras PuL? PuL ändras för att underlätta vardaglig behandling av personuppgifter som normalt inte medför några risker för att de registrerades personliga integritet

Läs mer

Riktlinjer för sociala medier vid Försvarshögskolan

Riktlinjer för sociala medier vid Försvarshögskolan Riktlinjer 1 (7) 2011-09-21 Riktlinjer för sociala medier vid Försvarshögskolan 1 Riktlinjer i korthet 1.1 Riktlinjer för medarbetare vid Försvarshögskolan i allmänhet Medarbetare vid Försvarshögskolan

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef amel@iis.se Twitter: amelsec

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef amel@iis.se Twitter: amelsec Transparens och förtroende Så gör vi Internet säkrare Anne-Marie Eklund Löwinder Säkerhetschef amel@iis.se Twitter: amelsec Icann, domännamnssystemet och nycklarna varför ska vi skydda DNS? Badwill och

Läs mer

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Bilaga 1 Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Datainspektionen granskade under år 2010 Länsstyrelsen i Västra Götalands hantering av personuppgifter i den elektroniska

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799 2003-01-24 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC 17799 Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar

Läs mer

Internets historia i Sverige

Internets historia i Sverige Internets historia i Sverige 1962 Det första modemet för telefonlinjer blev tillgängligt med en hastighet av 300 bit/s. 1978 Det första svenska elektroniska forumet började av Stockholms Datamaskincentral.

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

CTFE INSIGHTS APRIL 2015.!!! ctfe.se

CTFE INSIGHTS APRIL 2015.!!! ctfe.se CTFE INSIGHTS APRIL 2015 ctfe.se Vi lever i en globaliserad värld som i grunden leder till en positiv utveckling. Men det går inte att bortse ifrån att globaliseringen också ställer oss inför stora utmaningar.

Läs mer