Samhällets informationssäkerhet

Storlek: px
Starta visningen från sidan:

Download "Samhällets informationssäkerhet"

Transkript

1 Samhällets informationssäkerhet 2007 Lägesbedömning

2 Sammanfattning... 3 Ord- och förkortningslista Inledning KBM:s årliga lägesbedömning till regeringen Vad är informationssäkerhet? Rapportens upplägg Uppföljning av 2007 års lägesbedömning Utvecklingstendenser Övergripande tendenser på samhällsnivå Utveckling på organisatorisk nivå Utveckling på individnivå Antagonistiska hot Blockering och klotter Den IT-relaterade brottsligheten förfinas Direkta IT-relaterade angrepp mot samhället Cyberkrig och terrorism Angrepp mot digitala kontrollsystem Sårbarheter och risker Administrativa sårbarheter Riksrevisionens granskning av regeringens styrning av informationssäkerhetsansvariga myndigheter Bristande förmåga att hantera storskaliga attacker Myndigheters bristande rutiner och arbetssätt Beroende av elektroniska datakommunikationer Vårdsektorn Finansiella sektorn Sårbarheter i nätinfrastrukturen Brister i myndighetsnät och webbplatser Tekniska sårbarheter Övergång till digital teknik IP-telefoni Digital-TV Beroenden mellan IT-system och fysiska försörjningssystem Vidare läsning

3 Sammanfattning Med tanke på hur allvarliga konsekvenserna kan bli av potentiella angrepp eller dåliga säkerhetsrutiner är frågan om informationssäkerhet ständigt aktuell. Det är osäkert hur det svenska samhället skulle kunna hantera ett storskaligt nätangrepp och inom det offentliga råder det brister i arbetet med att förebygga IT-relaterade incidenter. Samtidigt ökar beroendet av IT, särskilt i tidskritiska verksamheter som sjukvården och finanssektorn. Händelser i vårt grannland Estland visade under våren 2007 att hela samhället kan påverkas av störningar vid storskaliga nätangrepp mot informationstillgångar. Liknande angrepp förväntas också öka och för närvarande pågår diskussioner inom flera internationella organ om hur denna nya hotbild ska hanteras. I många länder rustar man sig nu också för att kunna motstå befarade framtida attacker mot kritisk samhällsinfrastruktur som elförsörjning, vattenrening och liknande. Sådana angrepp skulle kunna få mycket drastiska konsekvenser. IT-kriminaliteten omsätter idag betydande belopp och är ett växande problem som samhället måste skydda sig mot. En utspridd IT-kriminalitet kan i förlängningen skada förtroendet för både privata och offentliga e-tjänster. De kriminella gruppernas agerande är mycket målmedvetet. De tar snabbt till sig sofistikerade metoder och det blir allt svårare att värja sig mot angreppen. Under året har vi kunnat notera två motriktade trender. Dels upptäcks allt fler små och riktade angrepp, dels skapas det mycket stora nät av kapade datorer som kan hyras kommersiellt för att genomföra angrepp. Majoriteten av de IT-relaterade incidenterna hos svenska myndigheter orsakas fortfarande av organisatoriska brister. Arbetet varierar starkt i omfattning och prioriteras alltför sällan av respektive myndighets ledning. Många myndigheter saknar fortfarande fastställd informationssäkerhetspolicy, ledningssystem för informationssäkerhet och systemsäkerhetsanalyser för verksamhetskritiska system. Majoriteten saknar även en kontinuitetsplan i händelse av avbrott eller incident. Här finns ett tydligt behov av förbättringar, såväl genom inriktning som genom kunskapshöjande åtgärder. Informationssäkerhet berör hela samhället och handlar ytterst om förtroende. Målsättningen med informationssäkerhet är att samtliga aktörer i samhället ska kunna lita på informationssystemen. Bristande informationssäkerhet kan hota effektiviteten och kvaliteten i samhällets informationshantering och förmåga att hantera allvarliga störningar och kriser. Det kan vidare inverka negativt på brottsbekämpning, näringslivets lönsamhet och tillväxt samt medborgarnas personliga integritet. För att åstadkomma en god informationssäkerhet i samhället både i normaltillstånd och i ett krisläge måste frågan därför uppmärksammas på allvar bland alla aktörer, privata som offentliga. Lägesbedömningen fokuserar i år i första hand på hot och sårbarheter. De åtgärder som behövs för att uppnå en god informationssäkerhet behandlas i den handlingsplan för genomförande och förvaltning av den nationella informationssäkerhetsstrategin som Krisberedskapsmyndigheten kommer att lämna till regeringen. 3

4 Ord- och förkortningslista Botnät - Nätverk av datorer som infekterats med skadlig kod som gör det möjligt för en tredje part att kontrollera och fjärrstyra datorerna samtidigt. Common Criteria - Är en standard för hur man ställer krav, deklarerar och evaluerar säkerhet i IT-produkter och system. Communities (nätmötesplatser) - Webbplatser där det ofta krävs ett medlemskap för att ta del av innehållet. Huvudsyftet är oftast att komma i kontakt med likasinnade. COTS (Commercial off-the-shelf) - Kommersiellt tillgängliga standardprodukter. Digitala kontrollsystem (SCADA) Datorbaserade system för styrning, reglering och övervakning av fysiska processer som exempelvis el-, gas- och vattenförsörjning samt spårbunden trafik. DNS (Domain Name System) - Den funktion på Internet som översätter domännamn till IP-adresser. Då det finns ett stort antal domännamn och ingen enskild server kan ha en komplett lista över dessa, finns det i stället ett nät av sammankopplade DNS-servrar som ber varandra om hjälp vid behov. IP-stamnät I Sverige finns det idag fyra större operatörer med egna rikstäckande ipstamnät för Internettrafik. Sedan finns det ett antal mindre Internetoperatörer vars nät inte täcker hela landet, men som kan erbjuda Internettjänster med hjälp av samtrafik med något av stamnäten. Man-i-mitten-attack - En utomstående som genom att koppla in sig på en förbindelse mellan två parter simulerar respektive parts identitet mot den andre och på det sättet kan avlyssna eller förändra den överförda informationen. Nätfiske - En metod som går ut på att få en person att lämna ifrån sig konfidentiell information genom att lura personen att antingen svara på ett falskt e-postmeddelande eller besöka en falsk webbsida. Peer-to-peer Ett icke-hierarkiskt datornätverk där anslutna datorer kan hitta andra datorer och utväxla information direkt med varandra. Varje dator kan på det sättet agera både server och/eller klient. Rekursiv uppslagning DNS-servern får i uppdrag att leta reda på ett domännamn eller ipadress även om den själv inte känner till det. Det går att ställa in denna funktion så att den endast svarar på frågor från det egna nätverket. I annat fall går den vidare och frågar andra namnservrar, som kan befinna sig vara var som helst, för att ta reda på svaret. SAMFI (Samverkansgruppen för Informationssäkerhet) I denna grupp som leds av KBM ingår även FRA, PTS, VERVA, FM, RPS och FMV. Script kiddies Personer som ägnar sig åt dataintrång och datasabotage, men saknar djupare kunskaper om datasystem och använder färdigskrivna program (skript). SGSI (Swedish Government Secure Intranet) - En nättjänst som inte är beroende av Internet och till vilken svenska myndigheter kan ansluta sig och kommunicera med varandra. Social manipulering Då en person använder sig av olika sociala knep för att skapa förtroende i syfte att förmå någon att lämna ut känslig eller hemlig information. Nätfiske är en form av social manipulering. SQL-injektioner - Metod som utnyttjar säkerhetshål i hanteringen av indata i vissa datorprogram som arbetar mot en databas. Problemet uppstår då indata till en sql-sats inte behandlas på rätt sätt av programmeraren, varpå en attackerare kan använda speciella tecken och kommandon för att manipulera data eller skaffa sig information. Metoden har fått sitt namn av databasfrågespråket SQL. Tillgänglighetsattacker eller DDoS-attacker - Aktiviteter som kan överbelasta eller blockera vissa IT-resurser och på det sättet förhindra behörig åtkomst till resurser i ett ITsystem eller fördröja tidskritiska operationer. 4

5 1 Inledning 1.1 KBM:s årliga lägesbedömning till regeringen Denna rapport utgör Krisberedskapsmyndighetens (KBM) årliga lägesbedömning av samhällets informationssäkerhet. I 5 förordningen 2007:856 med instruktion för KBM stadgas att myndigheten ska analysera omvärldsutvecklingen inom området mot bakgrund av erhållet underrättelseunderlag och årligen lämna en samlad bedömning till regeringen. Den årliga lägesbedömningen vänder sig i huvudsak till regeringen, men rapporten är även tänkt att kunna utgöra ett stöd till andra aktörer inom krishanteringssystemet. Lägesbedömningen har med tiden även kommit att utgöra ett inriktningsdokument för KBM:s arbete inom ramen för det sammanhållande ansvaret för samhällets informationssäkerhet. Bedömningen grundar sig primärt på utvecklingen under Vad är informationssäkerhet? Med informationssäkerhet avses förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet vid hantering av information något som omfattar aspekter av såväl administrativ som teknisk karaktär. De hot och sårbarheter som tas upp i lägesbedömningen återspeglar olika händelser och tillstånd där någon eller några av dessa tre faktorer inte uppfylls i tillräcklig hög grad, vilket leder till att samhällets informationstillgångar och samhällsviktig verksamhet påverkas med varierande konsekvenser för samhällets sätt att fungera. KBM har angivit följande villkor som definition för samhällsviktig verksamhet ur ett krishanteringsperspektiv. Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället. Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad allvarlig kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt. En orsak till att informationssäkerhetsområdet har fått ökad uppmärksamhet idag är att informationsteknologin har blivit en allt viktigare komponent i för samhället viktiga verksamheter som kärnkraftverk, el, tele, betalningssystem och vattenförsörjning. Det finns emellertid ingen heltäckande förteckning idag över samhällets viktigaste informationstillgångar, varken system eller datamängder. Med tanke på samhällets föränderlighet är det heller inte ändamålsenligt att centralt försöka katalogisera varje enskild skyddsvärd faktor, utan detta måste varje aktör och organisation kontinuerligt utvärdera för sin egen räkning. I vissa fall är det uppenbart att information och system, som till exempel innehåller uppgifter av betydelse för rikets säkerhet, måste skyddas enligt särskilda regler och metoder. I andra fall kan det vara aggregerade mängder av till synes okänslig data som utgör sådan samhällsviktig information som kräver särskild hantering. Lägesbedömningen av samhällets informationssäkerhet är en kartläggning på generell nivå. I och med att informationssäkerhet är ett sektorsövergripande och tvärsektoriellt område, där händelser kan ha högst oanade effekter, har lägesbedömningen inte begränsats till att enbart omfatta förlopp som snabbt och direkt leder till eller förvärrar en allvarlig kris i samhället. 5

6 Detta för att lämna utrymme för diskussioner om utvecklingstrender och fenomen som även i ett längre tidsperspektiv kan hänföras till samhällets informationstillgångar eller samhällsviktig verksamhet. Effektiv krishantering bygger i hög grad på ett grundligt förebyggande arbete. Hur god informationssäkerheten är i normaltillstånd avgör också till stor del hur väl samhället klarar av att hantera allvarliga störningar och kriser operativt. De IT-relaterade hot och sårbarheter som diskuteras i den fortsatta framställningen knyter an till samhällets förmågor och brister både i normaltillstånd och i ett krisläge. 1.3 Rapportens upplägg Lägesbedömningen utgår från en modell för hotbildsanalys som kan beskrivas som en trappa. På det första steget identifieras olika typer av hot eller icke önskvärda händelser. Hoten ställs i sin tur mot identifierade sårbarheter, och resultatet blir att man kan få en bild av möjliga konsekvenser. Genom att uppskatta sannolikheten för att en hotande händelse med viss konsekvens inträffar kan man därefter ta ytterligare ett steg och fastställa en risk. Denna risk kan i sin tur vägas mot olika åtgärdsalternativ, vilket i ytterligare ett steg leder till att man skaffar sig ett underlag för beslut. Arbetet med lägesbedömningen har koncentrerats till att identifiera hot, sårbarheter och risker. Med anledning av att KBM även kommer att överlämna en handlingsplan för informationssäkerhet innehåller lägesbedömningen i år inget avsnitt om skyddsåtgärder. Handlingsplanen för genomförande och förvaltning av den nationella informationssäkerhetsstrategin innehåller såväl konkreta förslag på åtgärder för att förbättra informationssäkerheten i Sverige som mer långsiktiga åtgärdsplaner. Handlingsplanens förslag syftar till att hantera sådana risker som identifierats bland annat med utgångspunkt från denna lägesbedömning. Lägesbedömningen bygger i huvudsak på information från djupintervjuer med aktörer inom såväl offentlig som privat sektor, öppna källor, fördjupningsstudier samt en enkätundersökning riktad till statliga myndigheter. Rapporten bygger på såväl öppet som hemligt material. Det är emellertid en öppen rapport då känslig information har kunnat verifieras med öppna källor eller har lyfts upp till en generell nivå. Arbetet med att identifiera och prioritera viktiga frågor har skett i samverkan med bland andra samverkansgruppen för informationssäkerhet (SAMFI) samt KBM:s informationssäkerhetsråd och dess arbetsgrupp för näringslivsfrågor. 6

7 2 Uppföljning av 2007 års lägesbedömning Detta kapitel är en sammanfattande uppföljning av ett flertal av de slutsatser som presenterades i föregående års lägesbedömning. Föregående års slutsatser är kursiverade och texten som följer utgör uppföljningskommentarer. Det saknas idag en samlad inventering av hur myndigheter, kommuner och landsting anslutits till Internet. Det finns ingen direkt indikation på akuta sårbarheter hos samhällsviktiga Internetanslutningar. Däremot är det väsentligt att få en samlad bild av hur det allmänna anslutit sig. Stiftelsen för Internetinfrastruktur har tillsammans med KBM under året genomfört en undersökning avseende nåbarheten i domännamnsystemet (DNS) i.se samt viktiga parametrar för e-post och webb. Undersökningen omfattar över 800 domäner och över 1000 olika namnservrar hos bland annat kommuner, landsting, banker och finansbolag samt statliga bolag. Undersökningsresultatet utgör underlag för lägesbedömningen och behandlas särskilt under kapitel 5. KBM avser att under 2008 fortsätta kartläggningen, bland annat genom en uppföljande studie. Säker elektronisk identifiering är en grundförutsättning för fungerande e-tjänster i samhället. Det är samhället som sörjer för att alla medborgare tilldelas en unik identitet. När allt fler vardagsärenden digitaliseras faller det sig därför också naturligt att samhället åtar sig ett omfattande ansvar avseende ett ramverk för elektronisk identifiering. Det gäller här att få fram enkla metoder som når allmän spridning. Därför borde detta område prioriteras i statens satsningar på informationssäkerhetsområdet. Verva har i uppdrag av regeringen att skapa säkert elektroniskt informationsutbyte och säker hantering av elektroniska handlingar i statsförvaltningen. I juni 2007 presenterades en skiss till färdplan för hur förvaltningen ska driva utvecklingen så att e-legitimation blir en lika självklar del i människors vardag som traditionella id-kort. Regeringskansliet har tagit fram en handlingsplan för att förbättra sin egen samordning avseende det strategiska e-förvaltningsarbetet. Målet är att Sverige skall vara ledande inom e-förvaltningsområdet år Handlingsplanen syftar till att förverkliga detta genom dess fyra insatsområden; regelverk för myndighetsövergripande samverkan och informationshantering, tekniska förutsättningar och IT-standardisering, gemensamma verksamhetsstöd, kompetensförsörjning och samlad uppföljning samt förvaltningens kontakter med medborgare och företagare. Alla insatsområden ska redovisas den 31 december Regeringen föreslår i en lagrådsremiss att Sverige ska följa EU:s rambeslut om angrepp mot informationssystem. Rambeslutet innehåller bestämmelser om vilka handlingar som ska vara straffbelagda samt vilken påföljden blir. Kriminaliseringen innebär exempelvis att tillgänglighetsattacker blir straffbara. För att detta ska kunna realiseras krävs det att Sverige utvidgar bestämmelsen om dataintrång i brottsbalken. Dataintrångsbestämmelsen kommer även att straffbelägga försök, förberedelse samt medverkan till sådana typer av brott. Ändringarna i föreslås träda i kraft den 1 juni Riksdagen antog lagändringen vilket innebär att DDoS-attacker och andra så kallade tillgänglighetsattacker blev straffbara från och med den 1 juni

8 Då det är konstaterat att många sårbarheter kan kopplas till den interna organisationen är det viktigt att se till att informationssäkerhetsfrågorna lyfts upp på ledningsnivå. Det är viktigt att det ges rätt förutsättningar för att kunna upprätthålla god informationssäkerhet. LIS, är som tidigare konstaterades, ett bra ramverk som ger handledning i hur man inför ett ledningssystem för informationssäkerhet i verksamheten. KBM anser att det bör finnas en grundläggande säkerhetsnivå för informationssäkerhet i samhället. Verket för förvaltningsutveckling (Verva) föreslog mot slutet av 2007 en föreskrift för myndigheters tillämpning av informationssäkerhetsstandarder (VERVAFS 2007:2). Föreskriften innebär att tillämpning av standarderna ISO/IEC och blir obligatorisk för statliga myndigheter. Denna föreskrift gäller från och med 1 januari Det har visat sig att många myndigheter generellt välkomnar fler krav och direktiv på detta område. Standarder, metodikstöd och rådgivning har särskilt efterfrågats. I den handlingsplan som KBM presenterar senare finns förslag på olika typer av stöd för myndigheternas arbete med standarder. 8

9 3 Utvecklingstendenser 3.1 Övergripande tendenser på samhällsnivå Området informationssäkerhet har fått stor offentlig uppmärksamhet under det senaste året. De omfattande nätattackerna mot Estland i april-maj aktualiserade på ett mycket konkret sätt behovet av ett nationellt försvar mot liknande händelser i Sverige. Återkommande rapporter om driftstörningar och andra IT-relaterade incidenter hos offentliga organisationer har under året illustrerat hur det brister i det allmännas hantering av sin informationssäkerhet, en fråga som även Riksrevisionen lyft fram. Samtidigt fortsätter IT-kriminaliteten att utvecklas och finna nya former, vilket i sin tur ställer allt större krav på våra rättsvårdande myndigheter får betraktas som året då begreppet cyberkrig myntades på allvar. I samband med omfattande kravaller i Estland i slutet av april utsattes informationssystem i landet för massiva tillgänglighetsattacker. Attackerna pågick under flera veckor. Fenomenet fick snabbt beteckningen Cyber Riots (cyberkravaller) och händelserna gavs uppmärksamhet i massmedia över hela världen. Några mer bestående skador på system eller infrastruktur tycks attackerna dock inte ha resulterat i. Men händelserna ger likväl en antydan om vilka nya möjligheter som nu står till buds för att i organiserad form angripa ett helt land via Internet. Hotbilden mot annan kritisk infrastruktur har också uppmärksammats. Speciellt gäller det nätangrepp mot digitala kontrollsystem kopplade till samhällsviktiga system, exempelvis energiförsörjning och vattendistribution. Här har flera svenska myndigheter och andra aktörer idag etablerat ett mycket aktivt samarbete. Nyligen bekräftades denna hotbild via amerikanska rapporter om lyckade hackarangrepp mot flera stora eldistributionsnät, där attackerna uppges ha slagit ut energiförsörjningen i hela städer. Nätangreppet mot Estland var det mest tydliga exemplet på cyberkrigföring under året. Men det sker också liknande utveckling inom traditionell terrorism. När IT-terrorism kommer att bli mer utbredd beror till stor del på angriparnas förmåga. Under året har det börjat diskuteras om martyrskapet kan vara på gång att tappa sin attraktionskraft. Många av dagens terrorister är sannolikt mer intresserade av att penetrera nätverk. Än så länge är kunskaperna om angreppsmetodik föga utbredda bland traditionella terroristgrupper, men fler och fler lär sig i takt med att den nya teknikens möjligheter blir allt tydligare. Terrorhotet mot Sverige kan dock inte betraktas som särskilt stort idag. Däremot finns det en möjlighet att personer arbetar med den sortens verksamhet i Sverige, men enbart använder landet som utgångspunkt för sina aktiviteter. Hotet kan dock snabbt växa i takt med ett ökat internationellt engagemang från svensk sida, till exempel genom medverkan i internationella militära insatser. Den kriminella Internetverksamheten omsätter mycket stora belopp idag och det finns inget som tyder på att utvecklingen kommer att stanna av. Det är emellertid svårt att bedöma hur stor andel av de svenska IT-brotten som är av allvarlig karaktär och har möjlighet att påverka samhällets funktion. Här saknas det fortfarande ordentlig genomlysning. Angreppen mot enskilda datoranvändare tycks dock inte visa tendenser att mattas av. Nätfiske riktat mot svenska Internetbankkunder inleddes redan under 2006, och skapade då stor uppmärksamhet i massmedia. Men det fortsatte även under 2007, varvid metoderna förfinades. Angreppen är idag mycket svåra att värja sig mot. Under samma period har även annan angreppsmetodik utvecklats så att skadlig kod inte längre sprids genom storskaliga attacker utan snarare i mindre skala och med riktad verkan, 9

10 varvid angriparen lättare undviker upptäckt. Tillverkarna av säkerhetsprogram hinner därmed inte ta fram motmedel i samma takt som angreppen skiftar skepnad. Utvecklingen går hand i hand med en mer långsiktig trend där individuella, nyfikenhetsmotiverade angrepp ersätts av alltmer organiserade angrepp med kriminella motiv. Vi kan med utgångspunkt från europeisk statistik räkna med att det numera kapas något tusental datorer dagligen i Sverige genom angrepp med skadlig kod. Aktiviteten på botnätsområdet har inte minskat. Under sommaren och hösten 2007 fick ett botnät med namnet Storm stor uppmärksamhet. Storm uppnådde ett maximum under hösten och uppgavs då globalt bestå av mellan 50 och 70 miljoner datorer i ett enda samlat botnät. Dessa botnät har potential att utvecklas till ett växande samhällsproblem. Vissa av dem har försetts med motmedel som slår tillbaka mot dem som försöker kartlägga verksamheten. Det är numera fullt möjligt att köpa botnät, få servrar hackade, skaffa sig tillgång till bankkonton och mycket mer på strikt kommersiell bas. Dessutom blir det allt lättare för kriminella att knyta till sig kompetens i takt med att hackarsektorn professionaliserats. Internationellt finns det idag en yrkeskår av hackare som på heltid förser kriminella med tekniska lösningar. År 2007 har även kännetecknats av en rad rapporter om driftsäkerhetsproblem, dator- och näthaverier som påverkat tillgången till information eller orsakat störningar i viktiga samhällsprocesser. Som exempel blockerades regeringens webbplats tillfälligt vid ett tillfälle under senvåren. Ett omfattande sändningsavbrott hos Teracom skapade störningar i TV- och radioutsändningar, och flera mer omfattande driftstörningar har under 2007 drabbat system inom bland annat domstolsväsendet och sjukvården. Offentliga organisationers IPtelefonisystem har flera gånger under året drabbats av störningar. De flesta myndigheter ser idag att deras sårbarhet ökar i takt med att utbudet av e-tjänster byggs ut. Verksamhetsexponering på Internet leder till ökad sårbarhet och frågan om säker identifiering betraktas som bekymmersam. På sistone har det skett incidenter där stora mängder stulna lösenord hamnat i omlopp. I samband med dessa incidenter har det även visat sig att många användare utnyttjar samma lösenord för olika tjänster. Detta är förstås oacceptabelt, men händelserna indikerar likväl att det kan brista i rutinerna, eller åtminstone hur lösenordsregler efterlevs. I en enkätundersökning riktad till ett antal myndigheter, uppgav drygt hälften att de råkat ut för någon typ av incident under året. Incidenterna har varit av olika karaktär, och har innefattat allt från skräppost, virusangrepp och mer avancerade, underrättelsebaserade attacker till incidenter med orsaker som den mänskliga faktorn, bristande rutiner och driftproblem. Bland de myndigheter som uppger att de inte varit utsatta kan det inte uteslutas ett större mörkertal, med tanke på att de kan ha varit utsatta utan att ha fått kännedom om det. Av de incidenter som har identifierats har de flesta varit av sådan karaktär att befintliga system klarat av att hantera dem. Det finns något undantag, där myndigheten förefaller ha varit utsatt för en mer riktad attack. 3.2 Utveckling på organisatorisk nivå Regeringskansliet har nyligen tagit fram en handlingsplan för att förbättra sin egen samordning avseende det strategiska e-förvaltningsarbetet. Hanteringen av e-fakturor har reglerats i föreskrifter som kommer att träda i kraft vid halvårsskiftet Dessutom föreskrev Verva i slutet av 2007 att statliga myndigheter måste anpassa sin 10

11 informationssäkerhet till det ramverk som beskrivs i standardserien ISO (Ledningssystem för informationssäkerhet, LIS). Myndigheterna ska tillämpa LIS. Ett steg på vägen för att uppfylla kraven enligt LIS kan vara att använda KBM:s råd och rekommendationer för en basnivå för informationssäkerhet (BITS och BITS Plus). På certifieringsområdet har Försvarets Materielverk och dess certifieringsenhet för Common Criteria, CSEC, under året slutfört processen för att godkännas som certifieringsorgan (Certification Body, CB) inom det multilaterala samarbetet CCRA. Sverige är nu godkänd som certifikatutgivande nation. Sättet på vilket myndigheterna går mot ett näringslivstänkande kan också innebära ökad sårbarhet. När system outsourcas eller börjar kopplas ihop för marknadsanpassning är de som står för besluten sällan medvetna om vilka risker detta medför. Internationellt går det att se en trend idag av hur information börjas delas på flera parter, rättighetshantering läggs ut och liknande. Sådana åtgärder kräver emellertid också ett genomtänkt säkerhetsarbete. Storbritannien är ett exempel på hur man löst situationen genom en uppdelning mellan sektoransvarig myndighet, leverantör och en speciell myndighet för informationssäkerhetsrelaterad tillsyn. 3.3 Utveckling på individnivå Antalet svenska Internetanvändare ökar inte längre nämnvärt enligt Statistiska centralbyrån. De befintliga användarna blir emellertid allt flitigare i sin användning av Internet. Under våren 2007 använde 71 procent en bredbandsanslutning till Internet, vilket är en markant ökning jämfört med våren 2005 då motsvarande andel var 44 procent. Internet används mest frekvent för att söka information om varor och tjänster, skicka och ta emot e-post samt för att göra bankaffärer. Cirka hälften av alla personer i åldern år använde under första kvartalet 2007 Internet för att hämta information från myndigheters webbplatser. Drygt 10 procent av de tillfrågade har under det senaste året råkat ut för datavirus som resulterat i förlust av data eller tid. Det är fortfarande ovanligt att privatanvändare tar säkerhetskopior eller backup på materialet på datorn hemma. Sociala nätverk av olika slag tycks få en alltmer betydande roll bland Internetanvändarna. Under det senaste året har flera webbtjänster för social samverkan fått vid spridning bland svenska nätanvändare. Tyvärr innebär användningen påtagliga integritetsrisker. Användarna är ofta omedvetna om hur många som får åtkomst till deras personuppgifter. Detta kan utgöra ett hot om nätverken infiltreras och det görs sammanställningar av digitala personakter, kanske i syfte att utföra identitetsstölder eller företagsspionage. De virtuella ekonomiska marknader som uppstått kring onlinespel är inte lagreglerade vilket gör dem intressanta för kriminella. Även detta utgör ett problem. Den anonymitet som erbjuds kan utnyttjas för att tvätta pengar och användare kan bli lurade att ladda ner skadlig kod. Även fildelning kan leda till nedladdning av skadlig kod. Fler än en miljon svenska datoranvändare använder sig idag av fildelningsprogram. 11

12 4 Antagonistiska hot Hot mot verksamheter och tillgångar kan antingen vara antagonistiska med tydliga avsändare eller oavsiktliga som till exempel naturkatastrofer och tekniska fel. Förutsättningarna för dessa två typer av hot skiljer sig åt på en rad punkter och därför kommer de att redovisas i separata genomgångar där detta kapitel enbart fokuserar på aktörsbundna IT-relaterade hot. Sårbarheter, som fallerande skydd och bristande rutiner, bidrar till att hot realiseras. Skillnaden mellan en sårbarhet och ett icke antagonistiskt hot är ibland hårfin och dessa beskrivs följaktligen tillsammans i kapitel 5. De antagonistiska hoten, förutsätter en angripare (antagonist) och inbegriper dennes avsikt och förmåga att genomföra skadliga handlingar. Förmåga i detta sammanhang utgörs av de samlade möjligheter som antagonisten har att omsätta sina resurser (kompetens, ekonomisk styrka, insiderkunskap) i en IT-relaterad attack. När det gäller IT-relaterade hot har aktörerna traditionellt graderats enligt förmåga och motiv, från mindre avancerade script kiddies till hackare och crackare och vidare till organiserade grupper och statsaktörer. Graden av specialisering har antagits öka i takt med mer specifika motiv och ökade resurser, men på senare tid har nya utvecklingstendenser kunnat skönjas gällande både motiv och förmåga. De verktyg som de resursstarka specialisterna utvecklat finns nu tillgängliga även för mindre avancerade aktörer som använder dem i andra syften. Samtidigt har motiven skiftat i allt större utsträckning från ära till ekonomisk vinning. Det är dock viktigt att påpeka att nya hot inte nödvändigtvis ersätter gamla, utan endast kompletterar floran. De olika aktörernas samverkan och utbyte av tjänster ökar alltså gradvis. Konsekvensen blir att samma metoder utnyttjas av aktörer med olika resurser och i olika syften. Detta gör det svårt att ställa upp aktörer och metoder på ett linjärt sätt i förhållande till konsekvenserna för samhället. Visserligen varierar sannolikheten för större skada för samhället i de olika fallen, men även nyfikna script kiddies kan orsaka samhällsproblem trots att det inte var deras syfte. Kapitlet illustrerar några av de centrala företeelserna bland aktörer och metoder som i olika kombinationer utgör hot med potentiella konsekvenser för samhället. Grupperingen är en grov fördelning efter aktörernas bakomliggande motiv. 4.1 Blockering och klotter Under det gångna året har det förekommit flera uppmärksammade hackarattacker mot webbplatser både i Sverige och i utlandet. I anslutning till debatten om Lars Vilks teckning av profeten Muhammed som rondellhund noterades en ökning av överbelastningsattacker och intrång mot svenska webbplatser. Efteråt pågick också ett så kallat hackarkrig mellan svenska och turkiska hackare, där aktörerna växelvis publicerade aggressiva budskap på hackade webbplatser. I början av 2008 noterades flera intrång mot olika medlemssidor där angriparna offentliggjorde användarnas inloggningsuppgifter. Även en kvällstidning utsattes för angrepp från en hackargrupp som påstår sig ha haft tillgång till delar av tidningens system över en längre tid. Många av dessa attacker har, åtminstone till synes, haft ett enkelt syfte att demonstrera den egna makten eller målets sårbarhet. I vissa fall har politisk övertygelse framförts som orsak, men det är osäkert om det ändå inte handlat om hobbyhackare, enskilda individer eller löst sammansatta grupper med liknande intressen, som använt den 12

13 allmänna debatten som förevändning för sitt klotter. Det kan också röra sig om personer med insiderkunskap om målsystemen, till exempel anställda eller konsulter. De metoder och verktyg som används för att hacka in sig på webbplatser är ofta allmänt kända och sällan specialutvecklade av aktören i fråga. Som till exempel attackerna mot vissa webbplatser med personlig inloggning där angriparna använde sig av SQL-injektioner som utnyttjade kända sårbarheter i databaserna. Dylika manifesteringar har sällan som syfte att vålla någon större skada. Däremot kan röjda användaruppgifter och manipulering av webbplatser, särskilt mediernas, skapa stor oro bland allmänheten. I förlängningen kan hackarverksamheten således bli en viktig fråga om förtroendet för elektroniska tjänster. Andra följdeffekter är att känsliga data som sprids, till exempel personuppgifter, kan snappas upp av andra aktörer med mer illasinnade syften. Om demonstrationerna inbegriper blockering av tillgänglighet till system och information, försämras målets kommunikationsförmåga, det vill säga viktig information till allmänheten kan fördröjas och tjänster kan inte utnyttjas. Under 2007 har bland annat sådana centrala informationskällor som regeringens samt finska rundradions webbplatser utsatts för åtkomstattacker. Det som skedde i Estland krävde dock mer omfattande koordinering än vad några enskilda hackare kan åstadkomma. 4.2 Den IT-relaterade brottsligheten förfinas Samtidigt som gamla hot gör sig påminda sker också en förfining av metoder och skiftning av motiv. Där det förr räckte med ett erkännande för kunskaperna vill aktörerna nu tjäna pengar på dem och detta i allt större grad på brottsliga sätt. Den asymmetri som informationsteknologin erbjuder brottslingar, gör arenan till ett lockande alternativ till bankrån eller annan traditionell brottslighet. Anonymiteten, den tillgängliga tekniken och den hittills låga risken för att åka fast kan antas vara bidragande orsaker till den ökade ITrelaterade brottsligheten. Mycket tyder också på att IT-brotten i allt större utsträckning bedrivs av välorganiserade grupper med betydande resurser. De mer tekniskt specialiserade aktörernas kunskaper finns tillgängliga och till salu för kriminella grupper. IT-brottsligheten bedrivs än mer målmedvetet och mer sofistikerat. Kriminella grupper utgör omfattande nätverk med olika roller uppdelade på flera olika länder. Europeiska nät- och informationssäkerhetsbyrån, ENISA, har observerat fenomenet i bland annat Brasilien, USA, Ryssland, Östeuropa, Hong Kong och Kina. För den enskilde svenske användaren fortsätter bedrägerier att vara det vanligaste IT-brottet. Under 2007 märktes en stor ökning av nätbedrägerier, främst på så kallade auktionssajter. Nätbedragarna dras dit pengarna rör sig, vilket idag i första hand betyder Internetbanker och e-handelstjänster. Språkbarriären har tidigare isolerat Norden, vilket gjort att användarna inte varit mentalt förberedda på de senaste årens bedrägeriförsök. I Sverige drabbades ett stort antal bankkunder av en nätfiskekampanj i slutet av 2006, och verksamheten fortsatte under För den här typen av bedrägerier är det vanligt att pengarna slussas vidare via så kallade målvakter som lånar sina konton åt bedragarna, ibland till och med omedvetna om att de begår en brottslig handling. Detta gör att de egentliga gärningsmännen är svåra att spåra upp och att brottsutredarna endast kommer åt de inhemska målvakterna, som i fallet ovan där flera av dessa åtalats. Enligt en studie som Finansinspektionen gjort om brottsliga angrepp mot Internetbanker hade antalet lyckade Internetangrepp mot kunders konton i Sverige ökat från 10 till 300 från

14 till Relaterat till transaktionernas enorma ökning över tid, anses omfattningen ändå vara begränsad. Det har också skett angrepp mot en svensk Internetbank, där angriparen har handlat från kundernas konton i syfte att påverka priset på värdepapper. Angreppen anses inte ha varit oerhört avancerade, vilket de med all sannolikhet kommer att bli framöver enligt bankerna, som även förväntar sig fler hot i framtiden. Man-i-mitten-attackerna ändrar skepnad kontinuerligt. Det blir också svårare för den enskilde att verifiera webbplatsernas legitimitet. Det saknas för närvarande en heltäckande bild av hur stora belopp som bankbedrägerierna omsätter i och med att bankerna inte behöver rapportera alla incidenter till Finansinspektionen. Än så länge har bedrägerierna främst riktats mot privatpersoner, men om de kriminella väljer att rikta sina angrepp mot företagskunder kan de ekonomiska konsekvenserna bli mer omfattande. En annan form av brott som det inte finns lika många anmälda fall av är utpressning av individer och organisationer. Angriparen kan till exempel hota med att sprida känsliga uppgifter och affärshemligheter eller blockera eller förstöra informationssystem och data. I grund och botten använder kriminella aktörer och organiserade grupper tidigare kända men förfinade metoder. Till exempel är det språk som använts i nätfiske mot svenska bankkunder mycket bättre än tidigare. Attackverktygen, som trojanerna, är också oftare skräddarsydda för ändamålet. Antalet trojaner fortsätter för övrigt att växa och utgör den i särklass största gruppen av skadlig kod som observeras. Förutom att trojanerna blir mer specifika, sprids de också via nya kanaler som snabbmeddelandesystem och webbaserade sociala nätverk. Social manipulering används i allt större utsträckning för att sprida trojaner och annan skadlig kod, bland annat genom de möjligheter som olika communities erbjuder. Ett allt vanligare sätt för spridning av skadlig kod, för åtkomst till individers datorer och information, är manipulering av legitima webbplatser. Angriparna riggar dessa med program som obemärkt laddas ner av besökarna. Programmen är dessutom ofta kapabla att dölja sig och använder antiforensiska metoder för att förhindra bekämparna att samla prover och analysera koden. Botnäten fortsätter att utvecklas och utgör ett vanligt verktyg som nyttjas av kriminella till allt från identitetsstölder till blockering vid utpressning. Antalet kapade datorer i världen uppskattas uppgå till tiotals miljoner. Särskilt drabbade är Kina, USA, Tyskland, Spanien och Frankrike. Även i Sverige uppskattas minst hundratusen datorer ingå i något botnät. Det ökända Stormnätet fortsätter att förbrylla forskare med sin förmåga att ändra skepnad och slå tillbaka mot inkräktare. Botnätsadministratörerna jobbar hårt på att göra näten mer osynliga och svårupptäckta, bland annat genom att spjälka upp dem i mindre enheter samt att ändra styrningen från kommandoservrar till decentraliserade mekanismer som liknar peer-to-peernät. Botnäten är effektiva spridningsverktyg och kan användas för att sprida desinformation i stor skala, till exempel i syfte att påverka marknaden för finansiella instrument. Kunskapen om botnät verkar dock inte ha ökat bland Internetanvändarna. Ofta vet människor inte om att deras datorer har blivit kapade och även om de gjorde det, vet de inte vad de kan göra åt saken. I takt med utbyggd bandbredd hos hushållen, ökar också slagstyrkan hos ett botnät av infekterade hemdatorer. Samlade i ett enda botnät skulle Sveriges 2,5 miljoner bredbandsanslutna hushåll i teorin kunna få en total kapacitet som är åtminstone gånger så stor som hos den största attackvåg som kunde observeras i Estland under våren

15 För att kunna tackla problemen med botnät krävs det ett nära samarbete mellan olika rättsvårdande myndigheter, Internetleverantörer och privata aktörer. Fler makthavare behöver dessutom bli medvetna om problemet och lagstiftning inom området harmoniseras för att kunna åtala cyberkriminella. Ett problem med att bedöma IT-kriminalitetens konsekvenser för samhället är det stora mörkertalet. Företag och organisationer drar sig fortfarande för att anmäla brott i rädsla för att skada sitt eget rykte. Därmed är det ytterst svårt att veta omfattningen på de olika typer av IT-brott som kan påverka samhället. Till exempel ger de svenska bankerna inga tecken på att vara särskilt oroade, medan trenden i Europa visar på fler bedrägerier vilket istället oroar Interpol. IT-brott mot banker och värdepappersinstitut skulle i förlängningen kunna hota allmänhetens förtroende för det finansiella systemet. Bedömningen är att angreppen för närvarande inte hotar stabiliteten. Mycket av IT-brottsligheten bygger på utnyttjande av olika slags personuppgifter som bankkonton, inloggningsuppgifter, personnummer och kreditkortsuppgifter. Handel med dylika uppgifter är vanligt förekommande i hela världen, något som kan ha effekt på användarnas beteende. Även för e-förvaltningen är förtroendet för tjänsterna den springande punkten och IT-kriminaliteten utgör ett av de största hoten mot att myndigheternas e-tjänster utvecklas vidare och att fler medborgare utnyttjar dem. Det har även förekommit fall där svenska myndigheter har blivit utsatta för incidenter som syftar till att påverka deras beslutsprocess. 4.3 Direkta IT-relaterade angrepp mot samhället Detta avsnitt uppmärksammar särskilt sådana fall där antagonisten har som uttalad avsikt att skada det offentliga eller producenter av sådant som kan anses vara samhällsviktiga förnödenheter och tjänster, som till exempel elbolag och transportföretag. Målet kan också vara informationshämtning, men då på en nivå som hotar rikets säkerhet. Vid IT-relaterade angrepp mot kritisk samhällsinfrastruktur eller staters informationstillgångar skiljer sig metoderna något från dem som beskrivits i tidigare avsnitt. Detta främst genom behovet av avancerad underrättelseverksamhet. Kritiska faktorer för verkställandet av hoten är aktörens resurser som tid och pengar. Terroristorganisationer och statsmakter kan givetvis samarbeta och beställa tjänster från andra aktörer också. Exempel på samarbete mellan kriminella förmågor och terrorister med religiösa motiv har förekommit. När det gäller tillgång till känslig information och känsliga system är insidern en central aktör. Organisationer med kännedom om vikten av sina informationstillgångar är benägna att skydda dem efter bästa förmåga. Externa aktörer får därmed svårare att göra intrång om de saknar insiderkunskap eller en person på insidan. Ett problem är att insiderverksamhet är svårare att upptäcka i och med att personen ofta har legitim åtkomst till kritiska informationstillgångar. Konsekvenserna kan bli särskilt allvarliga om det till exempel rör sig om företagsspionage inom verksamheter av särskild betydelse för svenska intressen. Insidern kan givetvis agera på egen hand också och med olika motiv, som till exempel sabotage i hämndsyfte. Som exempel kan nämnas skadegörelsen under året mot en myndighets ITsystem då en anställd avsiktligt flyttade och raderade filer i nätövervakningssystemet. Personen hade systemrättigheter till systemets mest kritiska delar. Den missnöjde arbetstagaren är inget nytt hot, men i de fall personen har tillgång till informationstillgångar av kritisk natur för samhället är risken givetvis stor att även konsekvenserna blir allvarliga. 15

16 4.3.1 Cyberkrig och terrorism Cyberkrigföring och statsmakters IT-baserade underrättelseverksamhet spås växa i omfattning framöver och under 2007 rapporterades fler fall av detta än någonsin tidigare. Bland annat har amerikanska myndighetssystem utsatts för intrångsförsök som sägs härstamma från främmande stat. I juni 2007 uppmärksammades en attack mot Pentagon och det amerikanska försvarsdepartementets e-postsystem som ledde till att över 1500 datorer fick kopplas bort från nätet. Även Tyskland och Storbritannien har uppgett att de under 2007 varit föremål för fler attacker än tidigare år mot nationella myndigheter. Som exempel drabbades den tyska premiärministerns kansli av intrång. De attacker som skett har varit mer sofistikerade och specifikt utformade för att undgå upptäckt. Allmän nyfikenhet har ersatts av specifika mål som politisk, ekonomisk och teknisk vinning. Enligt analytiker på NATO är många stater omedvetna om de hot som finns mot dem och att de är öppna för attacker. Ett flertal länder uppges utveckla teknik för att kunna angripa andra länders informationssystem. Attackerna mot Estland har ytterligare aktualiserat frågan om cyberkrigföring och den har hamnat på dagordningen i internationella fora som Nato, EU och FN. För Sveriges del bedöms hotet om externa angrepp mot nationella mål vara lågt för närvarande. Däremot kan exempelvis svensk spetsteknologi och forskning vara av intresse för statliga aktörer. Traditionellt har terrorister använt Internet för rekrytering, bred informationsinhämtning och kommunikation. Den nya cyberterrorismen visar dock samma tecken på specialisering som IT-kriminaliteten och handlar nu bland annat om kartläggning av sådana verksamheter där ett angrepp kan orsaka stor skada. Det finns bland annat indikationer på att religiösa lärosäten kan komma att utvecklas till plantskolor för cyberterrorister. I takt med ökad IT-mognad ökar också risken för att avancerade IT-attacker används i kombination med fysiska terrorhandlingar. Att terrorister har flyttat ut sin verksamhet på Internet har medfört vissa problem för flera nationer då deras lagstiftning hindrat dess rättsväsende att vidta nödvändiga åtgärder för att följa verksamheten på ett effektivt sätt. Den belgiska polisen uppger till exempel att terroristerna sedan länge upphört med att sköta sina kontakter via mobiltelefoner och numera helt gått över till att använda sig av säkra webbsidor dit den belgiska polisen inte har någon åtkomst på grund av bestämmelser i lagen. Åklagare efterfrågar därför en ändring av dessa förhållanden för att hindra terroristerna att ligga steget före. Även den tyska polisen har uppgett att en rådande brist på specialister som kan utföra Internetbaserad efterforskning leder till ett ökat terrorhot. Den tyska inrikesministern uppges efterfråga det skyndsamma införandet av en särskild lag som ger polisen möjlighet att i vissa fall genomföra hemliga efterforskningar via Internet Angrepp mot digitala kontrollsystem I dagsläget består den största delen av den öppna informationen om IT-relaterade incidenter i digitala kontrollsystem av anekdoter och övergripande beskrivningar av ett fåtal händelser. Tyvärr saknas många relevanta tekniska detaljer, även när det gäller de publikt uppmärksammade incidenterna. I de öppna incidentdatabaser som finns saknas vanligen sökbara begrepp som relaterar specifikt till digitala kontrollsystem. De databaser som endast behandlar incidenter i kontrollsystem är inte publikt tillgängliga. Vidare saknas etablerade standarder för incidentrapportering inom området, och den här informationen uppfattas ofta som mycket känslig. 16

17 Det kan även finnas formella skäl till varför informationen inte kan rapporteras, till exempel i de fall där informationen berör rikets säkerhet. Sammanfattningsvis är det mycket svårt att ge någon entydig bild av de antagonistiska hoten mot digitala kontrollsystem i samhällsviktiga verksamheter. Området har behandlats vid hackarkonferenser sedan många år tillbaka, och relativt detaljerade tekniska diskussioner pågår i olika forum. Under senare år verkar området även ha fått en ökad uppmärksamhet bland mindre kvalificerade hackare och begagnad utrustning som används i kontrollsystem efterfrågas, och erbjuds, i olika sammanhang på Internet. CIA presenterade för första gången någonsin sin syn på hoten mot digitala kontrollsystem vid SANS SCADA Summit i New Orleans i januari Enligt den öppna presentationen känner man till ett flertal intrång i infrastruktursystem utanför USA vilka även följts av utpressningsförsök. CIA misstänker, men kan inte bekräfta, att i några av dessa fall har angriparna haft hjälp av insiders. Vidare har IT-relaterade attacker stört utrustning i elsystem i ett flertal regioner utanför USA. I åtminstone ett fall har en IT-relaterad attack lett till ett samtidigt elavbrott i flera städer. Intrång i digitala kontrollsystem beskrivs som vanligare än vad som ansetts hittills och externa attacker via Internet har förekommit. Hittills har man inte sett några IT-relaterade attacker som gett fysiska skador eller ekonomiska förluster som följd av långa eller geografiskt utspridda störningar. CIA:s öppna presentation innehöll inte några närmare tekniska detaljer eller uppgifter om vilken typ av angripare det handlat om. Informationen är ändå betydelsefull, främst av den anledningen att ingen annan säkerhetsmyndighet hittills officiellt gått ut och bekräftat att man känner till specifika angrepp mot digitala kontrollsystem. 17

18 5 Sårbarheter och risker Sårbarhet betecknar säkerhetsbrister av såväl teknisk som administrativ karaktär. I detta kapitel har vi även valt att inbegripa företeelser som brukar benämnas icke antagonistiska hot, eftersom dessa är starkt sammankopplade med sårbarheter. Med icke antagonistiska hot avses exempelvis naturkatastrofer, olyckor, tekniska fel och mänskliga misstag. IT-incidenter beror i högre grad på administrativa än tekniska sårbarheter. Enligt myndigheternas egna uppskattningar har två tredjedelar av inträffade incidenter under 2007 möjliggjorts av administrativa sårbarheter samt sådana orsaker som kan kopplas till den mänskliga faktorn. 5.1 Administrativa sårbarheter Riksrevisionens granskning av regeringens styrning av informationssäkerhetsansvariga myndigheter Riksrevisionen publicerade under 2007 en granskning av regeringens styrning av informationssäkerhetsarbetet inom den statliga förvaltningen. Riksrevisionens samlade bedömning är att det inte gjorts tillräckligt för att följa upp och kontrollera den interna styrningen av informationssäkerheten vid myndigheterna. Regeringens strategi inom informationssäkerhet ger inte någon tydlig vägledning till myndigheterna, utan är mer allmänt hållen. Vidare konstaterar Riksrevisionen att expertmyndigheterna inte har givits tillräckligt tydliga mandat vilket försvårat arbetet med att förmedla en samlad bild från myndigheterna. Även själva organiseringen av arbetet inom regeringskansliet bedöms av Riksrevisionen vara otillräcklig för att kunna hantera myndigheternas informationssäkerhetsfrågor. Regeringens organisering av informationssäkerhetsarbetet kan också påverka hur Sverige bedriver detta arbete inom EU. Sverige bedöms ha stora möjligheter att påverka EU:s politik på detta område. Att agera vid rätt tidpunkt är emellertid minst lika viktigt som hur och med vem det sker. Svenska representanter behöver därför vara uppdaterade på vilken övergripande informationssäkerhetspolitik som Sverige vill bedriva och dessutom vilka personer de ska samverka med samt vilka som har kunskaper i sakfrågor och processer. Idag har Sverige aktörer från departement, myndigheter, näringsliv och universitet som är engagerade i olika delar av EU:s informationssäkerhetsarbete. För att mer effektivt kunna påverka från de olika sektorerna krävs en samlad och konsekvent generell linje från svensk sida Bristande förmåga att hantera storskaliga attacker Erfarenheterna från bland annat händelserna i Estland våren 2007 visar att det vid en storskalig attack är betydelsefullt att upprätthålla en gemensam lägesbild. Det är oklart hur Sverige skulle lösa den uppgiften vid en liknande allvarlig händelse och vilka aktörer som skulle ta på sig arbetet. Under normala förhållanden förefaller Sveriges nätoperatörer samarbeta väl idag. Vad som däremot är mer osäkert är hur situationen skulle hanteras vid ett större nätangrepp mot svenska intressen. Sverige har idag inte någon effektiv mekanism för att upptäcka störningar och angrepp i nättrafiken och kan inte därför upprätthålla någon generell lägesbild. Ytterligare en försvårande faktor är att aktörerna bakom de mer kvalificerade attackerna sällan går att spåra. Många attackflöden är kortvariga till sin karaktär och kräver därför att den organisation eller aktör som ska hantera incidenter kan handla snabbt och effektivt. För detta krävs bland annat goda kontakter med nätoperatörer så att flöden kan stängas av så nära källan som 18

19 möjligt, ofta i nät på andra platser i världen. Den svenska staten har inte något större inflytande över dessa procedurer. De baseras på en kombination av informella kontaktnät och affärsavtal mellan operatörer där polisanmälan ofta utgör en förutsättning för att motparten ska strypa trafikflöden eller spärra enskilda användare. Hittills har detta fungerat väl. De flesta normalt förekommande incidenter är ur ett samhällsperspektiv små och berör egentligen inte staten. Men om staten står utanför det operativa informationsflödet vid normaltillstånd kommer motsvarande att gälla även i en kritisk situation. Detta är ett dilemma. Efter händelserna i Estland har frågan om hantering av storskaliga nätangrepp aktualiserats i flera internationella organ, och diskussionen om cyberförsvar har nu på flera håll börjat fokuseras på myndigheternas kontroll över tillståndet i sina egna nät. Myndighetsnäten kallas med ett samlingsnamn ofta för govnet (government network). I mindre länder med mer eller mindre samlade myndighetsnät är det relativt okomplicerat att upprätthålla kontroll över trafiken i dem. I större länder eller länder med mer spridd nätstruktur krävs det däremot särskilda åtgärder för att få en samlad lägesbild av tillståndet i myndighetsnäten. Åtgärderna kan bestå av direkt nätövervakning eller av automatiserad eller manuell avvikelserapportering från de olika myndighetsnäten. För myndigheter inom den svenska statsförvaltningen är det viktigt kunna upprätthålla ett sektorövergripande informationsutbyte mellan myndigheter i samband med en allvarlig händelse. När tillgängligheten i Internet är begränsad eller helt utslagen kan till exempel SGSI (Swedish Government Secure Intranet) utgöra en redundant kommunikationsväg. SGSI kan även nyttjas för kommunikation med EU:s organ och myndigheter. En tydlig sårbarhet i samband med nätangrepp är det begränsade antal personer i Sverige som besitter den operativa erfarenhet som krävs för att hantera omfattande och tidsmässigt utdragna händelser. Kompetensen finns idag huvudsakligen hos nätoperatörerna och det svenska knutpunktsbolaget. Situationen är liknande på andra håll i världen. Vid mycket omfattande incidenter kan det snabbt uppstå behov av ytterligare ledningsstöd, både hos de kommersiellt verksamma nätoperatörerna och i en organisation som hanterar incidenter i myndighetsnät. I det läget krävs personer med mycket speciella erfarenheter, till exempel av loggranskning och analys av trafikdata. Att se till att den kompetensen finns tillgänglig i en tillräckligt vid krets av personer skulle kunna utgöra ett bidrag från samhället till en i övrigt väl fungerande Internetinfrastruktur Myndigheters bristande rutiner och arbetssätt Ett problem med informationssäkerhet är att det skyddsvärda inte alltid är synligt. Människor kan ha svårt att uppskatta det abstrakta värdet som finns i skyddsvärd information. Dessutom kan det vara svårt att bryta mönster på en arbetsplats. Vanans makt är mycket stor när det gäller rutiner och arbetssätt. Säkerhetsanalyser och återkommande tillsynsverksamhet är därför viktiga verktyg. I början av 2008 uppmärksammades en händelse där en anställd vid försvarsmakten glömt kvar ett USB-minne i en öppen datasal i biblioteket vid Stockholms Universitet. Detta minne innehöll dokument om bland annat sprängmedel samt säkerhets- och utbildningsmaterial. Viss del av informationen kom även från USA. Ett annat fall där känsliga uppgifter kom bort inträffade i England under slutet av 2007 då två CD-skivor från det brittiska skatteverket försvann i posten. De innehöll känsliga uppgifter om 19

20 25 miljoner britter däribland detaljerad information om alla brittiska barnbidragstagare. Det var en anställd som kopierade uppgifter om barnbidragsmottagare och skickade två försändelser med bud till den brittiska riksrevisionen varvid den ena inte kom fram. De svenska myndigheterna förefaller arbeta på olika sätt med informationsinsamling om hotbilder och potentiella incidenter. Vissa uppger att de agerar på incidenter i takt med att de uppstår, andra förlitar sig på rapporter från sina nätleverantörer. Somliga förefaller ha goda rutiner och arbetar aktivt med hotbildsanalyser medan andra inte har några rutiner alls. Årliga risk- och sårbarhetsanalyser kan användas som ett sätt att identifiera sårbarheter inom den egna organisationen. Tyvärr verkar informationssäkerhet ännu inte ha någon naturlig plats i dessa analyser. Enbart 15 av de 103 myndigheter som upprättat risk- och sårbarhetsanalyser 2006 har analyserat området informationssäkerhet. Detta trots att det i KBM:s enkätundersökning framkommit att över hälften av de tillfrågade myndigheterna uppgett att riskanalys inom informationssäkerhet ingår i verksamhetens säkerhetsarbete. I Riksrevisionens granskning ansåg de tillfrågade myndigheterna att organisationens informationssäkerhet var tillräcklig eller i något fall behäftad med mindre brister. Det visade sig dock att myndigheterna inte arbetade tillräckligt efter de normer som finns avseende intern styrning och kontroll av informationssäkerheten. Granskningen visade på att brister i säkerhetsarbetet i flera fall lett till incidenter. Exempelvis har det förekommit att handläggare inte kunnat nå nödvändig information på grund av att man misslyckats med att avvärja virusattacker. I andra fall har samhällstjänster blivit tvungna att släckas ned i upp till två veckor och vissa brister på myndigheternas webbplatser har lett till att obehöriga fått tillgång till integritetskänsliga uppgifter. Sådana brister i säkerheten hos myndigheterna som leder till att obehöriga får tillgång till känslig information skulle i förlängningen kunna hota hela den statliga satsningen på e-förvaltning. Ledningens betydelse för informationssäkerheten är något som flera gånger påpekats i tidigare lägesbedömningar. Även Riksrevisionen har under 2007 konstaterat att bristerna bland annat finns på ledningsnivå. Ledningarna är osäkra på vilka uppgifter de själva har i informationssäkerhetsarbetet, vilket i förlängningen leder till att man inte begär tillräckliga eller tydliga underlag om de hot och risker som finns och därmed inte heller kan prioritera arbetet rätt. Ett annat problem tycks vara att de åtgärder som ledningen beslutat om inte efterföljs. Ledningen följer å andra sidan inte alltid upp om säkerheten uppfyller de krav som ställts. En tredjedel av de myndigheter som KBM tillfrågat har inte identifierat, förtecknat eller prioriterat kritiska system för verksamheten. Vidare har en fjärdedel av dem inte inbegripit IT-relaterade kriser i sin krishanteringsplan. Dessutom saknar nästan hälften av myndigheterna en fastställd informationssäkerhetspolicy och drygt hälften saknar såväl ledningssystem för informationssäkerhet som systemsäkerhetsanalyser för sina verksamhetskritiska system. När det gäller myndigheters säkerhetsarbete har det framkommit att det är i själva säkerhetsanalysen bristerna finns. Myndigheter upplever framför allt att det är svårt att definiera vilka saker som kan beröra rikets säkerhet. Svårigheten ligger i att hotbilden förändras i takt med exempelvis saker som händer runt om i världen - samt förändringar i myndighetens egen verksamhet. Detta gör att det inte går att ha någon statisk lista på vad som är skyddsvärt. 20

Samhällets informationssäkerhet

Samhällets informationssäkerhet Samhällets informationssäkerhet Handlingsplan 2008 2009 2010 Dr. Per Oscarson Krisberedskapsmyndigheten Krisberedskapsmyndigheten försvinner Myndigheten för samhällsskydd och beredskap (MSB) ersätter KBM,

Läs mer

Vem tar ansvar för Sveriges informationssäkerhet?

Vem tar ansvar för Sveriges informationssäkerhet? Vem tar ansvar för Sveriges informationssäkerhet? 6 åtgärder för förbättrad informationssäkerhet Sälen 2008-01-14 Vem har ansvaret vid en storskalig it-attack? Vem skulle vara ansvarig om Sverige utsattes

Läs mer

Tal till Kungl. Krigsvetenskapsakademien

Tal till Kungl. Krigsvetenskapsakademien C LAES N O R G R E N R I K S R E V I S O R Tal till Kungl. Krigsvetenskapsakademien Riksrevisor Claes Norgren talar om informationssäkerhet inför Kungl. Krigsvetenskapsakademien, Försvarshögskolan 27 april

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Strategi för samhällets informationssäkerhet 2010 2015

Strategi för samhällets informationssäkerhet 2010 2015 Strategi för samhällets informationssäkerhet 2010 2015 Strategi för samhällets informationssäkerhet 2010 2015 1 Förord I dagens informationssamhälle bearbetar, lagrar, kommunicerar och mångfaldigar vi

Läs mer

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet Richard Oehme Chef enheten för samhällets informationssäkerhet Internrevisionen Generaldirektör Överdirektör Kommunikationsdirektör

Läs mer

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket Informationssäkerhet en förutsättning för effektiv digitalisering Moderator: William Linnefell, Ekonomistyrningsverket Informationssäkerhet en utmaning eller ett stöd i digitaliseringsarbetet? ESV-dagen

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

EBITS 2013. Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

EBITS 2013. Totalförsvarets Forskningsinstitut David Lindahl Erik Westring EBITS 2013 Totalförsvarets Forskningsinstitut David Lindahl Erik Westring Demo: Hur går ett angrepp till Något förenklat på grund av tidsbrist..men bara något. Antagonistiska hot Antagonistiska hot är

Läs mer

TMALL 0141 Presentation v 1.0. Cybersäkerhet och ny lagstiftning

TMALL 0141 Presentation v 1.0. Cybersäkerhet och ny lagstiftning TMALL 0141 Presentation v 1.0 Cybersäkerhet och ny lagstiftning Bertil Bergkuist Säkerhet och Risk IT IT-Säkerhetssamordnare bertil.bergkuist@trafikverket.se Direkt: 010-125 71 39 Trafikverket Solna strandväg

Läs mer

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1 Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet Under denna gransknings gång har två pågående utredningar haft i uppdrag att hantera mer övergripande frågor som

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Genomförande av direktivet om it-relaterad brottslighet. Arbetsgruppen, ordförande Asko Välimaa, sekreterare Mikko Monto

Genomförande av direktivet om it-relaterad brottslighet. Arbetsgruppen, ordförande Asko Välimaa, sekreterare Mikko Monto 29.4.2014 Publikationens titel Författare Justitieministeriets publikation Genomförande av direktivet om it-relaterad brottslighet Arbetsgruppen, ordförande Asko Välimaa, sekreterare Mikko Monto 27/2014

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Hur står det till med den personliga integriteten?

Hur står det till med den personliga integriteten? Hur står det till med den personliga integriteten? en kartläggning av Integritetskommittén Delbetänkande av Integritetskommittén Stockholm 2016 SOU 2016:41 Sammanfattning Inledning För att kunna ta del

Läs mer

Hälsoläget i.se 2008. Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Hälsoläget i.se 2008. Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef Hälsoläget i.se 2008 Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef Hot mot domännamnssystemet DNS related threats Undersökning av.se 2008 Vad? Hur hanterar verksamheter sin DNS? Hur hanterar

Läs mer

En enklare förvaltning - till nytta för medborgare och företag

En enklare förvaltning - till nytta för medborgare och företag Offentliga rummet 2007-05-30 Bo Frändén bo.franden@verva.se 08-5505 5745 Grundfakta om VERVA Enrådighetsverk med ett råd Generaldirektör Lena Jönsson chef för myndigheten 6 Enheter Ca 100 anställda 60

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Regler för användning av Riksbankens ITresurser

Regler för användning av Riksbankens ITresurser Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och

Läs mer

Remissvar över rapporten Utveckling av Sitic, Sveriges IT-incidentcentrum

Remissvar över rapporten Utveckling av Sitic, Sveriges IT-incidentcentrum Datum 2007-02-05 Er ref: N2006/6947/ITFoU Sida 1(5) Näringsdepartementet Enheten för IT, forskning och utveckling 103 33 STOCKHOLM Remissvar över rapporten Utveckling av Sitic, Sveriges IT-incidentcentrum.SE

Läs mer

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Följande allmänna råd ansluter till förordningen (2006:942) om krisberedskap och

Läs mer

Säkerhetsanalys. Agenda. Säkerhetsanalys maj 2012 Svante Barck-Holst. Säkerhetspolisen Säkerhetsskydd Säkerhetsanalys

Säkerhetsanalys. Agenda. Säkerhetsanalys maj 2012 Svante Barck-Holst. Säkerhetspolisen Säkerhetsskydd Säkerhetsanalys Säkerhetsanalys 10 maj 2012 Svante Barck-Holst Agenda Säkerhetspolisen Säkerhetsskydd Säkerhetsanalys Vad är en säkerhetsanalys? Vad är syftet? Begrepp Risk och sårbarhetsanalys vs. Säkerhetsanalys Metod

Läs mer

It-stabilitet i otakt. 10 december 2008 DNR :19

It-stabilitet i otakt. 10 december 2008 DNR :19 It-stabilitet i otakt 10 december 2008 DNR 08-7951 2008:19 INNEHÅLL SLUTSATSER 1 AVBROTT I VÄSENTLIGA SYSTEM 2 De finansiella företagen och avbrott i väsentliga system 2 Resultat och analys 3 INTRÅNG I

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Informationssäkerheten i den civila statsförvaltningen

Informationssäkerheten i den civila statsförvaltningen 1 Informationssäkerheten i den civila statsförvaltningen Internrevisorernas nätverksdag 4 maj 2015 Per dackenberg marcus pettersson 2 Vad såg Riksrevisionen 2005 2007? En serie granskningar av 11 myndigheters

Läs mer

Digital strategi för Uppsala kommun 2014-2017

Digital strategi för Uppsala kommun 2014-2017 KOMMUNLEDNINGSKONTORET Handläggare Datum Diarienummer Sara Duvner 2014-04-23 KSN-2014-0324 Digital strategi för Uppsala kommun 2014-2017 - Beslutad av kommunstyrelsen 9 april 2014 Postadress: Uppsala kommun,

Läs mer

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon Sammanställt av Bengt-Göran Carlzon Säkerhet på Internet Bristande säkerhet på Internet beror i första hand på 3 saker 1. UOkunskap 2. Slarv 3. Oseriösa användare Informationssäkerhet För mycket skydd

Läs mer

Ny samverkan till stöd vid upphandling av kryptolösningar

Ny samverkan till stöd vid upphandling av kryptolösningar Försvarets Materielverk/CSEC 2005 Document ID ED-188 Issue 0.1 Ny samverkan till stöd vid upphandling av kryptolösningar Dag Ströman, Verksamhetschef, Sveriges Certifieringsorgan för IT-säkerhet vid FMV

Läs mer

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23) REMISSVAR DNR: 5.1.1-2015- 0781 Justitiedepartementet 103 33 Stockholm Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23) Riksrevisionen

Läs mer

Datasäkerhet. Hur ska vi göra för att skydda våra datorer mot virus och andra hot?

Datasäkerhet. Hur ska vi göra för att skydda våra datorer mot virus och andra hot? Datasäkerhet Hur ska vi göra för att skydda våra datorer mot virus och andra hot? Eva Blommegård, Lars-Anders Westlin samt Bengt Wolff SeniorNet Tyresö Agenda och definitioner Virusskydd Lösenord. Säkra

Läs mer

Certifiering av informationssäkerhet Vad, varför, hur? Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.

Certifiering av informationssäkerhet Vad, varför, hur? Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis. Certifiering av informationssäkerhet Vad, varför, hur? Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Vad är.se? Stiftelsen för Internetinfrastruktur grundades

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

INFORMATIONSSÄKERHETSÖVERSIKT 1/2010

INFORMATIONSSÄKERHETSÖVERSIKT 1/2010 INFORMATIONSSÄKERHETSÖVERSIKT 1/2010 9.4.2010 1 CERT-FI informationssäkerhetsöversikt 1 /2010 Inledning Informationssäkerheten för registerade användare av spelsidan Älypää äventyrades då användaruppgifter

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

PM 2009-01-21. DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport.

PM 2009-01-21. DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport. 1(5) KS 2008/0177 Översyn av IT- och telefonidrift - lägesrapport Bakgrund Under det gångna året har inträffat ett antal driftstopp inom IT och telefoni som fått allvarliga konsekvenser genom att för verksamheten

Läs mer

Utlysning av forskningsmedel: Ett resilient betalningssystem

Utlysning av forskningsmedel: Ett resilient betalningssystem MSB-51.1 Myndigheten för samhällsskydd och beredskap PM 1 (9) Utlysning av forskningsmedel: Ett resilient betalningssystem samhällsskydd och beredskap PM 2 (9) Innehållsförteckning Utlysning av forskningsmedel:

Läs mer

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1 Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1 Myndigheten för samhällsskydd och beredskap föreskriver följande med stöd

Läs mer

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden. Konsekvensutredning Datum Vår referens Sida 2015-01-26 Dnr: 14-13006 1(14) Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Konsekvensutredning avseende upphävande av Post- och telestyrelsens

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet samt transmission -C 2 (7) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 6 3 (7) 1 Allmänt Borderlight har styrdokument

Läs mer

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2016-04-29 Dnr: 16-1282 Nätsäkerhetsavdelningen Anders Lindell 08-678 55 41 anders.lindell@pts.se Hi3G Access AB Årlig tillsyn över incidentrapportering och inträffade

Läs mer

Datakursen PRO Veberöd våren 2011 internet

Datakursen PRO Veberöd våren 2011 internet Datakursen PRO Veberöd våren 2011 internet 3 Internet Detta kapitel presenteras det världsomspännande datanätet Internet. Här beskrivs bakgrunden till Internet och Internets uppkomst. Dessutom presenteras

Läs mer

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhet - Instruktion för förvaltning Informationssäkerhet - Instruktion för förvaltning Innehållsförteckning 1. INFORMATIONSSÄKERHET...3 2. ORGANISATION OCH ANSVAR INFORMATIONSSÄKERHET...4 2.1 KOMMUNSTYRELSEN... 4 2.2 NÄMND OCH BOLAG... 4

Läs mer

MSB:s arbete med samhällets information- och cybersäkerhet. Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)

MSB:s arbete med samhällets information- och cybersäkerhet. Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB) MSB:s arbete med samhällets information- och cybersäkerhet Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB) Förmågor i samhället som MSB ska bidra till Samhällets förmåga

Läs mer

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Undantag från förbudet i 21 personuppgiftslagen (1998:204) BESLUT Dnr 2008-03-18 1402-2007 Svenska Bankföreningen Att: Marie-Louise Ulfward Box 7603 103 94 STOCKHOLM Såsom ombud för: Se bilaga. Undantag från förbudet i 21 personuppgiftslagen (1998:204) Datainspektionens

Läs mer

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket 15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009 Om trådlösa nät 2 Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009 Om trådlösa nät Trådlösa nät för uppkoppling mot Internet är vanliga både

Läs mer

Försvarsdepartementet

Försvarsdepartementet Ds 2006:1 En strategi för Sveriges säkerhet Försvarsberedningens förslag till reformer REGERINGENS PROPOSITION 2005/06:133 Samverkan vid kris - för ett säkrare samhälle Säkerhetsstrategin Arbetet bör bedrivas

Läs mer

Att hantera överbelastningsattacker 1

Att hantera överbelastningsattacker 1 Att hantera överbelastningsattacker Att hantera överbelastningsattacker 1 Att hantera överbelastningsattacker Myndigheten för samhällsskydd och beredskap (MSB) Layout: Advant Produktionsbyrå AB Tryck:

Läs mer

Handledning i informationssäkerhet Version 2.0

Handledning i informationssäkerhet Version 2.0 Handledning i informationssäkerhet Version 2.0 2013-10-01 Dnr 1-516/2013 (ersätter Dnr 6255/12-060) Informationssäkerhet 6 saker att tänka på! 1. Skydda dina inloggningsuppgifter och lämna aldrig ut dem

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS, 2013 11 13

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS, 2013 11 13 Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? henrik.christiansson@sakerhetspolisen.se Enheten för InformationsSäkerhet och Bevissäkring i IT-miljö (ISBIT) EBITS,

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (14) Innehåll 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 6 3 (14) 1 Allmänt 2 4 (14) Informationssäkerhet och de risker myndigheter utsätts för är frågor som

Läs mer

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE 2013-01-28, 8

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE 2013-01-28, 8 VÄSTERVIKS KOMMUN FÖRFATTNINGSSAMLING SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE 2013-01-28, 8 RIKTLINJER FÖR SÄKERHETSARBETET ANTAGNA AV KOMMUN- STYRELSEN 2013-01-14, 10

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2016-04-29 Dnr: 16-1327 Nätsäkerhetsavdelningen Anna Montelius 08-678 58 12 anna.montelius@pts.se Telia Company AB Årlig tillsyn över incidentrapportering och

Läs mer

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet Dnr: / stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete

Läs mer

Riskanalys och informationssäkerhet 7,5 hp

Riskanalys och informationssäkerhet 7,5 hp Riskanalys och informationssäkerhet 7,5 hp Margaretha Eriksson Civ.Ing. och doktorand i informationssäkerhet KTH irbiskonsult@tele2.se Föreläsning 1 Vad menar vi med säkerhet? Säkerhet är en grad av skydd

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Internetsäkerhet. banktjänster. September 2007

Internetsäkerhet. banktjänster. September 2007 Internetsäkerhet och banktjänster September 2007 Skydda din dator Att använda Internet för att utföra bankärenden är enkelt och bekvämt. Men tänk på att din datormiljö måste vara skyddad och att du aldrig

Läs mer

Är vår beredskap god? Moderator: Anna Ahlgren, Ekonomistyrningsverket

Är vår beredskap god? Moderator: Anna Ahlgren, Ekonomistyrningsverket Är vår beredskap god? Moderator: Anna Ahlgren, Ekonomistyrningsverket GOB-satsningen Anders Tegsten, Polisen GOB-satsningen Verksamhetsanalytiker Anders Tegsten anders.tegsten@polisen.se Sekretariatet

Läs mer

FINLANDS FÖRFATTNINGSSAMLING

FINLANDS FÖRFATTNINGSSAMLING FINLANDS FÖRFATTNINGSSAMLING Utgiven i Helsingfors den 14 april 2015 368/2015 Lag om ändring av strafflagen Utfärdad i Helsingfors den 10 april 2015 I enlighet med riksdagens beslut upphävs i strafflagen

Läs mer

Kommunrevisionen KS 2016/00531

Kommunrevisionen KS 2016/00531 V W Halmstad Kommunrevisionen Datum 2017-02-07 kommunrevisionen@halmstad.se Dnr KS 2016/00531 Yttrande - Granskning övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång

Läs mer

Vårt samhälle behöver ett civilt försvar för en bättre krisberedskap både till vardags och vid hot mot rikets säkerhet

Vårt samhälle behöver ett civilt försvar för en bättre krisberedskap både till vardags och vid hot mot rikets säkerhet P 1 Det här vill Civilförsvarsförbundet: Vårt samhälle behöver ett civilt försvar för en bättre krisberedskap både till vardags och vid hot mot rikets säkerhet I Inledning Inför uppbyggnaden av ett nytt

Läs mer

SAMMANFATTNING AV KONSEKVENSANALYSEN

SAMMANFATTNING AV KONSEKVENSANALYSEN EUROPEISKA GEMENSKAPERNAS KOMMISSION Bryssel den 6.11.2007 SEK(2007) 1425 ARBETSDOKUMENT FRÅN KOMMISSIONENS AVDELNINGAR som åtföljer förslag till rådets rambeslut om ändring av rambeslut 2002/475/RIF om

Läs mer

Samhällets informationssäkerhet. Lägesbedömning 2009

Samhällets informationssäkerhet. Lägesbedömning 2009 Samhällets informationssäkerhet Lägesbedömning 2009 2 MSB:s kontaktperson: Helena Andersson, 010-240 41 33 Publikationsnummer MSB 0023-09 ISBN 978-91-7383-009-6 3 Förord Myndigheten för samhällsskydd och

Läs mer

Kommittédirektiv. Framtidens stöd till konsumenter. Dir. 2011:38. Beslut vid regeringssammanträde den 5 maj 2011

Kommittédirektiv. Framtidens stöd till konsumenter. Dir. 2011:38. Beslut vid regeringssammanträde den 5 maj 2011 Kommittédirektiv Framtidens stöd till konsumenter Dir. 2011:38 Beslut vid regeringssammanträde den 5 maj 2011 Sammanfattning En särskild utredare ska se över det befintliga stödet till konsumenter i form

Läs mer

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser Regel BESLUTSDATUM: 2014-03-24 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Lars Andersson HANTERINGSKLASS: Ö P P E N SVERIGES RIKSBANK

Läs mer

Internetdagarna 2003-10-07--08. Staffan Karlsson. Informationssäkerhetsenheten. Enhetschef

Internetdagarna 2003-10-07--08. Staffan Karlsson. Informationssäkerhetsenheten. Enhetschef Internetdagarna 2003-10-07--08 Staffan Karlsson Enhetschef Informationssäkerhetsenheten Bakgrund Sårbarhets- och säkerhetsutredningen 2001 Fortsatt förnyelse av totalförsvaret Prop. 2001/02:10 Samhällets

Läs mer

Rapport om IT-infrastruktur och säkerhet inom offentlig sektor

Rapport om IT-infrastruktur och säkerhet inom offentlig sektor Rapport om IT-infrastruktur och säkerhet inom offentlig sektor De senaste åren har ett antal offentliga myndigheter blivit utsatta för hot och olaga intrång i sina IT-system. Inte minst Regeringskansliet

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

ISA Informationssäkerhetsavdelningen

ISA Informationssäkerhetsavdelningen ISA Informationssäkerhetsavdelningen Peter Nilsson, ISA N CISSP, GSLC FRA Signalunderrättelsetjänsten Drygt 600 personer Informationssäkerhetstjänsten Cirka 35 personer, sakta ökande Se även www.fra.se

Läs mer

Svenska e-legitimationer och certifikat. Wiggo Öberg, Verva

Svenska e-legitimationer och certifikat. Wiggo Öberg, Verva Svenska e-legitimationer och certifikat Wiggo Öberg, Verva Presentation av rapport och förslagets inriktning Historia och bakgrund Målbild Alternativa vägar Förslag Genomförande Frågor, synpunkter och

Läs mer

Slutrapport till SE:s Internetfond. rörande projektet. ECPAT Hotline 2007

Slutrapport till SE:s Internetfond. rörande projektet. ECPAT Hotline 2007 Slutrapport till SE:s Internetfond rörande projektet ECPAT Hotline 2007 Innehållsförteckning 1. Bakgrund 2. Projektets genomförande 3. Resultat och analys av 2007 4. Framtida arbete 2 1. Bakgrund Syftet

Läs mer

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter samhällsskydd och beredskap Konsekvensutredning 1 (5) Ingela Darhammar Hellström Avdelningen för risk- och sårbarhetsreducerande arbete Verksamheten för samhällets informations- och cybersäkerhet 072-233

Läs mer

Stockholm den 12 februari 2014

Stockholm den 12 februari 2014 R-2013/2026 Stockholm den 12 februari 2014 Till Justitiedepartementet Ju2013/4950/L4 Sveriges advokatsamfund har genom remiss den 11 november 2013 beretts tillfälle att avge yttrande över departementspromemorian

Läs mer

Resiliens i en förändrad omvärld

Resiliens i en förändrad omvärld WWW.FORSVARSMAKTE N.SE Resiliens i en förändrad omvärld 2015-03- 27 1 AGENDA Kort presentation inklusive Försvarsmaktens uppgifter Förändrad omvärld och förändrat samhälle hur ser hotbilden ut? Förändrat

Läs mer

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson,

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson, Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson, ID-handlingar i traditionell och elektronisk form Fysisk ID-handling Elektronisk ID-handling

Läs mer

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun Fastställd av kommunstyrelsen 2012-11-13 Dnr 2012-259 Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun Användningen av IT-stöd i vårt dagliga

Läs mer

Kommittédirektiv. En ny organisation för polisen? Dir. 2010:75. Beslut vid regeringssammanträde den 8 juli 2010

Kommittédirektiv. En ny organisation för polisen? Dir. 2010:75. Beslut vid regeringssammanträde den 8 juli 2010 Kommittédirektiv En ny organisation för polisen? Dir. 2010:75 Beslut vid regeringssammanträde den 8 juli 2010 Sammanfattning En parlamentarisk kommitté ska analysera i vilken utsträckning polisens nuvarande

Läs mer

Sveriges möjligheter att ta emot internationellt stöd vid kriser och allvarliga händelser i fredstid. Försvarsdepartementet

Sveriges möjligheter att ta emot internationellt stöd vid kriser och allvarliga händelser i fredstid. Försvarsdepartementet Sveriges möjligheter att ta emot internationellt stöd vid kriser och allvarliga händelser i fredstid. Hotet Regelverket Kriget Total-försvaret Kris! Extraordinär händelse! Svår påfrestning! Samhället Krisberedskap

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad:

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: I N T E R N T Säkerhetskrav på extern part För enskild individs direktåtkomst till Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn: Säkerhetskrav på extern part

Läs mer

Digitalisering av det offentliga Sverige

Digitalisering av det offentliga Sverige Digitalisering av det offentliga Sverige 2016-08-28 Frukostseminarium Mål för digitaliseringen av det offentliga Sverige Förvaltningspolitik It-politik Digital förvaltning Digitalt först En innovativ och

Läs mer