Sidan 1 av 29. Samhällets informationssäkerhet

Storlek: px
Starta visningen från sidan:

Download "Sidan 1 av 29. Samhällets informationssäkerhet"

Transkript

1 Sidan 1 av 29 Samhällets informationssäkerhet 2006 Lägesbedömning

2 Innehållsförteckning Sid 2(29) 1 Sammanfattning... 3 Ord- och förkortningslista Inledning KBM:s uppdrag Metodansats Disposition och läsanvisningar Uppföljning från Identifierade utvecklingstendenser av särskild betydelse för samhällets informationssäkerhet Övergripande tendenser på samhällsnivå Användartendenser Tekniska tendenser Organisatoriska tendenser Hot Botnät metoden för riktade och breda attacker Nätfiske nätbankernas gissel Social engineering fortfarande effektivt Ransomware informationskapning på hög nivå Underrättelsebaserade attacker Variationsmetodik Skadlig kod Sårbarheter och risker Administrativa sårbarheter Brister i den interna organisationen Brister i eller avsaknad av en informationssäkerhetspolicy Brister i eller avsaknad av genomförd risk- och sårbarhetsanalys Bristande rutiner eller bristfälligt kommunicerade rutiner Icke befintlig eller otillräcklig utbildning av personal Tekniska sårbarheter Fysiska lagret Länklagret Nätlagret Transportlagret Tillämpningslagret Skydd - förebyggande och skadebegränsande Administrativa skydd Tekniska skydd Skydd på samhällsnivå Europeiskt och internationellt samarbete Slutsatser... 27

3 Sid 3(29) 1 Sammanfattning Lägesbedömningen beskriver samhällets informationssäkerhet på en övergripande nivå. Den årliga lägesbedömningen vänder sig i första hand till regeringen men rapporten är även tänkt att kunna utgöra ett stöd till andra aktörer inom krishanteringssystemet. Då det är konstaterat att många sårbarheter och brister kan kopplas till den interna organisationen är det viktigt att se till att informationssäkerhetsfrågorna lyfts upp på ledningsnivå. Det är ledningens ansvar att se till att det finns en informationssäkerhetspolicy som är väl förankrad i verksamheten. Ledningen ska även tilldela roller, ansvar och befogenheter som gäller för informationssäkerhetsarbetet, samt se till att samordning sker när det gäller införandet av säkerhet i hela organisationen. Det är viktigt att det ges rätt förutsättningar för att kunna upprätthålla god informationssäkerhet. Det svenska samhället är en bra bit på väg mot ett tydligt beroende av Internet för att våra vardagsliv skall fungera. Nätanslutna informationssystem och mobil kommunikation har spridit sig till nästan alla samhällslivets områden. Samhället är beroende av att de tekniska och administrativa skyddsåtgärderna fungerar. Användarnas förtroende för informationssystemen är i detta sammanhang en kritisk faktor. För att möjliggöra mer omfattande e-tjänster är det viktigt att samhället tillhandahåller rätt förutsättningar för detta. Här spelar säker identifiering en viktig roll. Verva:s arbete med att standardisera elektronisk identifiering och utveckla säkerheten i offentliga e-tjänster utgör en viktig bas. Cyberbrottslingar utvecklar idag allt bättre metoder för att undgå upptäckt. De kommunicerar via publika system, kapade datorer, bedriver nätfiske och utbyter inte minst kunskap och tjänster med andra kriminella. För att fullgöra sin uppgift behöver rättsvårdande myndigheter resurser och befogenheter att följa den kriminella verksamheten, oavsett var den försiggår. Också detta har blivit uppenbart under det senaste året, där det vid incidenter visat sig svårt att spåra och lagföra gärningsmännen. Att samhället lägger allt större vikt vid elektronisk informationshantering och e- tjänster utan att ge motsvarande möjlighet till rättssystemet att upptäcka och lagföra brott är riskabelt, speciellt mot bakgrund av hur enkelt det är idag för internationella kriminella grupper att flytta sin verksamhet till de länder där risken för avslöjande och påföljd är låg. Ett steg på vägen i att ge rättsvårdande myndigheter utökat mandat är den lagrådsremiss som regeringen lämnat avseende att Sverige ska följa EU:s rambeslut om angrepp mot informationssystem. Antas förslaget kommer exempelvis tillgänglighetsattacker att bli straffbara. Även försök, förberedelse samt medverkan till sådana typer av brott kommer att bli straffbara. Ändringarna föreslås träda i kraft den 1 juni KBM har fått i uppdrag att ta fram ett förslag på en handlingsplan för genomförande och förvaltande av den nationella strategin för informationssäkerhet. Detta medför att många av de brister i samhället som lägesbedömningen tar upp kommer att utredas inom ramen för handlingsplanen. Handlingsplanen ska slutredovisas i mars 2008.

4 Sid 4(29) Ord- och förkortningslista Botnät Nätverk av datorer som infekterats med skadlig kod som gör det möjligt för en tredje part att kontrollera och fjärrstyra datorerna samtidigt. COTS Computers of The Shelf. Kommersiellt tillgängliga standardprodukter. DDoS-attacker Distributed Denial of Service. En DoS-attack (Denial of Service) innebär att ett nätverk mättas med ändlös och ovidkommande datatrafik och därigenom slås ut. DDoS innebär att denna trafik skickas från ett stort antal datorer. DNS (eng. Domain Name System) Domännamnsystem är ett system för att förenkla adressering av datorer på Internet. Exploit (attackpaket) En exploit är en förberedd och paketerad metod som inkluderar en sekvens av kommandon som utnyttjar en svaghet i syfte att genomföra en attack. GPS Globalt positioneringssystem IP Internet Protokoll är en standard för hur datatrafik skickas mellan datorer. Konfigurering De systeminställningar som används på en dator eller i ett nätverk. System levereras med vissa grundinställningar. Patchhantering Att täppa till upptäckta sårbarheter i befintlig programvara som redan används. Detta sker vanligtvis genom att programvaruleverantören distribuerar så kallade patchar. Nätfiske (eng. Phishing) En metod som går ut på att få en person att lämna ifrån sig konfidentiell finansiell information genom lura personen att antingen svara på ett falskt e-postmeddelande eller genom att besöka en falsk webbsida så kallat nätfiske. SAMFI myndigheter som ingår är: Krisberedskapsmyndigheten, Post- och telestyrelsen, Verket för förvaltningsutveckling, Försvarsmakten, Försvarets radioanstalt, Säkerhetspolisen och Försvarets materielverk SCADA-system (Supervisory Control And Data Acquisition) Styr- och kontrollsystem, som stödjer produktion och/eller distribution av samhällsviktiga tjänster eller produkter såsom till exempel el, spårbunden trafik eller dricksvatten. Skadlig kod Ett samlingsuttryck för program som orsakar avsiktlig direkt eller indirekt störning eller skada eller gör något annat i strid med den drabbades vilja. Virus, maskar eller trojaner är exempel på skadlig kod. Social engineering Vilseledning eller manipulation i syfte att förmå någon att till exempel lämna ut information. Phishing är en form av social engineering. Spam Massutskick av oönskad, obeställd e-post utan mottagarens samtycke, företrädesvis reklam. Spearphishing En form av phishing som riktar sig mot en specifik mottagare. Trojan Program som förutom att göra det som uppges också utför oönskade operationer. VPN Virtuellt Privat Nätverk.

5 Sid 5(29) 2 Inledning 2.1 KBM:s uppdrag Denna rapport utgör Krisberedskapsmyndighetens (KBM) årliga lägesbedömning av samhällets informationssäkerhet. Enligt sin instruktion 1 ska KBM sammanställa en helhetsbild av samhällets informationssäkerhet och årligen lämna en samlad bedömning till regeringen. I detta arbete ska myndigheten bland annat analysera omvärldsutvecklingen inom området med utgångspunkt från inhämtat underrättelsematerial. Lägesbedömningen beskriver samhällets informationssäkerhet på en övergripande nivå. Med informationssäkerhet avses här förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet vid hantering av information något som omfattar aspekter av såväl administrativ som teknisk karaktär. Den årliga lägesbedömningen vänder sig i första hand till regeringen men rapporten är även tänkt att kunna utgöra ett stöd till andra aktörer inom krishanteringssystemet. Lägesbedömningen utgör även ett internt inriktningsdokument för KBM:s arbete inom ramen för det sammanhållande ansvaret för samhällets informationssäkerhet. Bedömningen grundar sig primärt på utvecklingen under 2006 och har ett framtidsperspektiv på cirka ett år. 2.2 Metodansats I huvudsak har arbetet med att ta fram lägesbedömningen utgått från en kvalitativ metodansats. Ett stort antal djupintervjuer har genomförts med relevanta aktörer inom såväl offentlig som privat sektor vilka har bidragit med värdefullt underlag. Vidare har även egna fördjupningsstudier genomförts. Lägesbedömningen bygger på såväl öppet som hemligt material. Rapporten är öppen eftersom känslig information har kunnat verifieras med öppna källor alternativt har lyfts upp till en generell nivå där informationen är spridbar. Arbetet med att identifiera och prioritera viktiga frågor har skett i samverkan med aktörer som samverkansgruppen för informationssäkerhet (SAMFI) och KBM:s informationssäkerhetsråd, bara för att nämna några exempel. 2.3 Disposition och läsanvisningar Rapporten är indelad i fyra huvudkapitel och följer i stort en klassisk riskhanteringsmodell (där risk består av en sammanvägning av sannolikheten för och konsekvensen av att ett hot realiseras eller en sårbarhet nyttjas). I rapportens första kapitel: Identifierbara utvecklingstrender av särskild betydelse för samhällets informationssäkerhet behandlas några av de tendenser, på såväl användar- som teknisk- och organisatorisk nivå, som i stort samverkar till att skapa den kontext inom vilken olika aktörer har att agera. I nästföljande kapitel: Hot, fokuseras redovisningen på de metoder och de tekniker som utgör grund för IT-relaterade attacker. Till skillnad från föregående års analyser utgår denna beskrivning således inte från olika typer av aktörer och antagonister. Kapitlet som följer efter detta: Sårbarheter och risker behandlar 1 5 förordningen (2002:518) med instruktion för KBM

6 såväl tekniska som administrativa sårbarheter och därtill kopplade risker. I kapitlet Skydd presenteras förslag på skyddsåtgärder, eller förbättring av befintliga skyddsåtgärder, kopplat till tidigare diskussioner. I Lägesbedömningens avslutande kapitel: Slutsatser presenteras sammanfattande rapportens slutsatser. Sid 6(29)

7 Sid 7(29) 3 Uppföljning från 2006 Detta kapitel är en sammanfattande uppföljning av ett flertal av de slutsatser som presenterades i föregående års lägesbedömning. Föregående års slutsatser är kursiverade och texten som följer utgör uppföljningskommentaren. Ett hot mot såväl offentliga som privata organisationer är olika former av nätfiske. Något som särskilt utvecklats under det senaste året är riktade nätfiskeattacker, så kallad spearphishing. Nätfiske som metod har fortsatt att utvecklas och användas i allt större utsträckning under Bland annat har Nordeas kunder vid upprepade tillfällen under den senaste tolvmånadersperioden, varit utsatta för riktade nätfiskeattacker med stora ekonomiska konsekvenser som följd. Som ett resultat av attackerna mot den finansiella sektorn har Finansinspektionen nyligen tillsatt en utredning för att se över säkerheten hos internetbankerna. Sverige saknar idag ett nationellt system för att upptäcka, varna för, avbryta och på ett samordnat sätt respondera på IT-relaterade angrepp. Det finns fortfarande inget nationellt system för upptäckt, varning och respons. Frågan kommer dock att beröras inom ramen för det arbete som KBM bedriver med att utveckla ett förslag till en nationell handlingsplan för genomförande och förvaltande av den nationella strategin för informationssäkerhet. Det är tydligt att det både är den tekniska och den mjuka (social engineering) typen av attacker som blir alltmer sofistikerade. Det är också av vikt att organisationer som driver olika samhällsviktiga system gör kvalitativa bedömningar av vilken information som bör läggas ut öppet på Internet. Detta gör att det blir allt viktigare att anlägga ett helhetsperspektiv på informationssäkerhetsfrågorna. Behovet av rutiner för informationsklassning och kvalitativa bedömningar av exempelvis vilken information som skall publiceras på Internet kvarstår. Många myndigheter och organisationer saknar helt rutiner för detta vilket kan leda till bland annat informationsförluster. Verva har dock föreskriftsrätt avseende standarder som skall vara myndighetsgemensamma för elektroniskt utbyte av information. Utvecklingen av hotbilden pekar på att det finns ett stort behov av att förstärka polisens roll i det nationella informationssäkerhetsarbetet. Detta understryks av att polisen utgör den enda responsfunktionen i samhället som kan använda tvångsmedel inom området. Den ITrelaterade brottsligheten bedöms idag kosta samhället stora summor, vilket framkommit i ett flertal internationella studier. Polisens resurser och metoder på området bör därför utvecklas och inriktas mer mot förebyggande verksamhet. Behovet av förstärkta resurser på informationssäkerhetsområdet inom polisväsendet är fortfarande lika stort om inte större. Det har inte skett några förändringar avseende resurstilldelning under året. När det gäller polisens metoder inom området brottsbeivrande verksamhet kan konstateras att de

8 ligger på framkant i ett europeiskt sammanhang och även deltar i samarbetet med utvecklandet av ny metodik. Sid 8(29) Nya tekniska system innebär att nya sårbarheter uppstår. En ökad användning av trådlösa nätverk och mobila nätverksenheter ökar riskexponeringen i samhället. Detta ställer större krav på helhetsperspektiv i avvägningar mellan funktionalitet och säkerhet, både på organisationsnivå och på nationell nivå. Därför är det väsentligt att förebyggande säkerhetsåtgärder inkluderar kontinuitetsplanering för att samhällsviktig verksamhet ska kunna bedrivas även i händelse av tekniska störningar eller avbrott i exempelvis IT- och elsystemet. Det finns fortfarande konstaterat stora brister i arbetet med förebyggande säkerhetsåtgärder och kontinuitetsplanering med avseende på IT-incidenter. Många organisationer behöver förstärka sina insatser på denna nivå. Av svenska myndigheter, kommuner och landsting saknar fortfarande drygt 60 procent en utarbetad kris- och katastrofplan. På organisationsnivån är de säkerhetsrelaterade problemen i högre grad kopplade till administration och personal snarare än till tekniska lösningar. Detta förhållande pekar på att det inom organisationer finns ett stort kunskapsbehov om de mer mjuka delarna av informationssäkerhetsområdet. En nyligen genomförd undersökning bland landets myndigheter, kommuner och landsting bekräftar slutsatsen ovan. Enligt respondenternas svar kan inträffade incidenter i 60 procent av fallen härledas till brister i administrativa rutiner samt den mänskliga faktorn. Utnyttjandet av befintliga tekniska sårbarheter har utgjort en mindre del av problematiken. I synnerhet krävs utbildningssatsningar för att höja kunskapen och medvetenheten hos användarna. Användarna är en viktig målgrupp på grund av att de står för den största delen av de oavsiktliga hoten som förekommer. Genom att höja användarnas säkerhetsmedvetande stärks även tilliten till olika informationstekniska lösningar. Flertalet aktörer konstaterar att användarna fortfarande står bakom den största delen av de oavsiktliga hoten och att det föreligger stort behov av utbildningsinsatser.

9 Sid 9(29) 4 Identifierade utvecklingstendenser av särskild betydelse för samhällets informationssäkerhet Följande beskrivning syftar till att med breda penseldrag måla upp några av de utvecklingstendenser som bedömts vara av särskild betydelse för samhällets informationssäkerhet. Först beskrivs några övergripande tendenser. Dessa kompletteras därefter med en bild av utvecklingslinjer som berör användare, teknik och organisationer. 4.1 Övergripande tendenser på samhällsnivå Det svenska samhället befinner sig idag en bra bit på väg mot en tillvaro där vi är helt beroende av Internet för att våra vardagsliv ska fungera. Utvecklingen har gått snabbt. Under loppet av bara något decennium har nätanslutna informationssystem och mobil kommunikation spridit sig till snart sagt alla samhällslivets områden. Gamla rutiner har ersatts av nya, och den alltmer avancerade informationshanteringen har gjort det möjligt att rationalisera och effektivisera, både i näringslivet och inom offentlig sektor. Information som tidigare tog relativt lång tid att plocka fram eller hantera finns nu tillgänglig på några ögonblick. På Internet kan vi slå i telefonkatalogen, hämta kartor på gatunivå från hela världen boka tid på bilbesiktningen och lämna in självdeklarationen. På sjukhuset plockas vår journal fram på några sekunder, direkt på läkarens eller sköterskans skärm. Bankerna förutsätter snart att vi betalar våra räkningar på nätet. Dessutom befinner vi oss i en värld av ständigt tilltagande mobilitet. Mobiltelefoner och handdatorer gör oss ständigt tillgängliga. Möjligheterna som informationssystemen skänkt oss är enorma. Men riskerna är också påtagliga. Är information oåtkomlig eller felaktig kan det få stora konsekvenser. Därför kommer informationssäkerhet att vara ett centralt begrepp i det framtida nätsamhället. För det första blir det alltmer tydligt idag hur beroende samhället är av att de tekniska och administrativa skyddsåtgärderna verkligen fungerar. Vad händer till exempel när en kommun drabbas av nätavbrott innebär det att den kommunala servicen upphör att fungera? Klarar vi av en situation där bankomaterna slocknar? Och vad sker när datorerna blir så komplexa att de ständigt behöver uppdateras från olika håll vilka risker innebär detta (vid sidan av minskad effektivitet)? Sådana frågor är väsentliga att ställa sig, och väsentliga att få svar på. Det handlar om att få den tillgång till information som vi bör kunna förvänta oss speciellt när den påverkar samhällskritiska funktioner. För det andra är det viktigt att notera behovet av att se till att skyddsvärd information inte manipuleras eller hamnar i fel händer. Det kan gälla samhällets befolkningsregister, företagshemligheter eller bilder från den alltmer omfattande kameraövervakningen i samhället. För detta ändamål krävs inte bara regelverk, utan även mekanismer för att säkert avgöra vem som söker åtkomst till

10 information och i vilken roll det sker. Här spelar säker identifiering en obestridlig nyckelroll. Sid 10(29) För det tredje kommer vi aldrig fullständigt att kunna förhindra försök att olovligen komma över information och därefter utnyttja den, förfalska den eller sälja den vidare. Brottsligheten har idag etablerat sig i cyberrymden, och en stor andel av rättsväsendets förundersökningar i brottmål inbegriper numera beslag och teknisk analys av datorer. Här handlar det till viss del om brottslighet som direkt kan förknippas med informationssystem. Men mycket av den traditionella brottsligheten har flyttat ut på nätet idag, och det blir alltmer påtagligt hur våra rättsvårdande myndigheter också måste kunna följa den där för att ha möjlighet att beivra den. Ur ett samhällsperspektiv måste det betraktas som fundamentalt att kunna upprätthålla lag och ordning. 4.2 Användartendenser Internet används idag av en dominerande andel av den svenska befolkningen, både i arbetet och privat. Tillgången till Internet bland befolkningen tycks dock ha nått en mättnadsnivå där den inte längre ökar kraftigt. Trafikvolymerna ökar emellertid fortfarande markant. Användningen av mobil kommunikation är stabilt hög i Sverige. Den traditionella, fasta telefonin minskar emellertid. Enligt Post- och telestyrelsen finns det nu istället en liten men växande grupp teleabonnenter som inte längre har någon fast ansluten telefon utan helt förlitar sig på mobiltelefoni. Nästan alla människor i Sverige använder informationssystem dagligen, direkt eller indirekt. Detta som ett resultat av att allt fler av våra vardagsrutiner inbegriper ett informationselement. Vi läser e-post och betalar räkningar på våra datorer, skickar meddelanden med våra mobiler, tar ut pengar i bankomater och betalar med plastkort. Användarnas förtroende för informationssystemen är i detta sammanhang en kritisk faktor. Internet fungerar även som ett verktyg där personer söker kontakt med varandra, grupper uppstår, några bygger opinionsplattformar via s.k. bloggar, andra söker livskamrater genom dejtingsajter. Samtidigt kan dessa möjligheter missbrukas. Resurserna vi fått tillgång till på Internet kan också användas för kartläggning av individer, systematisk underrättelseinhämtning eller förberedelse till brott. 4.3 Tekniska tendenser De informationssystem som omger oss blir alltmer komplexa och beroende av varandra. Det kanske tydligaste, och mest belysta, exemplet på detta är existerande beroenden mellan el, tele- och datasystemen. Ett avbrott i endera får återverkningar i det andra. Ur ett informationssäkerhetsperspektiv är detta intressant, inte minst på grund av den ökande användningen internetbaserade styr- och kontrollsystem. SCADA- och processkontrollsystem, som historiskt sett varit helt isolerade system och haft mycket lång livslängd, byggs idag av COTS-komponenter. SCADA-systemens tidigare isolation bryts idag upp av att de kopplas ihop med organisationernas administrativa datornätverk som i sin tur kopplas upp mot

11 Internet. Dessutom görs SCADA-systemen tillgängliga för fjärråtkomst (t ex via uppringda förbindelser) för SCADA-leverantörerna för att dessa skall kunna uppdatera mjukvara eller felsöka i densamma. I och med detta exponeras de också för traditionella IT-säkerhetshot, hot de tidigare varit förskonade ifrån och därför till viss del saknar skydd mot. Sid 11(29) En annan viktig tendens är den alltmer utpräglade utvecklingen mot så kallad monokultur. Med monokultur avses det förhållande som exempelvis uppstår när ett stort antal användare använder sig av ett, eller ett fåtal, operativsystem. I sig medför existerande monokulturer både positiva och negativa konsekvenser. På plussidan kan nämnas bl.a. en relativt vältestad programvara och lägre krav på kunnande från användarsidan. Som minus medför monokulturer att när en sårbarhet väl identifierats så kan denna exploateras på bred front. Dock kan man skönja ett ökande intresse för andra lösningar som bygger på öppen källkod, detta för att inte bli fast i en monokultur men även för att minska licenskostnaderna. 4.4 Organisatoriska tendenser För många aktörer såväl inom den privata som den offentliga sektorn pågår en successiv utbyggnad av tjänster som nyttjar Internet som bärare av information. Drivkrafterna bakom denna utveckling är givetvis möjligheten till effektivisering och ökad lönsamhet (kanske genom helt nya affärsmöjligheter) men även krav från användarna vad gäller förbättrad servicenivå och ökad tillgänglighet till leverantörer och kunder. Rent praktiskt tar sig ovanstående uttryck som outsourcing av IT-drift, anbudsförfarande över Internet, e-handel, JIT (just-in-time konceptet). Många organisationer använder sig också i allt högre utsträckning av mobila klienter. Medarbetare förväntas komma åt dokument hemifrån eller på resan. Inom den offentliga sfären har konceptet e-förvaltning blivit välkänt. Tillgängligheten för e-förvaltningen (24-timmars tillgänglighet) medför att det ställs helt nya krav på myndigheterna, inte minst från allmänheten. Toleransen vad gäller väntetid för tillgång till information och ärendehantering har sänkts. Detta innebär i sin tur att kraven på att Internet fungerar har höjts, från såväl ett enskilt användarperspektiv som de berörda verksamheterna. Ett exempel på e-förvaltning är att statliga myndigheter senast den 1 juli 2008 ska hantera sina fakturor elektroniskt. Verva är den myndighet som har föreskriftsrätt inom detta område, föreskriften gäller från den 1 mars Verva har också beslutat om de tekniska krav som gäller för e-fakturor i statsförvaltningen samt om den gemensamma standard som myndigheter ska följa.

12 Sid 12(29) 5 Hot Hot delas ofta in i två kategorier: avsiktliga och oavsiktliga. De avsiktliga hoten, förutsätter en angripare (antagonist) och inbegriper dennes avsikt och förmåga att genomföra skadliga handlingar. Förmåga i detta sammanhang utgörs av de samlade möjligheter som antagonisten har att omsätta sina resurser (kompetens, ekonomisk styrka, insiderkunskap) i en IT-relaterad attack. Med oavsiktliga hot avses exempelvis naturkatastrofer, olyckor, tekniska fel och mänskliga misstag. Oavsiktliga hot är starkt sammankopplade med sårbarheter och bristande skydd och kommer därför att behandlas i kapitel 6 och 7 (sårbarheter respektive skydd). Till skillnad från föregående års lägesbedömningar, som primärt skrivits utifrån olika aktörskategorier, tar nedanstående text ett tydligare grepp om de metoder som olika aktörer använder sig av. En metod i sig utgör inte ett hot utan ska mer ses som det sätt på vilket aktören väljer att realisera sin förmåga i en given attack. En anledning till denna mer metodfokuserade presentation är att många verksamheter inte utgår i sitt hanterande av IT-relaterade incidenter och angrepp från vem som ligger bakom utan snarare från vad som hänt. 5.1 Botnät metoden för riktade och breda attacker Det blir alltmer tydligt att nät av spridda men samverkande datorer (så kallade botnät, vanligare botnets ) börjat forma den grundläggande infrastrukturen för såväl riktade som breda nätattacker. Denna infrastruktur lämpar sig väl för den kommersiella marknaden vilket har lett till att botnät både finns att hyra och köpa idag. Uppbyggnaden av ett botnät kan ske via skadlig kod planterad i e- post eller på webbsidor. Även chattrum och direktmeddelanden (IM, instant messaging) används för uppbyggnad av botnät. En ny trend är att botnät används på ett mer segmenterat sätt än tidigare, till exempel vid spridning av skräppost. Idag upptäcks attackerna snabbare och därför tenderar angriparna att använda sig av fler och mindre botnät för att skicka sina meddelanden, dessutom varieras innehållet med täta mellanrum. Därmed blir det också svårare att bekämpa botnät-attacker. Ett botnät kan med fördel användas som plattform för tillgänglighetsattacker mot en organisations webbplats men även som ett verktyg för att samla in hemlig information från smittade datorer. Det kan exempelvis handla om personuppgifter som går att utnyttja vid så kallad identitetsstöld. Insamlingen kan också vara en del av regelrätt företagsspionage. Den insamlade informationen kan exempelvis skickas till länder där lagstiftningen gör det svårt att komma åt förövarna. 5.2 Nätfiske nätbankernas gissel Nätfiske (eng. phishing) har under det senaste året uppmärksammats allt mer, efter återkommande attacker mot svenska banker och deras kunder. Även om nätfiske är en generell metod för att komma över information är det den finansiella sektorn som varit mycket utsatt. En anledning till detta är att dagens angripare allt mer arbetar för att nå ekonomisk vinning. De angriper bankkunder för att få tillgång till de koder som krävs för banköverföringar. Därmed kommer

13 de över likvida medel, som är lätta att flytta och inte sällan svåra att spåra över gränser. Nätfiske används ofta i kombination med både botnät och social engineering. Sid 13(29) Dessa attacker tenderar idag att bli mer organiserade och mer riktade än förut - och metodutvecklingen på området är snabb. När en bedräglig metod avslöjats ersätts den snabbt med en ny. Det finns även relativt billig basprogramvara på marknaden som enkelt kan skräddarsys med avseende på vilket mål som ska attackeras. Nätfiske tillhör de områden som är polisiärt högprioriterade på många håll idag, bland annat i USA. Arbetet med denna brottslighet väntas öka framöver, eftersom den redan börjat ta över narkotikans roll inom internationell kriminalitet. Nätfiske har nämligen visat sig lönsammare och är förknippat med lägre risk än hantering av narkotika. 5.3 Social engineering fortfarande effektivt Social engineering dvs. vilseledning eller manipulation i syfte att förmå någon att exempelvis lämna ut information, är alltjämt en viktig komponent när det gäller att genomföra attacker. Den används både som en enskild metod för att komma över information och som ett komplement till mer tekniska metoder, exempelvis nätfiske, i genomförandet av IT-attacker. Det är tydligt att även denna metod blir allt mer förfinad då angriparen ofta gör en omfattande kartläggning innan kontakt tas. I takt med att de tekniska skyddsmekanismerna blir allt säkrare väljer angripare att i allt större grad använda sig av denna metod för att komma åt information. 5.4 Ransomware informationskapning på hög nivå Angripare utvecklar idag allt mer svårupptäckta och motståndskraftiga metoder. Ett exempel är informationskapning (ransomware) som är en modern variant av utpressning. De som drabbats får ett meddelande om hur de ska gå till väga för att få tillbaka eller få tillgång till sin information som angriparen har krypterat. Svenska myndigheter, kommuner och landsting saknar idag en samordnad metod för att säkerställa att den information som publiceras på Internet inte är förvanskad. En angripare skulle genom att kapa en myndighetswebbplats kunna publicera falsk information och åstadkomma stor skada. Om detta skulle ske under en pågående kris, då behoven av information är extra stora skulle konsekvenserna kunna bli omfattande. 5.5 Underrättelsebaserade attacker Som konstaterades i förra årets lägesbedömning tenderar många av de avancerade attackerna att bli mer sofistikerade och riktade. Ett signum för dessa attacker är att de ofta föregås av ett större mått av förberedelser än mindre avancerade attacker. Ofta är de underrättelsebaserade vilket innebär att angriparen kartlägger sitt målobjekt på individnivå (funktion/roll) och utgående från denna information genomför en riktad attack. Exempelvis kan planterandet av en specifik trojan hos en individ ha föregåtts av en systematisk kartläggning av målets internetvanor. Mer avancerade och riktade attacker används ofta när målet är att exempelvis komma över information rörande spetsteknologi eller viktiga resultat kopplat till

14 forskning och utveckling. Det är dessa områden som är mest utsatta för riktade attacker. Angriparna kan både vara enskilda aktörer och utländska statsaktörer. Sid 14(29) 5.6 Variationsmetodik När man analyserar incidenter och skadlig kod kan det konstateras att det för vissa aktörer finns ett specifikt, känt tillvägagångssätt. Andra aktörer har förmågan att agera anonymt. De varierar ständigt koder och infekterade datorer som används för angrepp, allt för att undgå upptäckt. Det är sannolikt att denna förmåga även kan nyttjas för att genomföra mer kvalificerade attacker. Förmågan till adaptivt agerande under genomförandet av en specifik IT-attack är ett utmärkande drag för mer kvalificerade aktörer. 5.7 Skadlig kod Trojaner bör fortfarande anses som ett allvarligt säkerhetshot. Förekomsten har sjunkit under det senaste året, och trojaner används nu i allt större omfattning för riktade attacker snarare än attacker på bredden. Trojan-attacker är ofta förknippade med större risker än virus och maskar. Konsekvenserna kan bli mer omfattande och detekteringen är svårare, då trojaner som inte har identifierats inte fångas upp av de antivirusprogram som finns. E-postmeddelanden är en av de metoder som mest frekvent används för att utföra riktade attacker. Det är främst två olika tillvägagångssätt som används. Ett sätt är att mottagaren får ett e-postmeddelande som innehåller en bifogad fil, filen innehåller skadlig kod som installeras på mottagarens dator. Meddelandet ser i många fall ut att komma från en trovärdig källa vilket gör att sannolikheten för att mottagaren klickar på den bifogade filen är stor. Ett annat sätt är att e-postmeddelandet innehåller en länk till en falsk webbsida som mottagaren klickar sig vidare till och där blir mottagarens dator infekterad med skadlig kod. Skräppost betraktas fortfarande som ett hot då det har gått ifrån att vara ett irriterande fenomen till att utgöra en kriminell handling då skräppostmeddelandena många gånger innehåller nätfiskeförsök. Det finns även stora belopp att tjäna på rätt marknadsföring. Konstruktören av skräppost får ofta en form av royalty baserad på vidarelänkning. Det krävs med andra ord inte köp av vara eller tjänst.

15 Sid 15(29) 6 Sårbarheter och risker Med sårbarheter avses här svagheter eller brister som avsiktligt kan utnyttjas av aktörer eller när en händelse med oavsiktliga konsekvenser inträffar; men även de tekniska och verksamhetsmässiga egenskaper hos ett IT-system som kan utnyttjas för IT-relaterade attacker. Med risker avses här en sammanvägning av sannolikheten av att en händelse ska inträffa och de konsekvenser händelsen i fråga kan leda till. 6.1 Administrativa sårbarheter Enligt en nyligen gjord undersökning som genomförts bland landets myndigheter, kommuner och landsting har inträffade IT-relaterade incidenter i 60 procent av fallen möjliggjorts på grund av att en administrativ sårbarhet utnyttjats Brister i den interna organisationen För att uppnå god informationssäkerhet är en av grundförutsättningarna att företag och myndigheter anpassar sin organisatoriska struktur. I detta ingår att roller, ansvar och befogenheter görs tydligare. Det är inte minst viktigt att tydliggöra ledningens roll i informationssäkerhetsarbetet. När detta brister leder det oundvikligen till problem. Det är ledningens ansvar att tilldela roller och befogenheter i informationssäkerhetsarbetet, samt att granska införandet av säkerhet i hela organisationen. Det faktum att 40 procent av de tillfrågade myndigheterna, kommunerna och landstingen har ledningar som inte identifierat, förtecknat eller prioriterat de informationssystem som bedöms som viktiga (kritiska) för verksamheten utgör en potentiellt allvarlig sårbarhet. Det är svårt, för att inte säga omöjligt, att säkerställa en adekvat skyddsnivå om inte en prioritering av viktiga verksamheter gjorts. Hur ska man veta vad som ska skyddas i första hand och hur? Ofta är det resursbrist som ställer till saker och ting och i många organisationer saknas en informationssäkerhetssamordnare/funktion. Det är denna funktion som i dialog med ledningen samordnar informationssäkerhetsarbetet samt medverkar i genomförandet av säkerhetsarbetet Brister i eller avsaknad av en informationssäkerhetspolicy En bra utformad informationssäkerhetspolicy ger uttryck för ledningens viljeriktning och stöder informationssäkerhetsarbetet utgående från organisationens verksamhetskrav samt relevanta lagar och föreskrifter. Avsaknaden av en policy, alternativt en bristfällig policy, leder till ett mer famlande informationssäkerhetsarbete med ökade sårbarheter som konsekvens. Det är också vanligt förekommande att det visserligen finns en policy men att den inte är kommunicerad till de anställda Detta beror i sig ofta på avsaknaden av rutiner Brister i eller avsaknad av genomförd risk- och sårbarhetsanalys Utgångspunkten för ett framgångsrikt informationssäkerhetsarbete är att riskoch sårbarhetsanalyser genomförs för att klarlägga en säkerhetsnivå som ska

16 gälla för skydd av en organisations information och informationssystem. Därför är det oroväckande att inte mindre än 30 procent av responderande myndigheter, kommuner och landsting inte inkluderar informationssäkerhet i sina riskanalyser. Detta medför att aktörerna då inte värderar, analyserar eller skapar förutsättningar för skydd av informationsrelaterade resurser. I avsaknad av riskanalyser uppstår svårigheter att ansätta rätt resursnivå för skydd och incidenthanteringsförmåga. Ofta är incidenter med IT-inslag inte inkluderade i organisationens ordinarie krisorganisation vilket gör att frågorna inte uppmärksammas på ledningsnivå. I detta sammanhang är det värt att påpeka att myndigheter enlig lag är skyldiga att genomföra säkerhetsanalyser. Sid 16(29) Bristande rutiner eller bristfälligt kommunicerade rutiner Många av de brister, och därmed potentiella sårbarheter, som behandlas i avsnittet hänger nära samman. Om det saknas en informationssäkerhetspolicy, existerar en oklar ansvars- och rollfördelning mellan aktörer, m.m., är det nästan ofrånkomligen så att det även finns brister vad gäller rutiner och regelverk. Brister i rutiner är en vanligt förekommande administrativ sårbarhet. Exempelvis saknar drygt 64 procent av responderande myndigheter, kommuner och landsting i Sverige rutiner för kontinuitetsplanering och incidenthantering vilket går hand i hand med avsaknaden av risk- och sårbarhetsanalyser. Ett annat område där avsaknaden av rutiner blir problematisk är exempelvis när organisationen ifråga ska upphandla/köpa tjänster såsom ekonomi- och lönehantering, telefoni m.m. istället för att bedriva dem i egen regi (med andra ord lägga ut delar av verksamheten). En annan aspekt som nära länkar till detta är behovet av rutiner för avtalsskrivande och inte minst vilka krav som skall ställas på den part till vilken man lägger ut delar av verksamheten. Inte sällan saknas denna kompetens och stödjande rutiner varpå avtalen ifråga kanske inte svarar upp mot organisationens intressen. Många organisationer övergår allt mer till att använda sig av mobila klienter. Inom detta område krävs det också rutiner för att göra det möjligt att upprätthålla en grundläggande säkerhetsnivå. Ytterligare ett område där avsaknaden av rutiner är tydligt är reservkraft. Många myndigheters och organisationers delverksamheter är idag helt beroende av Internet men tycks relativt omedvetna om detta. De har således varken uppbyggda reservsystem eller andra tydliga reservrutiner som kan gå i gång i händelse av exempelvis avbrott. Dessa aktörer förlitar sig till sin kännedom om hur verksamheten, det vill säga ett enskilt ärende, ska hanteras utanför Internet. Vad de då bortser från är att det inte går att hantera de ärendemängder det blir fråga om, eftersom verksamheten rationaliserats och personal därför saknas för en sådan krissituation Icke befintlig eller otillräcklig utbildning av personal Outbildad personal utgör ofta en säkerhetsrisk. Okunskap är i detta sammanhang den stora boven. Kanske skriver man ner sitt lösenord på en gul lapp och fäster den på datorn, klickar på en länk i ett mejl från okänd avsändare, helt omedveten om riskerna, eller förstår inte risken med att skicka konfidentiell information per e-post. Lösningen på dessa och liknande problem avhjälps endast genom ett systematiskt informationssäkerhetsarbete som även inkluderar utbildning av personal. Befintlig policy, existerande rutiner och

17 användarguider, måste kommuniceras till de berörda. Detta gäller även i högsta grad vad som skall göras i händelse av en misstänkt IT-attack. Sid 17(29) 6.2 Tekniska sårbarheter Vi har valt att avsnittsindela tekniska sårbarheter efter de logiska nivåer som ofta används för att beskriva kommunikationssystem, exempelvis fasta datanät eller mobilnät. Dessa nivåer kan realiseras på olika sätt, exempelvis med IP på nätnivå. Kommunikationssystem brukar beskrivas i form av flera sammanhängande skikt eller nivåer. I botten finns det olika typer av kabelnät och olika sätt att skicka signaler genom kablarna. För att skapa större sammanhängande nät krävs det emellertid ett gemensamt sätt att adressera många mottagare och en kartbild för att hitta dem. Ett slags postsystem för elektroniska paket; med andra ord. Det är här IP och Internet kommer in i bilden. När man byggt ett system på IP-nivån finns det alltså ett system av kartlagda vägar, redo att hantera trafik. Men det är först när man har gemensamma sätt att anropa varandra som det går att skicka ut trafiken. Detta beskrivs på transportnivån. Därefter går det att använda nätet för vilka tillämpningar som helst, till exempel e-post, webbtrafik, IP-telefoni eller filöverföringar. Se bild nedan. tillämpningsnivå transportnivå nätnivå länknivå fysisk nivå program, webbtjänster anrop, svar kartbild signaler kabel Bild 1 Nätlagren Fysiska lagret På den understa nivån finner vi de fysiska kabelnäten. Dessa nät drabbas emellanåt av avbrott. I det sammanhanget bör betydelsen av redundans och separata kabelvägar betonas. Kabelnät kan också bli föremål för direkt avtappning. Detta förutsätter emellertid fysisk tillgång till förbindelsen, och metoden diskuteras därför mest i

18 samband med riktat industrispionage eller avlyssning där statsaktörer är involverade. Sid 18(29) Den grundläggande, fysiska kommunikationsinfrastrukturen är viktig ur beredskapssynpunkt. Idag består den av ett mindre antal nationstäckande nät för såväl fasta som mobila förbindelser. Flera samhällsviktiga aktörer har pekat på vikten av tillgänglighet av både el- och telekommunikationer för sina verksamheters kontinuitet. Tillgången till el- och telekommunikationer är en grundförutsättning för informationsbehandling och informationssäkerhet. Detta gäller både centrala delar av informationssystemen, exempelvis bankernas serverdatorer, och lokala anslutningar. I slutet på januari i år stängdes Skavsta flygplats på grund av att en fiberoptisk kabel grävts av vilket resulterade i att flygledartornet drabbades av stora kommunikationsstörningar. Flygtrafiken fick dirigeras om till Arlanda och Norrköping och runt 1500 passagerare berördes av händelsen. Denna händelse är ett exempel på hur sårbar en verksamhet kan vara. Den visar också på betydelsen av att ha redundans i kommunikationsvägarna Länklagret Ovanför det fysiska lagret återfinns länklagret, som beskriver hur informationssystem signalerar till varandra för att upprätta kontakt över kabel eller radiolänk. Sårbarheterna på denna nivå återfinns främst i trådlösa datanät (WLAN) där det emellanåt går att få nätkontakt genom att falskeligen utge sig för att signalera med ett legitimt system. Genom säkerhetsåtgärder har denna sårbarhet på de flesta håll täppts till idag, åtminstone i företagsnät. Inom segmentet hemnät är bilden oklar. I länklagret hanteras system anslutna till samma lokala nät. Större, mer sammansatta nät kräver däremot en mer komplex struktur på höge nivå Nätlagret I nätlagret skapas en samlad kartbild, med överenskomna adresser till alla anslutna system. Internet och nätprotokollet IP (Internet Protocol) är det främsta exemplet på en sådan struktur. Mot bakgrund av den omfattande internetanvändningen i det svenska samhället utgör störningar som kan drabba Internets grundfunktioner en uppenbar sårbarhet idag. Konsekvenserna av sådana störningar väntas dessutom öka i takt med att svenska myndigheter anpassat sin verksamhet till Internet, framför allt genom satsningar på att uppfylla kraven inom e-förvaltningen. Mer omfattande driftstörningar i den svenska grenen av Internet kan få allvarliga samhällskonsekvenser. Sådana störningar måste därför kunna upptäckas och åtgärdas på ett effektivt sätt. Två nyckelfunktioner är speciellt kritiska: katalogsystemet DNS (Domain Name System) samt den vägvalsmekanism (extern routing) som hanterar mer omfattande trafikflöden mellan nätoperatörer. Om någon av dessa funktioner skulle drabbas av större störningar skulle det få allvarliga konsekvenser för internettrafiken i Sverige. Några exempel på sådana konsekvenser är att datorer inte skulle hitta varandra på nätet eller att hela myndigheter eller regioner skulle kunna förlora kontakten med Internet.

19 6.2.4 Transportlagret I transportlagret kan förbindelser upprättas mellan datorer genom anrop och svar. Genom falska anrop, eller stora mängder anrop, kan system överbelastas, kraschas eller förmås agera onormalt. På transportnivån finns det även ett koordinerat system av ingångsportar i datorsystemen som kan anropas för att etablera sessioner och tjänster på högre nivåer. Även den strukturen är sårbar för angrepp. Sid 19(29) Tillämpningslagret För användaren hanteras nyttoinformationen något förenklat i tillämpningslagret. Här används programvara av olika slag, till exempel för att skicka e-post, läsa webbsidor, ringa samtal med en IP-telefon, hantera ett affärssystem eller kommunicera med en databas. Även läs- och skrivrättigheter i ett företagsnät hanteras på denna nivå. Här återfinns åtskilliga sårbarheter, varav många är av administrativ karaktär. Det finns dock flera tekniska sårbarheter som är värda att uppmärksamma. Dagens systemmiljöer blir alltmer komplexa vilket leder till att fel (buggar) i programmen inte kan undvikas. Programmering har dessutom länge skett med större fokus på utökade funktioner än på stabilitet och säkerhet. I det senare avseendet håller situationen på att förbättras idag, men fel och återkommande uppdateringar kommer vi knappast att kunna undvika helt. Verktyg i form av meddelandehantering som sker i realtid är en funktion som bidrar till en ökad sårbarhet i systemen. Direktmeddelandetjänster (Instant Messaging) blir allt vanligare både bland företag och som hemanvändare. Generellt sett är dessa funktioner inte lika väl skyddade. Direktmeddelandetjänsten används också till att utbyta konfidentiell information, vilket gör att informationen kan bli tillgänglig för en angripare. I slutändan kan dessa tjänster också användas som bärare av skadlig kod. Många webbtillämpningar är i dagsläget relativt sårbara. Detta beror delvis på att källkoden är alltför enkel att ändra. För att komma till rätta med sårbarheter kopplade till webbtillämpningar måste en organisation ofta se över en större del av informationshanteringskedjan och analysera hur kritisk information utbyts via Internet. Övergången från traditionell telefoni till IP-telefoni är ett speciellt kapitel ur sårbarhetssynpunkt. Detta har aktualiserats nyligen i samband med att trygghetslarm som förmedlats via IP-telefoni visat sig känsliga för störningar.

20 Sid 20(29) 7 Skydd - förebyggande och skadebegränsande I detta kapitel behandlas skadeförebyggande och skadebegränsande åtgärder relaterat till de hot och sårbarheter som tagits upp tidigare i lägesbedömningen. Att såväl skadeförebyggande som skadebegränsande åtgärder behandlas beror på att det inte går att uppnå en hundraprocentig säkerhet. Detta innebär att även om stora resurser läggs på att förebygga IT-attacker är det troligt att sådana ändå kommer att äga rum. I ljuset av detta blir det viktigt att även behandla de åtgärder som behöver vidtas för att i möjligaste mån begränsa skadorna av det inträffade. Texten nedan är till övervägande del deskriptiv till sin karaktär. Den återger exempel på åtgärder som vidtagits av såväl privata som offentliga aktörer i syfte att förbättra informationssäkerheten men innehåller även vissa normativa inslag i form av förslag till åtgärder. 7.1 Administrativa skydd Då många sårbarheter kan kopplas till den interna organisationen är det viktigt att informationssäkerhetsfrågorna uppmärksammas på ledningsnivå inom myndigheter och organisationer. Det är viktigt att ledningen åstadkommer tillräckliga förutsättningar för god informationssäkerhet inom organisationen. Det är deras ansvar att anpassa de organisatoriska formerna för arbetet med informationssäkerhet och även se till att betydelsen av informationssäkerhetsarbetet samt mål och syfte kommuniceras till medarbetarna. Inom ramen för detta ligger också ansvaret att identifiera och prioritera vilka informationssystem som bedöms som viktiga (kritiska) för verksamheten. Det bör finnas övergripande styrdokument som tydliggör hur organisationen arbetar med informationssäkerhet exempelvis en informationssäkerhetspolicy. En informationssäkerhetspolicy bör tydligt visa ledningens inriktning samt hur man som användare ska agera för att upprätthålla god informationssäkerhet. För att få vägledning i hur man tar fram en informationssäkerhetspolicy samt vilka aspekter som bör finnas med finns ett antal standarder att luta sig mot. Ledningssystem för informationssäkerhet - SIS/TK 318 (LIS) är ett bra ramverk som ger handledning i hur man inför ett ledningssystem för informationssäkerhet i verksamheten. För att uppnå en grundläggande säkerhetsnivå för informationssäkerhet producerar KBM rekommendationer i BITS-handboken (Basnivå för informationssäkerhet); dessa rekommendationer är harmoniserade med LIS. När myndigheter genomför sina årliga risk- och sårbarhetsanalyser är det viktigt att inte glömma att integrera informationssäkerhetsfrågorna i detta arbete. Om det inte görs är det svårt att bedöma på vilken nivå som relevant skydd av organisationens information och informationssystem bör ligga. Myndigheterna är också skyldiga att genomföra säkerhetsanalyser, ett område där Säkerhetspolisen är tillsynsmyndighet. Starkt kopplat till avsaknaden av en informationssäkerhetspolicy är brister i rutiner och regelverk. I händelse av att en IT-attack inträffar är det viktigt att kunna skydda organisationens information och informationssystem samt ha

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Strategi för samhällets informationssäkerhet 2010 2015

Strategi för samhällets informationssäkerhet 2010 2015 Strategi för samhällets informationssäkerhet 2010 2015 Strategi för samhällets informationssäkerhet 2010 2015 1 Förord I dagens informationssamhälle bearbetar, lagrar, kommunicerar och mångfaldigar vi

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet Richard Oehme Chef enheten för samhällets informationssäkerhet Internrevisionen Generaldirektör Överdirektör Kommunikationsdirektör

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon Sammanställt av Bengt-Göran Carlzon Säkerhet på Internet Bristande säkerhet på Internet beror i första hand på 3 saker 1. UOkunskap 2. Slarv 3. Oseriösa användare Informationssäkerhet För mycket skydd

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

ISA Informationssäkerhetsavdelningen

ISA Informationssäkerhetsavdelningen ISA Informationssäkerhetsavdelningen Peter Nilsson, ISA N CISSP, GSLC FRA Signalunderrättelsetjänsten Drygt 600 personer Informationssäkerhetstjänsten Cirka 35 personer, sakta ökande Se även www.fra.se

Läs mer

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23) REMISSVAR DNR: 5.1.1-2015- 0781 Justitiedepartementet 103 33 Stockholm Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23) Riksrevisionen

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Vem tar ansvar för Sveriges informationssäkerhet?

Vem tar ansvar för Sveriges informationssäkerhet? Vem tar ansvar för Sveriges informationssäkerhet? 6 åtgärder för förbättrad informationssäkerhet Sälen 2008-01-14 Vem har ansvaret vid en storskalig it-attack? Vem skulle vara ansvarig om Sverige utsattes

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1 Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet Under denna gransknings gång har två pågående utredningar haft i uppdrag att hantera mer övergripande frågor som

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Kommunalförbundet ITSAM Revision: 20130307 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

MSB roll och uppgift i stort och inom informationssäkerhet

MSB roll och uppgift i stort och inom informationssäkerhet MSB roll och uppgift i stort och inom informationssäkerhet Information för EKO på Södertuna slott den 24 maj 2012 Michael Patrickson Kort om MSB Vi är cirka 850 anställda Vi finns i Karlstad, Kristinehamn,

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

Regler för användning av Riksbankens ITresurser

Regler för användning av Riksbankens ITresurser Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Riskanalys och informationssäkerhet 7,5 hp

Riskanalys och informationssäkerhet 7,5 hp Riskanalys och informationssäkerhet 7,5 hp Margaretha Eriksson Civ.Ing. och doktorand i informationssäkerhet KTH irbiskonsult@tele2.se Föreläsning 1 Vad menar vi med säkerhet? Säkerhet är en grad av skydd

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER ANSLUTA=RISK Fast bredband attraktiv plattform att angripa från Mobilt bredband/trådlösa nätverk/bluetooth lätt att ta

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet IT SOM TJÄNST - MOLNTJÄNSTER Användning av internetbaserade IT-tjänster tillhandahållna av extern leverantör Syfte

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet UFV 2012/715 Riktlinjer för informationssäkerhet Anvisningar för genomförande av risk- och hotbildsanalyser Fastställd av: Säkerhetschef 2012-04-02 Innehållsförteckning 1 Riskanalyser av systemförvaltningsobjekt

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS, 2013 11 13

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS, 2013 11 13 Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? henrik.christiansson@sakerhetspolisen.se Enheten för InformationsSäkerhet och Bevissäkring i IT-miljö (ISBIT) EBITS,

Läs mer

Internetsäkerhet. banktjänster. September 2007

Internetsäkerhet. banktjänster. September 2007 Internetsäkerhet och banktjänster September 2007 Skydda din dator Att använda Internet för att utföra bankärenden är enkelt och bekvämt. Men tänk på att din datormiljö måste vara skyddad och att du aldrig

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Surfa säkrare. Goda råd om säkerhet på Internet. Information från Post- och telestyrelsen

Surfa säkrare. Goda råd om säkerhet på Internet. Information från Post- och telestyrelsen Surfa säkrare Goda råd om säkerhet på Internet Information från Post- och telestyrelsen Goda råd för att surfa säkrare Stäng av datorn när den inte används Riskerna du utsätter dig för på Internet är beroende

Läs mer

Försvarsdepartementet

Försvarsdepartementet Ds 2006:1 En strategi för Sveriges säkerhet Försvarsberedningens förslag till reformer REGERINGENS PROPOSITION 2005/06:133 Samverkan vid kris - för ett säkrare samhälle Säkerhetsstrategin Arbetet bör bedrivas

Läs mer

Hot + Svaghet + Sårbarhet = Hotbild

Hot + Svaghet + Sårbarhet = Hotbild 4 Hotbild Du har säkert hört begreppet hotbild tidigare. Om jag skulle försöka mig på att klassificera begreppet hotbild skulle det kunna vara enligt följande formel: Hot + Svaghet + Sårbarhet = Hotbild.

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online.

ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online. ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online. Vi har alla ansvar för säkerheten En del av IKEA andan är att Jag gör lite grann, du gör lite grann,

Läs mer

Avbrott i bredbandstelefonitjänst

Avbrott i bredbandstelefonitjänst BESLUT 1(7) Datum Vår referens Aktbilaga 2013-10-17 Dnr: 12-9626 37 Nätsäkerhetsavdelningen Karin Lodin 073-644 56 04 karin.lodin@pts.se Avbrott i bredbandstelefonitjänst Saken Tillsyn enligt 7 kap. 1

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Utvalda delar för Integritetsforum 2012-03-28

Utvalda delar för Integritetsforum 2012-03-28 Post- och telestyrelsen onsumentundersökning om Internetsäkerhet PS-ER-01: 01-0-1 Per Nellevad Utvalda delar för Integritetsforum 01-0-8 1 akgrund & syfte Ett av PS mål är att verka för en säker elektronisk

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser Regel BESLUTSDATUM: 2014-03-24 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Lars Andersson HANTERINGSKLASS: Ö P P E N SVERIGES RIKSBANK

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Säkerhetspolicy för Kristianstad kommun

Säkerhetspolicy för Kristianstad kommun 2007 POLICY OCH RIKTLINJER FÖR SÄKERHETSARBETE Fastställt av kommunstyrelsen 2007-11-21 267. Säkerhetspolicy för Kristianstad kommun Syfte Kristianstads kommun har ett ansvar att upprätthålla sina verksamheter

Läs mer

Vägledning för smarta telefoner, surfplattor och andra mobila enheter

Vägledning för smarta telefoner, surfplattor och andra mobila enheter samhällsskydd och beredskap 1 (13) Enheten för samhällets informationssäkerhet Vägledning för smarta telefoner, surfplattor och andra mobila enheter samhällsskydd och beredskap 2 (13) Sammanfattning Smarta

Läs mer

Ny samverkan till stöd vid upphandling av kryptolösningar

Ny samverkan till stöd vid upphandling av kryptolösningar Försvarets Materielverk/CSEC 2005 Document ID ED-188 Issue 0.1 Ny samverkan till stöd vid upphandling av kryptolösningar Dag Ströman, Verksamhetschef, Sveriges Certifieringsorgan för IT-säkerhet vid FMV

Läs mer

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic Sitic Sveriges IT-incidentcentrum FR04-01 Informationssäkerhetspolicy Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum

Läs mer

Att hantera överbelastningsattacker 1

Att hantera överbelastningsattacker 1 Att hantera överbelastningsattacker Att hantera överbelastningsattacker 1 Att hantera överbelastningsattacker Myndigheten för samhällsskydd och beredskap (MSB) Layout: Advant Produktionsbyrå AB Tryck:

Läs mer

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system Stockholms läns landsting Landstingsstyrelsens förvaltning SLL Informationssäkerhet SLL IT Handläggare: Vesna Lucassi Landstingsstyrelsens innovationsberedning Ankom Stockholms läns landsting 2015-08-

Läs mer

EBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet

EBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet TRÅDLÖS KOMMUNIKATION Inledning En stor del av den IT-utrustning som finns på marknaden idag och som i allt större

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Kravställning på e-arkiv från informationssäkerhetsperspektiv Kravställning på e-arkiv från informationssäkerhetsperspektiv Författare: Delprojektgruppen informationssäkerhet Årtal: 2014 Författare: Delprojektgruppen informationssäkerhet Sammanfattning Inom ramen

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Bilaga 1 Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Datainspektionen granskade under år 2010 Länsstyrelsen i Västra Götalands hantering av personuppgifter i den elektroniska

Läs mer

Stärkt straffrättsligt skydd för egendom (SOU 2013:85)

Stärkt straffrättsligt skydd för egendom (SOU 2013:85) REMISSYTTRANDE Vår referens: 2014/0004 Er referens: Ju/2013/8738/L5 1 (5) 2014-04-25 Justitiedepartementet 103 33 Stockholm e-post: ju.l5@regeringskansliet.se Stärkt straffrättsligt skydd för egendom (SOU

Läs mer

Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703

Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703 Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2012-03-28 Dnr 114-2011 Försvararsamtal BAKGRUND Enligt lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (tillsynslagen) har Säkerhets-

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

Vägledning för säkrare hantering av mobila enheter

Vägledning för säkrare hantering av mobila enheter Vägledning för säkrare hantering av mobila enheter Sammanfattning Smarta telefoner, surfplattor och andra liknande mobila enheter används i allt större utsträckning både privat och i organisationer. En

Läs mer

Vägledning för anskaffning av robust elektronisk kommunikation

Vägledning för anskaffning av robust elektronisk kommunikation Vägledning för anskaffning av robust elektronisk kommunikation Anders Rafting Enheten för Robust kommunikation, Nätsäkerhetsavdelningen, PTS Agenda Om infrastrukturen för elektronisk kommunikation Om behovet

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 749-2011 Capio S:t Görans Sjukhus 112 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen

Läs mer

2009-05-04. Informationssäkerhetspolicy

2009-05-04. Informationssäkerhetspolicy 2009-05-04 Informationssäkerhetspolicy 2 1 POLICYNS ROLL I INFORMATIONSSÄKERHETSARBETET... 3 2 ALLMÄNT OM INFORMATIONSSÄKERHET... 3 3 MÅL... 4 4 ORGANISATION, ROLLER OCH ANSVAR... 4 4.1 ÖVERGRIPANDE ANSVAR...5

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten REMISSVAR Hanteringsklass: Öppen 2015-09-14 1 (6) Dnr 2015/633 Justitiedepartementet Enheten för samordning av samhällets krisberedskap 103 33 Stockholm Kopia: Fritzes kundservice 106 47 Stockholm Remissvar

Läs mer

Digital strategi för Uppsala kommun 2014-2017

Digital strategi för Uppsala kommun 2014-2017 KOMMUNLEDNINGSKONTORET Handläggare Datum Diarienummer Sara Duvner 2014-04-23 KSN-2014-0324 Digital strategi för Uppsala kommun 2014-2017 - Beslutad av kommunstyrelsen 9 april 2014 Postadress: Uppsala kommun,

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18 IT-Policy för Tanums kommun ver 1.0 Antagen av Kommunfullmäktige 2013-03-18 1 Inledning Tanums kommuns övergripande styrdokument inom IT-området är IT-Policy för Tanums kommun. Policyn anger kommunens

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Innehåll Ökad säkerhet i internetbanken för företag och företagare... 3 Mobilt BankID... 3 Så här skaffar du mobilt BankID...

Innehåll Ökad säkerhet i internetbanken för företag och företagare... 3 Mobilt BankID... 3 Så här skaffar du mobilt BankID... Viktig information om internetbankens behörighetssystem, trojaner och virus Den senaste tiden har ett antal svenska bankkunder drabbats av så kallade trojaner i sina datorer. En trojan infekterar datorn

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

Frågeställningar inför workshop Nationell strategi för skydd av samhällsviktig verksamhet den 28 oktober 2010

Frågeställningar inför workshop Nationell strategi för skydd av samhällsviktig verksamhet den 28 oktober 2010 samhällsskydd och beredskap 1 (8) Ert datum Er referens Avdelningen för risk- och sårbarhetsreducerande arbete Enheten för skydd av samhällsviktig verksamhet Michael Lindstedt 010-2405242 michael.lindstedt@msb.se

Läs mer

Genomförande av direktivet om it-relaterad brottslighet. Arbetsgruppen, ordförande Asko Välimaa, sekreterare Mikko Monto

Genomförande av direktivet om it-relaterad brottslighet. Arbetsgruppen, ordförande Asko Välimaa, sekreterare Mikko Monto 29.4.2014 Publikationens titel Författare Justitieministeriets publikation Genomförande av direktivet om it-relaterad brottslighet Arbetsgruppen, ordförande Asko Välimaa, sekreterare Mikko Monto 27/2014

Läs mer

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799 2003-01-24 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC 17799 Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar

Läs mer

Rapport Kalmar Län 2013 Interlan Gefle AB Filialkontor

Rapport Kalmar Län 2013 Interlan Gefle AB Filialkontor Kalmar Län 2013 Innehåll Förord...3 Före och efter...3 Vad är DNS och DNSSEC?...4 Att använda DNSSEC...4 Hindra attacker mot DNS-frågor...4 För välbesökta webb-platser...4 Fördjupande information...4 Projektresultat...5

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer