Remissvar förutsättningar för att inrätta en särskild funktion för IT-incidenthantering

Transkript

1 Anne-Marie Eklund Löwinder tel ITK 2000/24 N2000/924/ITFoU Till Näringsdepartementet Remissvar förutsättningar för att inrätta en särskild funktion för IT-incidenthantering Uppdraget Post- och telestyrelsen (PTS) har haft regeringens uppdrag att utreda förutsättningarna för att inrätta en särskild funktion för IT-incidenthantering. PTS föreslår i sin rapport att en sådan funktion för statliga myndigheter inrättas som försöksverksamhet under två år och att funktionens uppgifter under försöksverksamheten begränsas till de som är möjliga utan författningsändringar. PTS skulle enligt uppdraget särskilt uppmärksamma?? vilka verksamheter i samhället som har behov av en sådan funktion och hur långt det statliga åtagandet bör gå?? juridiska överväganden i samband med införande av funktionen, särskilt avseende polisiär medverkan eller samverkan?? hur funktionen skall organiseras avseende huvudman, bemanning och finansiering?? ekonomiska konsekvenser för eventuellt berörda myndigheter?? vilka moment (t.ex. rapportering, motåtgärder och analys) som skall ingå i funktionen och deras innebörd, särskilt motåtgärder?? vilka typer av incidenter som bör omfattas av funktionen Huvuduppgiften skulle enligt uppdraget vara att föreslå lämplig ansvarsfördelning mellan aktörerna, klarlägga behovet av samarbete och kanaler för informationsförmedling m.m. för en sektorsövergripande funktion för ITincidenthantering för den statliga sektorn. PTS hade enligt uppdraget också att samverka med den privata sektorn. ITincidenthanteringsfunktionen skall enligt uppdraget organiseras på ett sådant sätt att enskilda organisationer på ett lämpligt sätt kan samverka med ITincidenthanteringsfunktionen. På sikt skall det vara möjligt att skapa en nationell, sektorsövergripande funktion för IT-incidenthantering. I PTS förslag har man emellertid enligt IT-kommissionen i vissa avseenden frångått direktiven genom att:

2 a. inte beskriva vägen fram till en nationell, sektorsövergripande funktion för IT-incidenthantering b. inte utreda utan bara konstatera vilka juridiska överväganden som eventuellt behöver göras, och lagt förslag som undviker behovet av författningsändringar IT-kommissionen anser i det sammanhanget att det är olyckligt att PTS uppdrag föregått förslagen från den särskilde utredarens på Försvarsdepartementet som har till uppgift att föreslå en ansvarsfördelning vid svåra påfrestningar m.m. i samhället, utan att PTS i sin rapport redogör för hur samordning skett och med vilket resultat. Detta gör att vissa frågor förblir obesvarade i den föreliggande utredningen. Allmänna synpunkter IT-kommissionen vill betona att alla verksamheter, såväl som statsmakten, har ett intresse av att samhällets informationsförsörjning är säker och håller en tillräckligt hög kvalitet. Incidentrapportering kan ge information om inträffade, oönskade händelser. Den kan ge underlag för bedömning av nya åtgärder, nya typer av händelser, trender etc. I dag finns ingen riktig överblick över vilka incidenter som inträffar. Därmed blir det svårt att på ett övergripande plan veta vilka säkerhetsåtgärder som är relevanta i en enskild verksamhet, än mindre för en hel sektor som t.ex. den statliga förvaltningen. Det är som flera tidigare utredningar påpekat viktigt att få till stånd en organisation där IT-säkerhetsarbetet kan koordineras. Området är under snabb utveckling och är för de allra flesta verksamheter alltför resurskrävande att bevaka helt på egen hand. För att få en överblick som kan ge underlag för säkerhetshöjande åtgärder eller för att kunna se trender, finns det behov av en möjlig rapportering av incidenter till en central instans med uppgift att göra sammanställning och analys. En CERT (Computer Emergency Response Team), eller en funktion för incidenthantering, har till uppgift att koordinera säkerhetsproblem. Det har ofta formen av en "help desk" som via telefon, e-post, fax, WWW etc. sprider information och koordinerar insatser vid händelser som till exempel: - intrångsförsök, intrång - brister i programvaror och andra produkter - virusproblem - serverattacker mot till exempel WWW-servrar m.m. En sådan funktion kan också samla på sig information om och hänvisa till ett nätverk av konsulter och produkter. I samhället har vi idag flera stora interna koncern- och företagsnät, med distribuerade datormiljöer och med en ofta decentraliserad eller begränsad kontroll över inköp och användning. Samtidigt finns ett behov av att koppla ihop datorer i nät samt att öppna organisationernas nät mot omvärlden. Exempel på det

3 sistnämnda är givetvis intåget av Internet och ökade krav på olika typer av distansarbete och möjligheter till fjärranslutning. På den tekniska sidan har många framsteg gjorts på säkerhetsområdet. Däremot har lagstiftare, rättsväsende eller ansvariga i organisationer vare sig de resurser eller den kompetens som behövs för att säkra och skydda den information som finns i systemen. Ett av problemen är den ständigt föränderliga tekniken och därmed förändrade hotbilden. En annan av orsakerna är att problemen inte är helt lokala. Om någon attackerar och bryter sig in i ett svensk system, så kan det vara såväl svenskar som någon eller några som sitter på andra sidan jordklotet. Karaktären på Internetanvändare har också ändrats radikalt senaste åren. Varje enskild användare har, trots att de blir allt mer erfarna som användare, paradoxalt nog allt lägre teknisk kompetens och säkerhetskompetens. För vem arbetar en funktion för IT-incidenthantering En central funktion för hantering av IT-incidenter i Sverige bör enligt ITkommissionen kunna tjäna användarintressen hos stora, små och medelstora företag, offentlig förvaltning, utbildningsväsende, Internetleverantörer, andra organisationer och privatpersoner. Genom att samla resurser kring dessa frågor minskar förhoppningsvis kostnader och problem med kompetensbrist i enskilda organisationer. En funktion för IT-incidenthantering bör också bidra med kompetenshöjning i form av vägledning och rådgivning. För att en central funktion för IT-incidenter ska ha förutsättningar att lyckas måste emellertid också varje enskild organisation etablera egna säkerhetsansvariga "incident managers", alltså interna incidenthanteringsfunktioner. En viktig uppgift för en koordinerande funktion är då att ge råd och vägledning om hur sådana interna funktioner kan organiseras inom en verksamhet. IT-kommissionen och Statskontoret driver ett gemensamt projekt med syfte att ge sådan vägledning, både administrativt och tekniskt. IT-kommissionens synpunkter på Post- och Telestyrelsens förslag med avseende på funktionens uppgifter IT-kommissionen anser att Post- och Telestyrelsens förslag borde vara inriktat på samordning av incidenthantering och inte själva hanteringen av incidenter. Det är orimligt att ha en central funktion som skulle klara av att hantera alla incidenter inom statsförvaltningen. Varje enskild myndighet måste kunna hantera den uppgiften själv. En funktion för IT-incidenthantering har en viktig roll i att bistå med informationsutbyte och viss teknisk hjälp i krissituationer, t.ex. vid datorintrång, förfalskningar och andra former av IT-relaterad brottslighet. Om en verksamhet blir utsatt för någon typ av incident uppstår ofta ett stort behov av skyddad kommunikation. Det kan gälla hjälp att tolka eventuella spår av intrång, att söka upp och få kontakt med den som är motpart, kontakt med operatörer, hjälp med arkivering av data, säkring av bevis osv. IT-kommissionen vill betona att det för

4 den typen av information måste finnas säkra kanaler. Vissa typer av varningar t.ex. kräver att dessa kan spridas till behöriga mottagare med stor sekretess. Incidenthantering är långt ifrån en formell process. De olika organ som finns på olika nivåer inom Internet samarbetar och bygger upp nätverk av förtroende och kompetens, och hjälper varandra med lokal kännedom och personliga kontakter när någonting inträffar. PTS föreslår att den särskilda funktionen under försöksperioden i första hand endast ska betjäna de statliga myndigheterna, att inrapportering av incidenter ska vara frivillig, samtidigt som funktionens uppgifter ska begränsas till de som är möjliga utan författningsändringar. IT-kommissionen anser att man därmed tar bort argumentet för att funktionen skulle vara en myndighetsuppgift. Om det finns ett författningsmässigt stöd för att ålägga statliga myndigheter skyldighet att rapportera incidenter så är det motiverat att en sådan funktion läggs inom myndighetssfären. Det förslag som nu läggs fram kan lika väl hanteras inom ramen för en privat verksamhet. En sådan funktion skulle mycket väl kunna vara resultatet av en väl genomförd upphandling i t.ex. Statskontorets regi. Det är ju inte heller så att myndigheternas verksamhet bedrivs isolerat från annan verksamhet. Tvärtom finns ett ömsesidigt beroende mellan olika system inom både näringslivet och den offentliga sektorn. En incident som drabbar det ena lägret, kan med stor sannolikhet också drabba det andra. Enligt IT-kommissionen borde som minimum informationsinsamling, statistik och råd kunna omfatta flera delar av samhället än den statliga sektorn. PTS utredning av rättsproblemen är relativt grund och är mer inriktad på identifiering av problem än på förslag till lösningar. IT-kommissionens uppfattning är att regeringen bör ge PTS i uppdrag att under försöksperioden närmare utreda behovet av och lägga fram förslag till sådana författningsändringar som aktualiseras vid ett eventuellt permanentande av funktionen med utvidgade uppgifter. PTS säger sig under utredningen ha fått många belägg för att förebyggande skyddsåtgärder är det mest effektiva skyddet mot IT-incidenter, och att incidenthantering inte kan ersätta utan bara komplettera sådana skyddsåtgärder. IT-kommissionen håller helt och hållet med detta resonemang. Däremot delar ITkommissionen inte PTS slutsats att det skulle vara funktionens uppgift att ge kvalificerat stöd vid utformningen av myndigheternas skyddsåtgärder. Detta är en utmärkt uppgift för den privata marknaden i avtal med statliga myndigheter, efter väl specificerade krav och offentlig upphandling. En sådan uppgift faller väl inom Statskontorets uppgift att bidra till en effektiv statsförvaltning som i sin helhet kännetecknas av hög produktivitet, god kvalitet och bra service till nytta för beslutsfattare, medborgare och näringsliv, såsom det kommer till uttryck i regleringsbrevet för Statskontoret under 2001.

5 Det finns en möjlighet att situationer kan inträffa som orsakar stora problem inom praktiskt taget hela samhället. Den s.k. Hot- och riskutredningen (SOU 1995:19) beskrev vad som kan hända vid t.ex. stora flyktingsströmmar, brist på vatten, el eller elektronikkomponenter och avbrott i telekommunikationer, där allmänhetens krav på åtgärder från samhällets sida blir mycket stora. Sårbarheten i informationssamhället kan resultera i situationer som kan definieras som svåra påfrestningar. Dvs. om, och när strategiska funktioner i samhället med ett starkt IT-beroende slutar att fungera uppstår ett behov av att koordinera det som bl.a. myndigheter och företag gör, främst för att minimera risken att oförenliga och kontraproduktiva beslut fattas. Bristen på avvägningar mellan olika behov kan också leda till att de resurser som står till förfogande inte utnyttjas på ett sätt som gagnar helheten. Det saknas i dagsläget såväl en rättslig grund som en övergripande organisation för krishantering på nationell nivå i fredstid. Vid svåra påfrestningar på samhället bör regeringen kunna låta länsstyrelse eller annan statlig myndighet som regeringen bestämmer ha befogenhet att besluta om ingrepp i annans rätt. Uppgifter för en funktion för incidenthantering Incidenthantering består enligt IT-kommissionen huvudsakligen av tre komponenter:?? Informationsinsamling och delgivning?? Respons (reaktion)?? Incidentrapportering IT-kommissionen anser att en funktion för incidenthantering kan startas med en stegvis process. Det kan i första läget vara svårt att se hur verksamheten kan komma att utveckla sig och då kan det vara bra att börja i mindre omfattning för att sedan utöka verksamheten. Funktionen får emellertid inte vara mindre än att det går att garantera kontinuiteten i verksamheten. En lämplig bemanning ligger därmed någonstans mellan 3-6 personer. I det första steget bör funktionens incidentberedskap och kunskapsuppbyggnad ombesörjas. Under denna fas kan man också fungera som varningsfunktion. Detta steg är vad PTS bör koncentrera sig på att uppnå under försöksperioden. Den andra komponenten är den faktiska incidenthanteringen, dvs. vilka åtgärder som vidtas under en pågående incident. Här måste varje enskild organisation ha kompetens och resurser för att på det lokala planet hantera incidenter. En central funktion kan endast bistå med råd när det gäller hur man hanterar en viss typ av incident. Den lokala kännedomen om systemens uppbyggnad och konfiguration kan aldrig hanteras centralt. Den tredje komponenten, incidentrapportering, syftar till att följa upp redan inträffade och bilda en erfarenhetsbank för kommande incidenter.

6 Denna komponent, rapporteringsfunktionen, sönderfaller i statistikframställning, help desk och analysfunktion. IT-kommissionen anser att statistikframställning i det första skedet är den uppgift som ska prioriteras. Statistiken syftar till att skapa en helhetsbild av nuläget vad gäller hot, hotaktörer, tillvägagångssätt och teknik. Det enda sättet enligt IT-kommissionens uppfattning att få till stånd en effektiv statistikföring över IT-incidenter är att införa en obligatorisk incidentrapportering för statsförvaltningen. En sådan statistikenhet kan göras både småskalig och automatiserad. Rapportmallar kan hämtas elektroniskt och rapporterna kan skickas till funktionen i krypterad form exempelvis via Internet. Rapporten bör ge svar på vilken typ av incident som har ägt rum, vilka tekniker som använts, vilka programvaror som använts, vilken information som angriparen fick åtkomst till eller manipulerade etc. Även en statistikenhet kan fungera som en del i en taktisk varningsfunktion eftersom extraordinära mönster av incidenter kan upptäckas där. Enheten kan då utöver den kontinuerliga statistikrapporteringen slå larm till berörda myndigheter. I situationer då en myndighet inom den statliga förvaltningen kräver stöd vid säkerhetsproblem som går utanför det de kan hantera själva bör en funktion för incidenthantering ha kompetens att kunna biträda, inte genom att alltid ha egen expertis tillgänglig, utan genom att kunna föreslå konsulter vilka kan vara centralt upphandlade under ramavtal. Det finns dessutom ett stort behov av en gemensam begreppsapparat på området, och detta är mycket viktigt för funktionens möjlighet att vinna framgång. ITkommissionen vill därför gärna se att funktionen tar som sin en uppgift att under försöksperioden skapa en sådan gemensam begreppsapparat på området. En fiktiv händelse kan ha följande förlopp: 1. En incident inträffar vid en myndighet 2. Incidenten rapporteras enligt interna rutiner 3. Incidenten hanteras och utreds 4. Beslut fattas lokalt om incidenten är av sådan art att den ska rapporteras till polisen, med påföljande brottsanmälan 5. I de fall incidenten är av sådan art att inrapportering bör ske upprättas en incidentrapport enligt mall 6. Rapport översänds skyddad till funktionen för incidenthantering 7. Rapporten kategoriseras och införs i register hos funktionen 8. Incidenten redovisas i statistikrapporter. Många myndigheter saknar rapporteringsrutiner för interna incidenter. Steg 1-2 är alltså inte säkrat utan något som varje organisation måste skapa rutiner för. Steg 3 hanteras som regel inom den egna organisationen. En central funktion för incidenthantering skulle som stöd för den lokala verksamheten kunna tillhandahålla elektroniskt tillgänglig information där man kan inhämta rekommendationer om IT-säkerhetskonsulter som är knutna till förvaltningen genom upphandling och ramavtal. Där skulle det också gå att publicera

7 information om hur liknande incidenter har hanterats tidigare genom att söka i incidentdatabasen. Här är en diskussion om sekretess nödvändig. Man kan givetvis också vid en organisation för incidenthantering upprätta en hjälpfunktion med kvalificerad personal dit vissa i förväg angivna kontaktpersoner från myndigheten kan vända sig. Frågan om polisanmälan, enligt steg 4 ovan, är ett beslut som måste fattas inom myndigheten lokalt, och som ska hanteras särskilt, eventuellt i kontakt med funktionen för incidenthantering. Rollfördelningen mellan funktionen och de polisiära myndigheterna måste vara klar och tydlig. Goda relationer mellan funktionen och polisen är viktiga. Steg 5 förutsätter att det finns specifikationer över vilka incidenter som är av intresse för en central funktion. Dessa specifikationer måste vara utarbetade så att mängden incidentinformation blir hanterlig. En mall för vilka uppgifter en incidentrapport ska innehålla kräver en noggrann utformning. Så även vem som äger rapporteringsrätt hos en myndighet. Rutiner för varningar och rapportering av incidenter behöver vara enkla och automatiserade. De behöver också vara utformade på ett sådant sätt så att de enkelt kan integreras med incidenthantering hos motsvarande funktioner inom eller utanför landet. Det finns europeiskt standardiseringsarbete som bör följas (TERENA). Att skicka en rapport till funktionen kräver formulärhanterare och säkra överföringsrutiner. Det ska också gå att verifiera vem som översänt rapporten. Elektroniska signaturer måste krävas på båda sidor. Steg 8 slutligen, upprättande av statistik, har möjlighet att bidra till att bilda underlag för utveckling av strategier för informationssäkerhet. Det är viktigt att informationen når berörda, ansvariga myndigheter om det aktuella ITsäkerhetsläget. Ett sätt att göra sådan information tillgänglig är att lägga ut rapporter på en webbplats eller att skicka ut dem via elektronisk post. En tilläggsfunktion kan vara att information från andra funktioner för incidenthantering från exempelvis internationella IT-säkerhetsorgan anpassas till svenska förhållanden, analyseras och sprids. För IT-kommissionen Christer Marking