Tal till Kungl. Krigsvetenskapsakademien

Transkript

1 C LAES N O R G R E N R I K S R E V I S O R Tal till Kungl. Krigsvetenskapsakademien Riksrevisor Claes Norgren talar om informationssäkerhet inför Kungl. Krigsvetenskapsakademien, Försvarshögskolan 27 april Det talade ordet gäller. Inledning Tack för att jag fått komma hit och tala om cyberhotet mot samhället inom ramen för Akademiens tema Det framtida slagfältet Krigsvetenskap i det 21 århundradet! Jag tycker att temat är väl valt och hoppas att det perspektiv som Riksrevisionen har på dessa frågor kan bidra till dagens diskussion. Riksrevisionen har ett unikt mandat! Vi kan granska hela statsförvaltningen, i stort sett helt utan inskränkningar. Vi är också de enda som har rätt att granska hela styrkedjan från riksdag och regering till de enskilda myndigheterna i statsförvaltningen. Riksrevisionens syn på riskerna Riksrevisionens arbetar med en riskanalys för staten som är ett viktigt beslutsunderlag för oss riksrevisorer när vi på basis av risk och väsentlighet ska besluta om vilka områden vi ska inrikta granskningen. I riskanalysen har informationssäkerhet framträtt som ett särskilt område som är viktigt att granska. Skälet är att informationssäkerhet berör ett antal förmågor som är synnerligen viktiga för statsförvaltningens funktionalitet och för medborgarnas förtroende. Statens informationshantering behöver vara robust och säker mot incidenter, angrepp och olyckor. Det är viktigt att vi är trygga med att staten är bra på att hantera och förvalta viktig information, i synnerhet sådan som kan orsaka skada om den faller orätta händer, förstörs, manipuleras eller försvinner. Det handlar både om att säkerställa den service som det offentliga ska erbjuda samhället och att alla kan känna förtroende för staten. 1 ( 9 )

2 Riksrevisionen ser hur flera olika trender och förlopp i samhället pekar i en riktning där riskerna ökar för informationsrelaterade incidenter och problem: Teknikanvändningen i samhället ökar och allt mer information skapas, lagras och kommuniceras. Under det kommande decenniet prognosticeras mängden information på internet öka dramatiskt fanns cirka 4,4 trillioner gigabytes på internet, 2020 bedöms omfattningen ha ökat till 44 trillioner gigabytes. 1 Verksamheter, områden och aktörer blir allt mer beroende av varandra. IT-miljöer som tidigare bestod av begränsade och isolerade system i till största delen slutna nätverk, är i dag anslutna till internet och sammankopplade med varandra när myndigheter och företag samverkar elektroniskt. 2 Detta ska ses i ljuset av att företaget Cisco räknar med att det år 2020 kommer att finnas 50 miljarder saker anslutna till internet. 3 Observera att det är inte bara datorer kommunicerar elektroniskt! 2013 bedömdes att 40 procent av all information på internet behövde någon form av skydd, exempelvis kryptering eller brandvägg. I praktiken hade bara uppskattningsvis hälften av informationen någon form av skydd. 4 Eftersom teknikutvecklingen är så snabb kommer behovet av skydd öka dramatiskt. Hotaktörerna är fler och kunnigare än tidigare. Det är samtidigt enkelt för vanliga personer att i dag skaffa sig verktyg som kan orsaka skada. Det handlar exempelvis om antagonistiska hotaktörer som har anknytning till andra stater, grov organiserad brottslighet och terrorism. Samtidigt är det viktigt att poängtera att för de allra flesta organisationer är den främsta förklaringen till incidenter snarare tekniska fel, handhavandefel, fel i datasystem med mera. Det finns stora osäkerheter om riskernas omfattning och om vad som händer när de realiseras. Det finns en brist på överblick. Det saknas också aktörer som har till uppgift att ha överblick. Samtidigt är transpararensen låg inom viktiga kommersiella verksamheter, exempelvis bankerna, eftersom information om brister och inträffade incidenter kan få konsekvenser som påverkar affärsverksamhetens lönsamhet och konkurrenskraft. Säkerhet betraktas ofta som ett av flera särintressen. Kostnader för säkerhet kan upplevas som inskränkande på resurserna för att bedriva organisationens kärnverksamhet. Det finns också ett tryck på myndigheterna för att effektivisera FRA, Trender och utmaningar idag och i morgon informationssäkerhet, s 5f ( 9 )

3 sina verksamheter. Resurserna är allmänt sett knappa. Detta får direkta konsekvenser för vilken ekonomi som finns för motåtgärder. Sammantaget finns ett flertal faktorer som indikerar att sannolikheten för att incidenter kommer att inträffa ökar och att konsekvenserna om de inträffar blir allvarligare. Till detta kommer att omfattningen av IT-användning ökar och problem kan fortplantas och få större effekter i förvaltningen. Detta innebär bland annat att den riskhantering vi har i dag kommer att behöva utvecklas och utökas i takt med att riskbilden ökar. Det är också angeläget att förstå och kunna överblicka ett systems funktionalitet och sårbarheter för att kunna utföra adekvata säkerhetsåtgärder. Informationssäkerhet i statsförvaltningen Man kan säga att riskområdet Informationssäkerhet berör tre nivåer av statsförvaltningen. Den första nivån är regeringen, som styr riket, och som har ett övergripande ansvar för att säkerheten är god i statsförvaltningen. På nästa nivå kommer de myndigheter som har i uppdrag av regeringen att på olika sätt stödja upprätthållandet av god informationssäkerhet i staten. Det är framför allt fyra myndigheter jag här vill framhålla: Säkerhetspolisen, Försvarsmakten, MSB 5 och FRA 6. Säkerhetspolisen utövar tillsyn enligt säkerhetsskyddslagen. I praktiken är det en tillsyn över endast de mest skyddsvärda delarna av den civila statsförvaltningen. När det gäller försvarsmyndigheterna är det Försvarsmakten som genom MUST 7 utövar den här tillsynen. FRA utför IT-säkerhetsanalyser och intrångstester på myndigheter och statliga bolag. Också här är det fråga om de mest skyddsvärda delarna av förvaltningen. MSB stöder och samordnar arbetet med hela samhällets informationssäkerhet och utfärdar dessutom föreskrifter om informationssäkerhet för myndigheterna. Den tredje nivån, slutligen, är alla de andra myndigheter som finns i statsförvaltningen. Var och en av myndigheterna har ett eget ansvar för att upprätthålla en god informationssäkerhet. Till kategorin viktiga aktörer hör också Datainspektionen som utför tillsyn av myndigheternas hantering av personuppgifter och som också kan meddela föreskrifter om säkerhet. 5 Myndigheten för samhällsskydd och beredskap. 6 Försvarets radioanstalt. 7 Militära underrättelse- och säkerhetstjänsten, som är en del av Försvarsmaktens högkvarter. 3 ( 9 )

4 Vad har Riksrevisionen gjort på området? Tidigare granskningar Riksrevisionen granskade redan under åren 2005 till och med 2007 hur det stod till med informationssäkerheten i staten. Då undersökte vi hur elva myndigheter arbetade med sin informationssäkerhet, och slutligen granskade vi hur regeringen hade styrt arbetet med informationssäkerhet. Granskningarna visade att det fanns uppenbara brister hos myndigheterna i den interna styrningen och kontrollen när det gäller informationssäkerheten. Och regeringen hade inte följt upp om den interna styrningen och kontrollen av informationssäkerheten varit tillfredsställande. Regeringen hade inte heller gjort tillräckligt för att förbättra förutsättningarna för myndigheterna att arbeta med sin informationssäkerhet. Den nyss avslutade granskningen av informationssäkerheten i den civila statsförvaltningen (november 2014) Som jag nämnde inledningsvis har Riksrevisionens riskanalys för staten resulterat i att informationssäkerhet har identifierats som ett område där det finns väsentliga risker. Av det skälet genomförde vi en granskning förra året av informationssäkerheten i den civila statsförvaltningen. Det är två frågeställningar som vi har utgått från: Om regeringens styrning av informationssäkerhet i statsförvaltningen är effektiv. Och, om regeringens stödmyndigheter Säkerhetspolisen, FRA och MSB har vidtagit tillräckliga åtgärder för att informera sig om vilka hot som finns och vilka skyddsåtgärder som vidtas. Vad har vi sett i granskningen? Från var och en av stödmyndigheterna har vi tagit fram uppgifter som belyser läget för informationssäkerheten ur olika vinklar. Uppgifterna pekar alla i samma riktning: att det finns omfattande brister i informationssäkerheten! Från MSB kommer uppgifter om allvarliga brister i myndigheternas risk- och sårbarhetsanalyser. 8 Till exempel behandlas inte informationssäkerhet i analyserna, trots att det är ett krav. Också efterlevnaden av MSB:s föreskrifter med ledningssystem för informationssäkerhet är låg. Enligt vår bedömning uppfyller inte ens hälften av myndigheterna kraven i föreskrifterna. 8 MSB har gått igenom 23 myndigheters risk- och sårbarhetsanalyser. 4 ( 9 )

5 FRA vittnar om att det är lätt att bryta sig in i samhällsviktiga system. Skyddet motsvarar sällan nivån på informationens skyddsvärde och de hot som systemen bör skyddas mot. Från Säkerhetspolisen kommer uppgifter om allvarliga brister i säkerhetsskyddet på myndigheter och bolag som har den mest skyddsvärda verksamheten. Konsekvenserna kan bli allvarliga om en incident skulle inträffa. Både Säkerhetspolisen och FRA får kunskap om brister i enskilda myndigheters informationssäkerhet. Ingen av myndigheterna har dock lämnat någon aggregerad redovisning av bristerna till Regeringskansliet. Ett skäl till det är att det saknas en naturlig mottagare där. Det finns heller ingen obligatorisk incidentrapportering, trots att det har diskuterats länge. Vad har vi kommit fram till? Den samlade slutsatsen av granskningen är att arbetet med informationssäkerheten inte är ändamålsenligt om vi ser till de hot och risker som finns. Regeringen saknar en samlad bild av läget för informationssäkerheten i statsförvaltningen, och därmed saknas möjligheten att styra effektivt. Inte heller stödmyndigheterna MSB, FRA och Säkerhetspolisen har en samlad bild. Det råder en osäkerhet om hur starkt skyddet är, vilka händelser som har ägt rum och hur hoten utvecklas. Granskningen visar att det finns brister inom flera områden, till exempel kompetens, upphandling, tillsyn, uppföljning samt styrning och samordning. Cirka 38 procent av myndigheterna bedömer till exempel att kompetens, mandat eller resurser inte räcker. Orsakerna är: dels att regeringen inte har utövat en effektiv styrning av informationssäkerheten dels att regeringens stödmyndigheter endast delvis har vidtagit nödvändiga åtgärder; de här myndigheterna skulle, menar vi, kunna göra mer inom ramen för sitt nuvarande mandat. Vi bedömer att läget är allvarligt för de myndigheter som fått sina skydd testade mot intrång av FRA, och även för flera av de myndigheter som fått sina säkerhetsskydd kontrollerade av Säkerhetspolisen. Och, det här omfattar endast en bråkdel av statsförvaltningen den som är mest skyddsvärd. Risken är alltså påtaglig att motsvarande brister återfinns även i övriga delar av förvaltningen. 5 ( 9 )

6 Vi kan också konstatera följande Granskningen har visat att det råder ett oklart resursläge! Här är det två aspekter som jag vill nämna: Den första aspekten är att det saknas en samlad bedömning av hur mycket resurser som behöver satsas på skyddsåtgärder, sett till de risker som finns. Om man hade haft en samlad lägesbild skulle man ha haft förutsättningar för att få en samlad värdering av riskerna, och kunnat väga det mot hur stort stöd som man behöver sätta in. Det här är en fråga som vi anser är så viktig, att vi överväger att granska hur avvägningen mellan säkerhetsbehov och säkerhetsåtgärder ser ut i staten. Jag återkommer till det lite längre fram. Den andra aspekten är att i dag har varje myndighet ett eget ansvar för hela sin verksamhet både i normalläge och i krisläge, och det är ju självfallet helt nödvändigt för att kunna bedriva verksamheten effektivt. Men det är nog sannolikt inte tillräckligt; de flesta myndigheter har svårt att ha den kompetens som behövs, då de är för små för att det ska vara bärkraftigt för var och en. Också stödmyndigheterna har begränsade resurser, och kan inte lämna operativt stöd i någon större utsträckning. Här kan det finnas en potential i att ett ökat centralt stöd till många myndigheter kan ge mer säkerhet för mindre pengar sett till totalen. Slutligen: regeringen har under de senaste åren på flera fronter uppmärksammat och betonat hur angeläget det är att myndigheterna har en hög informationssäkerhet. Regeringen har också tillsatt olika utredningar som berör informationssäkerheten. Frågan är alltså i hög grad aktualiserad, men trots det har många åtgärder ändå uteblivit. Rekommendationer Riksrevisionen brukar efter att en granskning är avslutad i lämna rekommendationer till dem som har blivit granskade. Vi har i vår rapport lämnat ett antal rekommendationer till både regeringen och till regeringens stödmyndigheter. När det gäller regeringen lämnade vi följande rekommendationer: Utöka tillsynen, så att den omfattar väsentligt mer än endast de allra mest skyddsvärda delarna av förvaltningen. (Som det nu är, är det endast de mest skyddsvärda delarna som blir föremål för tillsyn.) Låt utreda om regelverket som styr arbetet med informationssäkerheten är ändamålsenligt i sin nuvarande utformning. (Regelverket är splittrat i dag. Det är flera olika författningar som var för sig utifrån olika behov ska bidra till en god säkerhet.) Överväg att låta den myndighet som utövar tillsyn få mandat att utfärda sanktioner mot myndigheter som inte vidtar nödvändiga åtgärder om en tillsyn visat på brister. (En något häftig rekommendation kan det tyckas, men högst relevant anser jag eftersom området är så eftersatt.) 6 ( 9 )

7 Inför snarast en obligatorisk incidentrapportering för samtliga myndigheter. (Ett gammalt krav, som hittills ännu inte har genomförts.) Skapa en funktion i Regeringskansliet som samlat hanterar informationssäkerheten i statsförvaltningen och i Regeringskansliet. (Då kan regeringen få nödvändiga förutsättningar på plats för att styra och samordna informationssäkerheten. Då skapas även en naturlig mottagare av information från stödmyndigheterna.) Granskningens respons Granskningsrapporten har rönt ett stort intresse. Det gäller både i media och från myndigheter, men även från enskilda intressenter. Jag tolkar det som att granskningen anses angelägen, och att det finns en ökande insikt om att åtgärder behöver vidtas för att öka skyddet till en tillräcklig nivå. Granskningens vidare behandling i regering och riksdag När Riksrevisionen har slutfört en granskning rapporterar vi den till riksdagen, och sen får regeringen fyra månader på sig att redovisa för riksdagen vad man avser att vidta för åtgärder med anledning av granskningen. Regeringen delgav riksdagen sin skrivelse den 12 mars, och den låter meddela att man i huvudsak instämmer i Riksrevisionens slutsatser. Just nu behandlas Riksrevisionens granskning i riksdagens försvarsutskott. Riksrevisionens fortsatta arbete Pågående förstudie med vidare granskning Helt kort vill jag också nämna något om en ny granskning om informationssäkerhet som vi arbetar med på Riksrevisionen nu. Det sker just nu i formen av en förstudie, och tar sikte på myndighetsnivån. Alltså till skillnad från den föregående granskningen som var inriktad på regeringen och stödmyndigheterna. Förstudien tar sin utgångspunkt i den tidigare granskningen, det vill säga att arbetet med informationssäkerhet inte är effektivt. Vi har två frågeställningar som vi arbetar med Vad det är som orsakar bristerna i arbetet med informationssäkerheten. (Till exempel: varför efterlevs inte reglerna?) Vilka konsekvenser som bristerna kan medföra. För att kunna göra en optimal avvägning av hur mycket vi ska skydda oss måste vi kunna relatera kostnaden för att skydda oss mot den nytta som vi kan uppnå genom att skydda oss. Den huvudsakliga processen inom myndigheterna för att göra sådana avvägningar är genom att bedriva riskhantering. Granskningen kommer därför att inriktas mot frågor 7 ( 9 )

8 om riskhantering, investeringsstrategier för informationssäkerhet och kostnader för bristande säkerhet. Det är slående att den ekonomiska uppföljningen av vilka resurser som förvaltningen satsar på informationssäkerhet brister. Det saknas definitioner och ett system att samla in och värdera om resurser satsas i tillräcklig mängd och på rätt ställe i förvaltningen. Det tangerar också frågan om strategiska investeringar hanteras på bästa sätt. Årlig revision Jag vill här också helt kort nämna något om den årliga revisionen, det vill säga den finansiella revisionsgrenen inom Riksrevisionen. Eftersom myndigheterna blir mer och mer IT-beroende påverkar det processerna för att ta fram årsredovisningar. Det här innebär naturligtvis en ökad risk för att det ska uppstå väsentliga fel i årsredovisningarna. Det är en utmaning att kunna göra rimligt väl underbyggda riskuppfattningar för att komma fram till vilka revisionsbehov som finns. Sedan måste vi utveckla, förvalta och tillämpa lämpliga metoder för att minimera risken för felaktiga uttalanden i revisionsberättelserna. Avslutning Informationshanteringen genomgår för närvarande stora förändringar. Det här gäller inte minst i staten, där e-förvaltning byggs ut i rask takt på många myndigheter. Tanken är att medborgarna och myndigheterna mer och mer ska kommunicera med varandra på det här sättet, och att e-förvaltningen ska präglas av hög tillgänglighet och god funktionalitet. Men när det kommer till säkerheten i e-förvaltningen har man hittills inte alls betonat den lika mycket som när det gäller kraven på tillgänglighet och funktionalitet. Snart kommer merparten av informationshanteringen i staten att hanteras elektroniskt. Och det handlar om allt från integritetskänsliga personuppgifter till styrning av processer för att infrastrukturen ska fungera. Det handlar också om myndigheternas interna administration. Här finns naturligtvis en stor effektiviseringspotential, men vi ska vara klara över att riskerna ökar. Och jag är inte säker på att vi balansen mellan risker och kontrollåtgärder är rätt det är något som våra granskningar och vår riskanalys starkt indikerar. Digitaliseringen har gett stora effektivitetsvinster. Till följd av digitaliseringen kan jag konstatera att statsförvaltningen numera är mer sårbar än förut. Och det här handlar 8 ( 9 )

9 både om att risken ökar för antagonistiska attacker av olika slag, och om rena handhavandefel eller tekniska fel som kan uppstå. En viktig sak i sammanhanget är att vi mer och mer har rationaliserat bort möjligheterna att kunna använda manuell hantering om det skulle bli ett avbrott på grund av störningar i IT-systemen. Vi saknar helt enkelt redundans i många fall, och det kan bli bekymmersamt om det inträffar allvarligare incidenter. Vi får inte heller glömma bort den internationella dimensionen i dessa frågor. På samma sätt som resurser behöver samordnas på nationell nivå behöver staterna samverka för att stödja varandra. Främst är det för svensk del en fråga om vilket stöd som kan mobiliseras på EU-nivå. Det är väsentligt att som regeringens utredare Erik Wennerström har formulerat det Sverige är en stark internationell partner i dessa frågor. Jag vill avsluta med att säga att statsförvaltningen står inför en omfattande utmaning: att möta de hot och risker, som ständigt ökar, med tillräckligt bra åtgärder så att en god och verksamhetsanpassad säkerhet kan byggas och vidmakthållas. Som jag har sagt tidigare i mitt anförande: bristerna och problemen är kända ändå uteblir många nödvändiga åtgärder. Nu är det därför hög tid att gå från ord till handling! Tack! 9 ( 9 )