IRI PM. IRI Promemoria 1 / 2007 Helena Andersson Rättsliga aspekter på myndigheternas informationssäkerhet

Transkript

1 IRI PM IRI Promemoria 1 / 2007 Helena Andersson Rättsliga aspekter på myndigheternas informationssäkerhet Institutet för rättsinformatik Juridiska fakulteten, Stockholms universitet

2 Helena Andersson, Institutet för rättsinformatik Juridiska institutionen Stockholms universitet Utredning beställd av Riksrevisionen Rättsliga aspekter på myndigheternas informationssäkerhet Sammanfattning Denna genomgång av rättslig reglering med betydelse för myndigheternas informationssäkerhet syftar till att besvara tre huvudfrågor: 1. Är regleringen som är styrande för myndigheternas verksamhet bristfällig ur ett informationssäkerhetsperspektiv? 2. Kan bristerna ha betydelse för myndigheternas interna kontroll och styrning? 3. Finns skäl att överväga förändrad/ny reglering på området? Riksrevisionens granskning av olika myndigheters interna styrning och kontroll av informationssäkerheten har påvisat brister i säkerheten kring informationshantering. För verksamheten ändamålsenliga tekniska och organisatoriska säkerhetslösningar tillämpas inte i tillräcklig utsträckning. Fråga är här i vilken utsträckning legala insatser kan användas för att åtgärda dessa brister. Genomgången visar att: - Det finns informationssäkerhetsrelaterade brister i regleringen; exempelvis har viss typ av information ett starkt legalt skydd medan information, som också den är skyddsvärd ur ett informationssäkerhetsperspektiv, knappt omnämns i regleringen. - Dessa brister har troligtvis betydelse för myndigheternas interna kontroll och styrning; exempelvis är krav på att genomföra kontroller i form av riskanalyser knutna till avgränsade frågor och områden som rikets säkerhet. Regleringens brist på helhetssyn främjar inte en helhetssyn på informationssäkerhet hos myndigheterna. - Reglering på området kan utformas på ett sådant sätt att den mer aktivt bidrar till att myndigheternas faktiska behov av intern kontroll och styrning av informationssäkerheten tillfredsställs. Behovet av ändrad reglering på informationssäkerhetsområdet har upprepande gånger tagits upp i både propositioner och utredningar. Infosäkutredningen har även lagt fram ett förslag på en förordning om vissa åtgärder för informationssäkerhet hos staten. 1 Syftet är att säkerställa administrativ (organisatorisk) och teknisk informationssäkerhet hos statliga myndigheter under regeringen. Informationssäkerhet är ett komplext område som i princip berör samtliga rättsområden. Generellt kan konstateras att den juridiska behandlingen av informationssäkerhet dock ofta begränsas till en viss avgränsad fråga, inte sällan uppmärksammad genom att reglering eller brist på reglering skapar ett verksamhetsrelaterat problem för en eller flera myndigheter. Regleringsinsatser utan helhetssyn på juridikens roll i stort när det gäller konfidentialitet, 1 SOU 2005:42 Säker information Förslag till informationssäkerhetspolitik s 237ff 1

3 riktighet och tillgänglighet vid informationshantering skapar risk för luckor och motstridigheter i regelverken. Medvetenheten om detta är ofta låg. 1. Inledning I det följande kommer en genomgång av rättslig reglering på informationssäkerhetsområdet att göras för att få fram eventuella brister i förhållande till Riksrevisionens problembild. Detta förutsätter att det klargörs 1. vilken reglering som är relevant ur ett informationssäkerhetsperspektiv 2. vad som kan anses som informationssäkerhetsrelaterade brister 1.1 Definitioner Informationssäkerhet anses i de flesta sammanhang 2 omfatta informationens konfidentialitet, tillgänglighet och riktighet. Dessa funktioner har på senare tid ofta kompletterats, vilket Riksrevisionen gör, med spårbarhet. Andra funktioner som brukar användas i detta sammanhang är auktorisation och autenticering. 3 Begreppet informationssäkerhet definieras även i säkerhetsskyddslagen (1996:627) men syftar där endast på skyddet för uppgifter som sekretessbelagts med hänsyn till rikets säkerhet. 4 Sättet på vilket informationssäkerhet definieras är av avgörande betydelse för vilken rättslig reglering som skall anses vara relevant ur ett informationssäkerhetsperspektiv. Ett urval som baseras på definitionen i säkerhetsskyddslagen (1996:627) kommer i jämförelse med definitionen som används av Riksrevisionen men även EU, OECD, SIS m fl att bli mer begränsat. Med hänsyn till att informationssäkerhetsfrågor har en tvärdisciplinär karaktär kommer i det följande den bredare definition som baseras på kraven på konfidentialitet, riktighet, tillgänglighet och spårbarhet, att användas Metod Informationssäkerhetsrelevant reglering finns spridd över hela rättsordningen varför det är nödvändigt att använda ett systematiskt tillvägagångssätt för att hantera och analysera denna. Den metod som kommer att användas går under namnet Rättsinformatisk Informationssäkerhetsanalys, RISA, och har utvecklats inom ramen för mitt doktorandprojekt vid Institutet för rättsinformatik, Stockholms universitet. Syftet med RISA är att tillhandahålla ett verktyg som gör det möjligt att identifiera informationssäkerhetsrelaterad reglering (RISA Strukturering), sätta in regleringen i ett relevant informationssäkerhetssammanhang och upptäcka brister (RISA Relatering) samt utgöra en vägledning för lagstiftaren för vilka brister som bör hanteras med legala medel samt hur detta skall gå till (RISA Implementering). I det följande kommer främst de två första delarna av RISA, RISA Strukturering och RISA Relatering att tillämpas. Som underlag för bedömningen av brister och säkerhetsbehov har här, liksom i Riksrevisionens rapporter, i huvudsak standarden för ledningssystem för 2 Se exempelvis Pfleeger, Charles P., Security in computing, Prentice Hall, Upper Saddle River, NJ, 2007 Anderson, Ross, Security Engineering - A Guide to Building Dependable Distributed Systems, John Wiley & Sons Inc, 2001, Maiwald, Eric, Fundamentals of Network Security, Mc Graw Hill Technology Education, Burr Ridge, 2004 OECD, OECD:s riktlinjer för säkerheten i informationssystem och nät På väg mot en säkerhetskultur, antogs om en rekommendation från OECD-rådet vid dess 1 037:e session den 25 juli 2002, 2002, 2001/264/EG Rådets beslut av den 19 mars 2001 om antagande av rådets säkerhetsbestämmelser, KOM (2001)298 Nät- och informationssäkerhet: förslag till en europeisk strategi, SIS, Bowin, Joachim (red), Handbok 550 Terminologi för Informationssäkerhet, SIS Förlag AB, Stockholm, SIS HB Se säkerhetsskyddslagen 7 5 Se ex Riksrevisionen, Granskning av Migrationsverkets interna styrning och kontroll av informationssäkerheten, 2006 (Rapport RiR 2006:25) s 11 2

4 informationssäkerhet IS (LIS) använts 6. Standardens syfte är att täcka informationssäkerhetsaspekterna hos en organisation. 1.3 Mål för säkerhetsarbetet En central fråga är vilken nivå av informationssäkerhet som man ska kunna förutsätta att en myndighet upprätthåller. Riksrevisionen slår fast i sina rapporter att det finns ett behov av informationssäkerhetsåtgärder eftersom de flesta myndigheter hanterar känsliga uppgifter som är i behov av både konfidentialitet, riktighet, tillgänglighet och spårbarhet. Detta är en ståndpunkt som stöds av Infosäkutredningen 7 och regeringen gav även uttryck för detta i ITpropositionen från Regeringen konstaterade att målet för den offentliga servicen och ärendehantering är att den skall vara öppen och tillgänglig samt tillhandahållas på ett säkert sätt. 9 För att skapa förutsättningar och underlätta utvecklingen av en sammanhållen förvaltning som utformar sina tjänster med utgångspunkt från medborgares och företagares behov av enkelhet och tillgänglighet måste det finnas grundfunktioner och specifikationer som är gemensamma inom hela förvaltningen. Detta blir särskilt viktigt när det gäller utvecklingen av elektroniska tjänster. Sådana grundfunktioner syftar till att säkerställa exempelvis säker, interoperabel kommunikation, förenklat informationsutbyte eller att offentlig information är sökbar. 10 De säkerhetsverktyg som finns i form av tekniska åtgärder, organisatoriska lösningar, legalt stöd m fl har olika begränsningar och möjligheter. För att säkerställa ändamålsenlig användning måste de olika säkerhetsverktygen samordnas Ur ett informationssäkerhetsperspektiv måste därför en helhetssyn anläggas på informationssäkerhetsarbetet. 2 RISA Strukturering 2.1 Avgränsning och indelning I sina granskningar avgränsade Riksrevisionen arbetet till att endast gälla säkerheten för de IT-relaterade informationstillgångarna och fokuserade på myndighetsledningens styrning och kontroll för att säkerställa säkerheten hos eller skyddet av informationen i IT-systemen och andra informationstillgångar, vilket benämndes myndighetens ledningssystem för informationssäkerhet. 11 Samma avgränsning kommer att göras här. Även efter denna avgränsning aktualiseras många delar av regleringen. För att kunna hantera denna komplexa materia är det viktigt att strukturera regleringen i syfte att göra den mer överblickbar och tillgänglig. Mervärdet av att här utgå från olika rättsområden är begränsad eftersom informationssäkerhetsrelevant reglering i princip kan hittas inom samtliga delar av regleringen. Istället kommer strukturering att ske i enlighet med RISA-modellen på ett sätt som baseras på den funktion regleringen har i ett informationssäkerhetssammanhang. Det första steget utgörs av en indelning i krav som rör vilka krav som ställs, vilka definitioner 6 Tidigare ISO/IEC Se SOU 2005:42 8 Se prop 2004/05:175 Från IT-politik för samhället till politik för IT-samhället 9 A a s A a s Se exempelvis Riksrevisionen, Granskning av Arbetsmarknadsverkets interna styrning och kontroll av informationssäkerheten, RiR 2006:24 3

5 som görs, vem eller vilka som har ansvar samt i vilken utsträckning oönskat beteende är straffbelagt. Någon fullständig redogörelse åsyftas inte, fokus riktas mot sådan reglering som anses central ur ett informationssäkerhetsperspektiv. 2.2 Krav Det finns en rad krav i olika regleringar som har bäring på myndigheters hantering av information. Vissa av dessa krav riktar sig direkt mot en viss typ av information medan andra rör vissa säkerhetsrelaterade åtgärder. Skyddet för personuppgifter är av centralt intresse när det gäller myndigheternas informationshantering. Enligt 31 personuppgiftslagen (1998:204), PUL, skall den som är personuppgiftsansvarig 12 vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Vilka åtgärder som bör väljas är enligt lagrummet beroende av de tekniska möjligheter som finns, kostnaden för åtgärderna, vilka risker som finns och hur pass känsliga de behandlade personuppgifterna är. Datainspektionen har i sina allmänna råd Säkerhet för personuppgifter specificerat både fysiska säkerhetsåtgärder för den IT-utrustning i vilken personuppgifterna behandlas och logiska åtgärder som loggning, kryptering och behörighetskontrollsystem för informationssystemen. Enligt Datainspektionen bör den personuppgiftsansvarige tänka på att 13 - Kartlägga hotbilden - Sätta mätbara mål för säkerhet - Fastställa policy för säkerhet - Skapa en fungerande organisation för säkerhet - Skaffa den utrustning som behövs och använda den rätt - Upprätta regler och rutiner - Informera och utbilda kontinuerligt - Följa upp att regler och rutiner efterlevs och respekteras - Testa säkerheten regelbundet Det bör noteras att Datainspektionens allmänna råd inte är bindande utan rekommendationer för hur reglerna om säkerhetsåtgärder i PUL bör uppfyllas. Enligt 32 PUL har dock Datainspektionen möjlighet att i enskilda fall besluta om vilka säkerhetsåtgärder som skall vidtas. När det gäller integritetsskydd bör även registerlagstiftningen nämnas. Dessa regelverk rör specifika verksamheter och kan innehålla förhållandevis detaljerade krav på informationshanteringen. Som exempel kan nämnas lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens administration vilken bland annat uttryckligen reglerar vilka som har behörighet att få till tillgång till socialförsäkringsdatabasen. 14 Bland de allmänna handlingar som myndigheterna hanterar finns inte sällan även sekretessbelagda uppgifter. Enligt 1 kap 2 sekretesslagen (1980:100) får inte uppgifter för vilka sekretess gäller röjas för enskild i andra fall än vad som närmare anges i lagen. 15 Ett exempel på uppgifter som skall skyddas med direkt bäring på informationssäkerhetsfrågor återfinns i 5 kap 2 sekretesslagen. Enligt lagrummet gäller sekretess för uppgift som lämnar 12 Enligt 3 PUL den som bestämmer ändamålen med och medlen för behandling av personuppgifterna. När det gäller personuppgifter som hanteras inom ramen för en myndighets verksamhet så är myndigheten personuppgiftsansvarig. 13 Datainspektionen, Säkerhet för personuppgifter, 1999 (Datainspektionens allmänna råd) s Se lag (2003:763) om behandling av personuppgifter inom socialförsäkringens administration Se 1 kap 1 sekretesslag (1980:100) 4

6 eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd med avseende på telekommunikation eller system för automatiserad behandling av information. Som exempel på säkerhets- eller bevakningsåtgärder kan nämnas funktioner för användning av lösenord, loggning och kryptering, installation av brandväggar och antivirusprogram samt administrativa rutiner för t.ex. utdelning av lösenord eller bevakning av loggar och larm. 16 När det gäller myndigheter som behandlar uppgifter som är sekretessbelagda med hänvisning till rikets säkerhet, 2 kap sekretesslagen, ställer säkerhetsskyddslagen (1996:627) krav på att det finns ett säkerhetsskydd. Säkerhetsskyddet skall ge skydd mot spioneri, sabotage och terroristbrott och enligt lagens 9 skall utformningen av säkerheten vid behandling i IT-system skall särskilt beaktas. Dessa tre exempel visar på situationer då regleringen ställer särskilda krav på hantering av en viss typ av information. Regleringen kan även uttrycka krav på att vissa säkerhetsåtgärder vidtas. Det faktum att myndigheten i många fall hanterar både sekretessbelagda och offentliga uppgifter påverkar med nödvändighet utformningen av behörighetssystem och regler för tillgänglighet i de informationssystem som används. Lagstiftaren har här tagit fasta på risken att konfidentialitetsskyddet även skulle innefatta andra uppgifter och på det sättet hindra tillgången till allmänna handlingar som är offentliga. För att inte skyddet för de sekretessbelagda uppgifterna skall hindra rätten att få tillgång till allmänna handlingar innehåller 15 kap 9 sekretesslagen vissa grundläggande regler för hur informationssystemen skall utformas. Bland annat skall de allmänna handlingarna hållas åtskilda från andra handlingar samtidigt som skyddet för sekretessbelagda uppgifter som ingår i allmänna handlingar bör utformas så att rätten att få insyn enligt tryckfrihetsförordningen inte försvåras. Även om syftet med regleringen är att säkerställa tillgången till offentliga handlingar bidrar kravet på ordning även till ökad säkerhet genom att informationen struktureras på ett genomtänkt sätt. Även andra regelverk ställer krav på åtgärder av betydelse för informationssäkerhetsarbetet. Förordningen om krisberedskap och förhöjd beredskap (2006:942) kräver att samtliga myndigheter genomför en riskanalys en gång per år. Ur ett informationssäkerhetsperspektiv är en väl genomförd riskanalys ett viktigt säkerhetsverktyg och i princip en förutsättning för att andra säkerhetsverktyg skall kunna utnyttjas optimalt. Enligt förordningen skall myndigheten i riskanalysen identifiera sårbarheter eller hot som kan allvarligt försämra myndighetens verksamhet inom sitt område. Syftet är enligt 9 i förordningen att stärka sin egen och samhällets krisberedskap. En redovisning baserad på riskanalysen skall skickas in till Regeringskansliet med kopia till Krisberedskapsmyndigheten. Även förordningen om myndigheternas riskhantering (1995:1300) ställer krav på att myndigheterna genomför en riskanalys. Förordningen riktas dock endast till myndigheter under regeringen och har till syfte att identifiera sådana risker som kan innebära skador eller förluster för staten. 17 Efter att ha värderat riskerna och uppskattat vilka kostnader riskerna medför skall myndigheten vidta lämpliga åtgärder för att begränsa riskerna och förebygga skador eller förluster. I säkerhetsskyddsförordningen (1996:633) ges bestämmelser till säkerhetsskyddslagen utom när det gäller riksdagen och dess myndigheter. Förordningen innehåller även mer detaljerade instruktioner rörande vilka säkerhetsåtgärder som skall vidtas när det gäller ITsystem i vilka hemliga uppgifter med hänsyn till rikets säkerhet finns. Av särskilt intresse är kravet på att de som berörs, regleringen, myndigheter, vissa bolag m m samt kommuner och landsting, skall upprätta en säkerhetsanalys. Analysen skall innehålla uppgifter om vilka uppgifter som skall hållas hemliga med hänsyn till rikets säkerhet. 18 Vidare skall en 16 Se prop 2003/04:93 Några frågor om sekretess m m s och 3 Förordning (1995:1300) om statliga myndigheters riskhantering 18 5 Säkerhetsskyddsförordning (1996:633) 5

7 säkerhetsskyddschef utses. Säkerhetsskyddschefen skall utöva kontroll över säkerhetsskyddet och vara direkt underställd myndighetens chef. 19 Säkerhetsskyddsförordningen innehåller regler för hur vissa uppgifter som behandlas med hjälp av IT skall skyddas. Bland annat måste samråd med Försvarsmakten alternativt Säpo ske innan ett register som innehåller uppgifter som i vissa fall kan skada totalförsvaret upprättas. Om flera personer skall använda systemet skall detta enligt 12 säkerhetsskyddsförordningen vara försett med funktioner för behörighetskontroll och loggning. Förordningen innehåller även regler för kryptering och kommunikation av hemliga uppgifter. 20 Som nämndes ovan omfattas inte riksdagen och dess myndigheter av säkerhetsskyddsförordningen. Här regleras verksamheten istället av lag (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter. Lagen ersatte lag (1983:953) om säkerhetsskydd i riksdagen och några av de främsta förändringarna var att - införa möjligheter att ingripa mot terrorism, inte bara i samband med hot mot rikets säkerhet - inte enbart gälla riksdagen utan även omfatta riksdagens övriga myndigheter - förbättra författningsstrukturen, målet är att detaljerade bestämmelser skall meddelas i som föreskrifter, ej i lagform. Lagen om säkerhetsskydd i riksdagen anknyter till säkerhetsskyddslagen. Huvudsyftet är skydd mot spioneri, sabotage m m som kan hota rikets säkerhet, skydd av uppgifter som är sekretessbelagda med hänsyn till rikets säkerhet samt terroristbrott. Några skäl till att utvidga säkerhetsskyddet till andra skyddsintressen såg man inte. 21 När det gäller föreskriftsrätten konstaterades det i förarbetena att det enligt 9 kap 4 riksdagsordningen inte var möjligt för den centrala myndigheten, Riksdagsförvaltningen, att utfärda föreskrifter som gäller övriga myndigheter som berörs av lagen. Detta förhållande ansågs dock inte utgöra några problem. Regelverket uppfattades bli mer flexibelt om de myndigheter lagen gäller får utfärda egna säkerhetsföreskrifter för sin respektive verksamhet. 22 I detta sammanhang bör även verksförordningen nämnas, kraven på effektiv verksamhet som ställs i förordningen skulle även kunna implicera krav på effektivt säkerhetsarbete. I en översyn av regleringen konstatera utredaren att kravet på effektivitet innebär att förvaltningen skall åstadkomma avsedda resultat och uppnå de mål som fastställts av statsmakterna på ett så kostnadseffektivt sätt som möjligt utan att för den skull göra avkall på en hög kvalitet i arbetet. 23 Otillräcklig säkerhet leder som Riksrevisionen visat till brister i verksamheten. Den 1 januari 2007 trädde även internrevisionsförordningen (2006:1228) ikraft. Förordningen innehåller i 4 krav på att internrevisionen hos en myndighet skall granska om myndighetens interna styrning och kontroll är utformad så att myndigheten med en rimlig säkerhet uppnår en effektiv verksamhet. Reglerna förtydligas i Ekonomistyrningsverkets föreskrifter. I föreskrifterna ställs även krav på att en riskanalys genomförs årligen. Sammanfattningsvis kan konstateras att de mer uttryckliga kraven på att informationssäkerhet uppnås dels är kopplade till hanteringen av en viss typ av information, exempelvis personuppgifter, dels rör vissa typer av åtgärder, främst riskanalyser. Det är vidare främst konfidentialitet och riktighet som utgör målet för åtgärderna även om kraven på effektivitet är så generellt hållna att det inte framgår vilken typ av säkerhet som skall uppnås Säkerhetsskyddsförordning (1996:633) Säkerhetsskyddsförordning (1996:633) 21 Framställning till riksdagen 2005/06 RS1 Säkerhetsskydd m.m. s 21f 22 A a s 32f 23 SOU 2004:23 Från verksförordning till myndighetsförordning s 267 6

8 2.3 Definitioner Vissa definitioner har betydelse ur ett informationssäkerhetsperspektiv då de pekar ut att en viss grupp informationsuppgifter skall hanteras på ett annorlunda sätt eller att hanteringsrutinerna skall förändras då ett visst tillstånd föreligger. Definitionen av informationssäkerhet i säkerhetsskyddslagen (1996:627) har redan behandlats ovan. Andra exempel på definitioner av intresse är: - Allmänna handlingar definieras i 2 kap tryckfrihetsförordningen - Personuppgifter respektive känsliga personuppgifter i 3 och 13 personuppgiftslagen (1998:204) - Effektiv verksamhet, nämns bl a i verksförordning (1995:1322) 7 och internrevisionsförordning (2006:1228) 4 - Rikets säkerhet nämns exempelvis i säkerhetsskyddslagen (1996:627) och brottsbalken (1962:700) - Samhällsviktig verksamhet nämns i 9 förordning (2006:942) om krisberedskap och höjd beredskap Eftersom flera av de krav som ställs på myndigheternas säkerhetsarbete är kopplade till en viss typ av information alternativt en viss situation har definitionerna stor betydelse för myndigheternas informationssäkerhetsarbete. Det är exempelvis stor skillnad mellan kraven som ställs på skyddet för sekretessbelagd information rörande rikets säkerhet jämfört med uppgifter som vare sig är sekretessbelagda eller innehåller personuppgifter. Det är även en betydande skillnad mellan reglerna för hur en krissituation skall hanteras respektive för hur den ordinarie verksamheten skall bedrivas. Ur ett informationssäkerhetsperspektiv är därför definitionerna av stor praktisk betydelse. Vad som skall anses vara personuppgifter respektive allmänna handlingar kan huvudsakligen utläsas av lagtexten. Effektiv verksamhet definieras i Ekonomistyrningsverkets föreskrifter och allmänna råd 4 som en verksamhet där myndigheten med god hushållning av statens medel uppfyller de av regeringen uppsatta målen för verksamheten. Myndigheten skall på ett säkert sätt förvalta statens tillgångar. 24 Formuleringen är allmänt hållen men torde implicera krav på informationssäkerhet. Utan att vidta några säkerhetsåtgärder blir uppgiften att på ett säkert sätt förvalta statens tillgångar svår att fullfölja. Samtidigt ger definitionen ingen ledning när det gäller bedömningen vad som skall anses som säkert. Någon legaldefinition av begreppet rikets säkerhet finns inte. I förarbetena till säkerhetsskyddslagen konstateras dock att begreppet kan sägas avse såväl den yttre säkerheten för det nationella oberoendet som den inre säkerheten för det demokratiska statsskicket. Något krav på att det skall förekomma hot mot totalförsvaret ställs inte. 25 Som Infosäkutredningen påpekar finns begränsningar för hur mycket som kan tolkas in i begreppet. Eftersom vissa av rättigheterna som skyddas av den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna i vissa fall kan inskränkas om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet bör Sverige inte tolka in mer i begreppet än vad som accepteras av den Europeiska domstolen för de mänskliga rättigheterna. 26 Begreppet används i en lång rad lagar varför förändringar i innebörden får 24 Ekonomistyrningsverkets föreskrifter och allmänna råd till internrevisionsförordning (2006:1228) ESV Cirkulär 2007: Se prop 1995/96:129 Säkerhetsskydd s 22f 26 SOU 2004:32 Informationssäkerhet i Sverige och internationellt - en översikt s 142 7

9 långtgående påverkan. Detta innebär att information som är skyddsvärd men på annan grund faller utanför det reglerade skyddet. Begreppet samhällsviktig verksamhet är centralt ur ett informationssäkerhetsperspektiv. I kris ägnas särskild uppmärksamhet åt att säkerställa funktionen hos samhällsviktig verksamhet. I 9 förordningen om krisberedskap och höjd beredskap ställs krav på att varje myndighet skall göra en riskanalys i vilken bland annat möjligheterna att upprätthålla de mest nödvändiga funktionerna i samhällsviktig verksamhet skall bedömas. Vad begreppet omfattar är dock inte närmare definierat i reglering. 27 Oklarheter när det gäller olika begrepps innebörd kan påverka informationssäkerhetsarbetet. Det kan ge upphov till gränsdragningssvårigheter när det gäller vilken informationssäkerhetsnivå som skall uppnås. Begreppen har stor betydelse då de drar gränser mellan olika typer av information och olika åtgärder. Exempelvis skiljer sig de legala säkerhetskraven när det gäller uppgifter som rör rikets säkerhet mot hur andra uppgifter kan hanteras. Om information eller viss verksamhet faller inom eller utanför en viss begreppsdefinition kan få stor betydelse för åtgärderna att skapa konfidentialitet, riktighet och tillgänglighet. 2.4 Ansvar I den strategi för informationssäkerhet i samhället som presenterades i propositionen om samhällets säkerhet och beredskap (prop 2001/02:158) konstaterades att principiellt är den som ansvarar för ett informationsbehandlingssystem även ansvarig för att systemet har den säkerhet som krävs för att systemet skall fungera tillfredsställande. Arbetet med informationssäkerhet bör vara långsiktigt. Grunden är att myndigheter, organisationer och företag som är systemägare har det primära ansvaret för informationssäkerhetsarbetet inom respektive ansvarsområde och att staten kompletterar med åtgärder på vissa särskilda områden. 28 Att systemägaren har ett ansvar för sin informationssäkerhet är grundläggande i informationssäkerhetsarbetet. 29 Även Infosäkutredningen konstaterar att denna ansvarsprincip medför att alla myndigheter är ansvariga att tillse att de har en tillräcklig informationssäkerhet inom sin verksamhet. 30 Utöver ett ansvar för den egna verksamheten har även staten en roll att spela när det gäller vissa kärnverksamheter i samhället samt representera Sverige internationellt. 31 Antalet regleringar som direkt pekar ut ansvar är begränsat. 2.5 Straffbeläggande Här bör inledningsvis regeln om dataintrång i 4 kap 9c i brottsbalken nämnas. I lagrummet straffbeläggs handlingar som innebär att någon olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning. I det fall en myndighet utsätts för intrång är det möjligt att utnyttja lagrummet. Detta förutsätter dock att myndigheten har utformat sitt informationssystem på sådant sätt att intrånget upptäcks, att förövaren inser att handlingen är olovlig och att bevisning om intrånget kan samlas. Då intrång inte sällan görs av anställda eller andra med faktisk tillgång till informationsresurserna är det även av särskild vikt att ha ett tydligt internt och kommunicerat regelverk rörande vad som är tillåtet respektive inte. 27 KBM ger ett förslag till definiering i Krisberedskapsmyndigheten, Samhällsviktigt! Förslag till definition av samhällsviktig verksamhet ur ett krisberedskapsperspektiv, februari, 2007 (Fakta) 28 Se prop 2001/02:158 Samhällets säkerhet och beredskap s A a s SOU 2005:71 Informationssäkerhetspolitik - organisatoriska konsekvenser s SOU 2005:42 s134f 8

10 Här bör även nämnas att reglerna i sekretesslagen är straffsanktionerade genom bestämmelserna om straff för brott mot tystnadsplikt. Enligt 20 kap 3 brottsbalken kan överträdelser föranleda böter eller fängelse i högst ett år. I detta sammanhang bör även det legala skydd som omgärdar informationsresurser, datorer m m, i form av regler om skadegörelsebrott i 12 kap brottsbalken nämnas. Den nämnda regleringen, främst dataintrångsregleringen, ställer indirekt krav på myndighetens interna kontroll och styrning då tillämpningen förutsätter god överblick över systemen, ett välutvecklat regelverk och rutiner för att hantera både externa och interna angrepp på information och informationsresurser. 3 RISA Relatering Syftet med RISA relatering är att identifiera informationssäkerhetsrelaterade brister i juridiken. Detta görs genom att närmare analysera hur regleringen förhåller sig till existerande informationssäkerhetsrelaterade problem. I det första steget studeras regleringens ändamålsenlighet ur ett generellt informationssäkerhetsperspektiv fråga är här om regleringens utformning teoretiskt sett gör juridiken till ett mindre effektivt verktyg i förhållande till behovet av konfidentialitet, riktighet, tillgänglighet och spårbarhet. I nästa steg jämförs de brister som har upptäckts med faktiska informationssäkerhetsrelaterade problem, i detta sammanhang Riksrevisionens problembild. 3.1 Problemområden I underlaget till detta uppdrag lyfte Riksrevisionen fram ett antal problemområden vilka särskilt uppmärksammats i samband med granskningarna av de olika myndigheterna. Dessa var: - ledningsengagemang för säkerhetsfrågorna brister - riskanalys är osystematisk, partiell - uppföljning av säkerhetsåtgärder och av sitt LIS är bristfällig - utbildning är osystematisk, bristfällig - inget sammanhängande LIS, ingen överblick hos ledningen - ingen kontroll på kostnaderna för säkerhet - författningarna drar uppmärksamheten åt annat håll: kris, krig, rikets säkerhet Flera av områdena har inbördes kopplingar. Osystematiska riskanalyser och brister i uppföljning leder till brister i både överblick och kostnadskontroll. De brister som Riksrevisionens granskningar har visat på när det gäller informationssäkerheten i verksamheten är av sådan karaktär att förvaltningens mål enligt verksförordningen när det gäller hög kvalitet och kostnadseffektivitet blir svårare att nå. 3.2 Analys Fråga är i det första steget i analysen om det legala säkerhetsverktyget redan nu är utformad på ett ändamålsenligt sätt. Uppnås verksamhetsanpassad konfidentialitet, riktighet, tillgänglighet och spårbarhet? Ett ändamålsenligt regelverk skulle genom krav, utpekande av ansvar, tydliga definitioner och lämpliga sanktioner skapa förutsättningar för ett väl fungerande informationssäkerhetsarbete hos myndigheterna. Exempelvis skulle krav kunna ställas på att generella riskanalyser genomförs och följs upp, att myndighetens ledning ges ett uttryckligt ansvar för att en verksamhetsanpassad informationssäkerhetsnivå uppnås och att definitionen av informationssäkerhet ges en bred innebörd som motsvarar hur begreppet de facto används inom informationssäkerhetsområdet. En närmare analys visar dock på brister: 9

11 De legala krav som ställs på en säker informationshantering hos myndigheterna berör avgränsade områden och detaljeringsgraden skiljer sig åt. - Skyddet för uppgifter som är sekretessbelagda med hänvisning till rikets säkerhet är jämförelsevis detaljreglerat. - Hanteringen av övriga sekretessbelagda uppgifter är betydligt mer översiktligt reglerade med bestämmelserna i 15 kap 9 sekretesslagen som ett exempel - Skyddet för personuppgifter är även det reglerat men med skillnaden att de mer detaljerade beskrivningarna av åtgärder icke är bindande. De krav som är av mer generell karaktär berör inte uttryckligen säkerhetsfrågor - De krav som ställs på myndigheters effektivitet i verksamheten är inte uttryckligen knutna till säkerhetsfrågor även om en sådan knytning kan impliceras. Internrevisionsreglerna nämner att verksamheten skall utföras på ett säkert sätt men ger ingen ytterligare ledning. De krav som berör specifika säkerhetsåtgärder är avgränsade både när det gäller typen av åtgärd och syftet med den. - Exempelvis är syftena med de regelverk som ställer krav på att myndigheterna genomför en riskanalys att stärka sin egen och samhällets krisberedskap, skydda information med hänsyn till rikets säkerhet respektive identifiera risker som kan innebära skador eller förluster för staten. - Krav på någon heltäckande riskanalys som tar hänsyn till samtliga informationssäkerhetsaspekter görs inte. Regleringen säkerställer endast delar av informationssäkerhetsbehovet. Reglering som uttryckligen och på ett tydligt sätt stödjer riktighet, tillgänglighet och spårbarhet är begränsad. Utöver nedan exempel ställer regleringen i huvudsak krav på konfidentialitet alternativt att vissa specifika åtgärder som riskanalyser vidtas. - Det finns regler som säkerställer allmänna handlingars tillgänglighet men få krav ställs när det gäller övrig information. - Datainspektionens allmänna råd om säkerhet kring personuppgifter innehåller rekommendationer rörande behörighetskontrollsystem, en åtgärd som i det närmaste är en förutsättning för att säkerställa spårbarhet och informationens riktighet. Utöver dessa icke bindande regler kan man möjligen tolka in krav på skydd för informationens riktighet och spårbarhet i allmänna regler om effektiv förvaltning. Effektivitetskravet blir i praktiken svårt att upprätthålla om obehöriga kan få tillgång och ändra informationen. - PUL innehåller vissa regler om rättning av felaktiga uppgifter vilket stödjer informationens autenticitet. Gränsdragningen mellan vad som faller inom respektive utanför myndighetens ansvarsområde när det gäller säkerhet är inte tydligt uttalat. - Informationssäkerhet är ett komplicerat område. Vid sidan av de speciella krav som exempelvis ställs i PUL finns lite ledning att hämta i regleringen. Detta kan resultera i att informationssäkerhetsfrågan ges lite uppmärksamhet alternativt säkerhetsnivån hos 10

12 myndigheterna kan komma att skilja sig åt mer än vad som är nödvändigt ur ett verksamhetsperspektiv eftersom ansvarsområdet tolkas på olika sätt. Nästa steg rör regleringens möjligheter att hantera den faktiska problembild Riksrevisionen har visat på. Frågan är om, och i så fall i vilken utsträckning, dessa brister påverkar myndigheternas interna styrning och kontroll av informationssäkerheten. De informationssäkerhetsrelaterade brister som Riksrevisionen identifierat är inte unika. Brister i ledningsengagemang, utbildning, uppföljning och riskanalyser är välkända problem inom informationssäkerhetsområdet. En organisation med sådana svårigheter har i de allra flesta fall en sårbar informationshantering. Denna sårbarhet sammantagen med det faktum att man inom myndighetens verksamhet ofta behandlar känslig information, i stort sett är beroende av fungerande IT-stöd samt ofta tillgängliggör alltfler av myndighetens tjänster på Internet, innebär att det finns ett stort behov av att hantera och minska riskerna. Det finns idag verktyg för att hantera problemen. LIS standarden, både i sin originalform och i formen av mallregelverket OffLIS 32 är ett välbeprövat verktyg när det gäller att åtgärda den här typen av problem. Ledningens engagemang och kontroll/styrning är dock en förutsättning för att standarden skall kunna användas på ett ändamålsenligt sätt. Infosäkutredningen ansåg i sitt betänkande att OffLIS bör utgöra ett rekommenderat stöd från staten vid införande av LIS i myndigheters verksamhet. 33 Det bör påpekas att LIS standarden inte utgör det enda verktyget. Krisberedskapsmyndighetens Basnivå för Informationssäkerhet (BITS) kan även nämnas här. De brister som Riksrevisionen påvisat har skulle med andra ord kunnat undvikas i det fall lämpliga tekniska och organisatoriska säkerhetsverktyg utnyttjats. Så har dock ofta inte skett. I korthet kan konstateras att de delar av regelverket som gäller myndigheternas verksamhet i stort är allmänt utformade och ger inte någon närmare ledning när det gäller utformningen av informationssäkerhetsarbetet. Vidare är den reglering som mer detaljerat styr hanteringen av information och informationsresurser begränsad till en viss typ av information respektive åtgärder i viss typ av verksamhet. Detta får till konsekvens att myndigheterna endast delvis kan finna ledning i den rättsliga regleringen och när sådan ledning finns rör den endast vissa situationer, exempelvis krisberedskap, eller viss typ av information, exempelvis personuppgifter. Regleringens mycket allmänna utformning när det gäller generellt gällande delar respektive mer intensiva fokus på endast vissa informationssäkerhetsfrågor verkar vid en första anblick stämma väl överens med problembilden hos myndigheterna. Att informationssäkerhet inte uttryckligen lyfts fram som en betydelsefull uppgift för myndigheten kan bidra till bristen på ledningsengagemang och de partiellt genomförda riskanalyserna kan ha en bidragande orsak i att regleringen endast ställer begränsade krav på sådana. 4 Slutsatser, behov av tydligare reglering? Vid informationssäkerhetsarbete i en organisation är det viktigt med en helhetssyn på vad som skall skyddas, vilka hot som riktas mot informationen och informationshanteringen och vilka säkerhetsåtgärder som finns att tillgå. Detsamma gäller även för lagstiftarens arbete med informationssäkerhetsreglering. För att uppnå den helhetssyn som behövs krävs förståelse för informationssäkerhetsfrågorna och ett metodiskt tvärjuridiskt tillvägagångssätt. De nuvarande skillnaderna mellan säkerhetsregleringen inom olika områden och bristen på helhetssyn kan ha en förklaring i regleringens anknytning till olika rättsområden respektive 32 Mallregelverk framtaget av Statskontoret som ett startpaket för att utforma LIS vid 24-timmarsmyndigheter. 33 SOU 2005:42 s

13 olika departements ansvarsområden. Frågor som är informationssäkerhetsanknutna har ofta behandlats på ett mer avgränsat sätt inom respektive ansvarsområde. Försvarsdepartementet fokuserar främst på krisberedskap och skydd för rikets säkerhet, näringsdepartementet på infrastrukturfrågor och justitiedepartementet på straffrättsliga frågor. Sammantaget ger regelverken, på detta komplexa område, i nuläget endast begränsad ledning till myndigheternas arbete. Analysen indikerar att bristerna i regleringen när det gäller informationssäkerhet kan ha bidragit till de problem som framkom vid Riksrevisionens granskning. En slutsats är att gällande reglering inte säkerställer att tillräcklig säkerhet uppnås. Brister kan åtgärdas på flera sätt, företrädesvis bör nämnas: - Lagändringar - Utveckling av praxis eller sedvana - Aktiv styrning av myndigheterna från departementens sida Bristerna innebär som synes inte ett oundgängligt krav på lagändringar eftersom innebörden i gällande rätt även påverkas genom praxis eller sedvana. Exempelvis är det av intresse att följa hur den nya internrevisionsförordningens generellt hållna krav på effektiv verksamhet, något förtydligade i Ekonomistyrningsverkets föreskrifter och allmänna råd 34, bemöts. I det fall praxis eller sedvana, exempelvis genom återkommande granskningar, utvecklas mot att effektivitet likställs med en ändamålsenlig användning av LIS skulle målet med tillräcklig säkerhet möjligtvis kunna uppnås. Bristerna i myndigheternas informationssäkerhetsarbete skulle även kunna påverkas genom utformningen av respektive myndighets regleringsbrev eller i mål- och resultatdialog med respektive departement. Fråga är dock om vägen att öka säkerheten på denna väg är ändamålsenlig: - Den kan ta längre tid att etablera, och gränsdragningen mellan vad som skall anses som praxis/sedvana eller inte kan ibland vara svår att dra. - Syftet med regleringsbreven är att närmare ge förutsättningarna för den enskilda myndighetens verksamhet under ett visst år. Med hänsyn till att informationssäkerhet är en grundläggande och ständigt pågående process torde regleringsbrevslösningen inte vara den mest optimala. Brister i samordningen mellan departementen när det gäller synen på informationssäkerhet riskerar därtill att skapa säkerhetsskillnader mellan myndigheterna som inte är motiverade av verksamheten. Bristen på tillräcklig nivå av informationssäkerhet hos myndigheterna är ett problem som med hänsyn till växande IT-beroende och hotbild måste lösas inom kort. En ny författning på området kan vara en ändamålsenlig lösning och det förtjänar att påpekas att Försvarsberedningen redan 2001 efterlyste en skyndsam lösning på de regulatoriska behoven på informationssäkerhetsområdet. Försvarsberedningen anser att det är mycket viktigt att ett harmoniserat regelverk och samlat ramverk skyndsamt upprättas för att säkerställa överblick och samordning av olika regler och skapa ett sammanhållet och entydigt regelkomplex avseende informationssäkerhet. 35 Regeringen ställde sig bakom försvarsberedningens krav i propositionen om fortsatt förnyelse av totalförsvaret. 36 Sedan dess har informationssäkerhetsfrågans betydelse knappast minskats. 34 Ekonomistyrningsverkets föreskrifter och allmänna råd till internrevisionsförordning (2006:1228) ESV Cirkulär 2007:1 35 Ds 2001:44 Ny struktur för ökad säkerhet - nätverksförsvar och krishantering s Se prop 2001/02:10 Fortsatt förnyelse av totalförsvaret s

14 Utformningen av ett regelverk på informationssäkerhetsområdet kan göras på flera sätt. 37 Viktiga överväganden rör vilka regleringen skall rikta sig till, (myndigheter, företag, enskilda), vilken form regleringen skall ha (lag, förordning, myndighetsföreskrifter), vilket innehåll (krav, definitioner, ansvarsregler, straffbeläggande). Vad man bör välja är bland annat beroende av faktorer som kostnaden för att införa respektive inte införa reglering. Infosäkutredningen betonade att författningsändringar var nödvändiga då det behövs ett utvidgat, mera sammanhållet och heltäckande regelverk som motsvarar utredningens bredare definition av begreppet informationssäkerhet. 38 Regelverket skall enligt utredningen säkerställa att säkerheten efterlevs och stödja, framtvinga eller tydliggöra krav på aktörerna. 39 Utredningen förordade en helt ny lag på informationssäkerhetsområdet men konstaterade att framtagandet av ett sådant regelverk måste föregås av en omfattande och djupgående analys. För att dock råda bot på vissa brister i dagens regelverk föreslog Infosäkutredningen att 40 - informationssäkerhetsbegreppet i säkerhetsskyddslagstiftningen ersätts med begreppet sekretessäkerhet - en ny förordning om vissa åtgärder för informationssäkerhet hos staten införs Förslaget till förordning om vissa åtgärder för informationssäkerhet hos staten presenteras i Infosäkutredningens betänkande SOU 2005: Flertalet av paragraferna i förslaget har ett uttalat syfte att förbättra myndigheternas interna kontroll och styrning av informationssäkerheten. Mot bakgrund av slutsatserna i denna regleringsgenomgång samt den problembild Riksrevisionen har presenterat är förslaget av stort intresse. Enligt uppgift från Försvarsdepartementet är frågan under beredning. 37 Se ex Abrahamsson, Marcus & Magnusson, Sven Erik, Användning av risk- och sårbarhetsanalyser i samhällets krishantering - delar av en bakgrundsstudie, finansierat av Krisberedskapsmyndigheten, Lund, 2004 s 36ff 38 SOU 2005:42 Säker information Förslag till informationssäkerhetspolitik s SOU 2005:71 s SOU 2005:42 s 229f 41 A a s 237ff 13

15 Källor 2001/264/EG Rådets beslut av den 19 mars 2001 om antagande av rådets säkerhetsbestämmelser KOM (2001)298 Nät- och informationssäkerhet: förslag till en europeisk strategi Ds 2001:44 Ny struktur för ökad säkerhet - nätverksförsvar och krishantering Framställning till riksdagen 2005/06 RS1 Säkerhetsskydd m.m. prop 1995/96:129 Säkerhetsskydd prop 2001/02:10 Fortsatt förnyelse av totalförsvaret prop 2001/02:158 Samhällets säkerhet och beredskap prop 2003/04:93 Några frågor om sekretess m m prop 2004/05:175 Från IT-politik för samhället till politik för IT-samhället SOU 2004:23 Från verksförordning till myndighetsförordning SOU 2004:32 Informationssäkerhet i Sverige och internationellt - en översikt SOU 2005:42 Säker information Förslag till informationssäkerhetspolitik SOU 2005:71 Informationssäkerhetspolitik - organisatoriska konsekvenser Abrahamsson, Marcus & Magnusson, Sven Erik, Användning av risk- och sårbarhetsanalyser i samhällets krishantering - delar av en bakgrundsstudie, finansierat av Krisberedskapsmyndigheten, Lund, 2004 Anderson, Ross, Security Engineering - A Guide to Building Dependable Distributed Systems, John Wiley & Sons Inc, 2001 Datainspektionen, Säkerhet för personuppgifter, 1999 (Datainspektionens allmänna råd) Krisberedskapsmyndigheten, Samhällsviktigt! Förslag till definition av samhällsviktig verksamhet ur ett krisberedskapsperspektiv, februari, 2007 (Fakta) Maiwald, Eric, Fundamentals of Network Security, Mc Graw Hill Technology Education, Burr Ridge, 2004 OECD, OECD:s riktlinjer för säkerheten i informationssystem och nät På väg mot en säkerhetskultur, antogs om en rekommendation från OECD-rådet vid dess 1 037:e session den 25 juli 2002, 2002 Pfleeger, Charles P., Security in computing, Prentice Hall, Upper Saddle River, NJ, 2007 Riksrevisionen, Granskning av Statens pensionsverks interna styrning och kontroll av informationssäkerheten, 2005 (Rapport RiR 2005:26) Riksrevisionen, Granskning av Sjöfartsverkets interna styrning och kontroll av informationssäkerheten, 2005 (Rapport RiR 2005:27) Riksrevisionen, Granskning av Arbetsmarknadsverkets interna styrning och kontroll av informationssäkerheten, 2006 (Rapport RiR 2006:24) Riksrevisionen, Granskning av Migrationsverkets interna styrning och kontroll av informationssäkerheten, 2006 (Rapport RiR 2006:25) SIS, Bowin, Joachim (red), Handbok 550 Terminologi för Informationssäkerhet, SIS Förlag AB, Stockholm,