MSB:s arbete med samhällets information- och cybersäkerhet - Perspektiv län och kommun

Transkript

1 MSB:s arbete med samhällets information- och cybersäkerhet - Perspektiv län och kommun Richard Oehme Verksamhetschef Verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet (MSB)

2 Verksamhetens organisation Verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet Ledningsstöd Enheten för systematiskt informationssäkerhetsarbete Enheten för skydd av kritisk infrastruktur och cybersäkerhet Enheten för operativ cybersäkerhet och it-incidenthantering CERT-SE NOS

3 Metoder FÖREBYGGA / FÖRBEREDA MEDVETANDEHÖJA Kunskapsförsörjning SAMVERKA HANTERA

4 SAMVERKAN Samverkan en absolut förutsättning för att lyckas Nationella samverkansgrupper informationssäkerhet Samverkansgrupp för informationssäkerhet (SAMFI) Informationssäkerhetsrådet (POS) Grupp för informationsdelning med inriktning på vårdsektorn (POS) Grupp för informationsdelning med inriktning på industriella informations- och styrsystem (POS) Grupp för informationsdelning med inriktning på finanssektorn (POS) Nationella telesamverkansgruppen (POS) Grupp för informationsdelning inom underrättelse- och säkerhetstjänsterna Grupp för informationsdelning med fokus på telekommunikation Forskningsnätverk (SWITS) Nationellt CERT-forum Kommunnätverk (KIS) Landstingsnätverk (NIS) Myndighetsnätverk (SNITS) POS= Privatoffentlig samverkan

5 Hot, risker och sårbarheter

6 Utmaningen

7 Text

8 Hot, risker och sårbarheter

9 Miljöbetingad påverkan Mänsklig och Naturlig påverkan Mänsklig påverkan Temperatursensorer som inte fungerar - serverhallen överhettas och börjar brinna med stora konsekvenser för kommunen som inte har en backup Fiberkablar som grävs av gör att företag som inte har redundans inte kan bedriva sin verksamhet Ett hårdvarufel i en internationellt såld router (växel) orsaker störningar globalt En återkommande glich (blinkning) i en buss (övergång mellan olika delar) i en stordator orsakar att bankomaterna i en större internationell bank inte fungerar Naturlig påverkan Solstorm kan göra att kommunikationsutrustning inte fungerar med stora konsekvenser för samhällsviktig verksamhet Översvämningar gör att datorhallen för att storsjukhus översvämmas med inställda patiensbesök och operationer som konsekvens under längre tid

10 Hot, risker och sårbarheter

11 Mänsklig inverkan - Oavsiktlig påverkan En person sitter och talar på en buss om det stora forskningsgenombrott de just gjort Bakom sitter en representant för konkurrenten E-post med sekretessuppgifter kring en upphandling skickas till alla på företaget En kommun sänder av misstag ut brev till avlidna personer Personalen på ett sjukhus kopplar av misstag ihop två olika datanät vilket får till följd att sjukhuset i princip slås ut under en hel dag. En anställd glömmer en USB-pinne med hemliga uppgifter i en dator på det offentliga biblioteket En myndighetsledning med ansvar för viss samhällsviktig verksamhet väljer av kostnadsskäl att inte etablera en reservdatahall vilket får till konsekvens att när temperatursensorn inte fungerar och datorhallen brinner ner så kan man inte leverera dessa tjänster.

12 Hot, risker och sårbarheter

13 Mänsklig inverkan - Aktörsrelaterade hot (Problembild) Nationalstater Terrorister Org. brottslighet Industrispioner Hackaktivister Hackers Politisk agenda Strategiska mål Politisk agenda Egenintresse Egenintresse, företrädesvis mot konkurrenter Egenintresse, mot företag, org. och myndigheter Självhävdelse, riktat mot IT-system Potentiell Skada

14 Stuxnet (Avsiktligt och mycket avancerat) Riktad attack mot urananrikningsanläggning i Iran. Genom att slumpmässigt ställa om hastigheten på ett antal centrifuger försenade angriparen irans program för anrikning av uran med två år

15 Ofta är systemen geografiskt distribuerade

16 Kunskapsuppbyggnad vid en händelse Justitie departementet Allriskperspektiv Försvars- underrättelser Polisiär information Lägesrapporter Analyser Lägesbilder Konsekvensanalyser Identifiera gap Direktsamverkan Samverkanskonferenser Informationssamordning Myndigheter Länsstyrelser Privat sektor Kommuner Frivilligorg.

17 Grunder Ett säkrare Internet i Sverige. Nationell CERT Statlig CERT MSB/CERT-SE är en teknisk resurs med spetskompetens inom incidentområdet och är tillgänglig för alla organisationer inom Sverige. Uppgift: Ett huvudansvar för it-incidenthantering inom ramen för MSB breda informationssäkerhetsuppdrag - I detta ingår att agera skyndsamt vid inträffade it-incidenter genom att sprida information samt vid behov medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade.

18 MSB Lägesbild RK, samhället Information MSB Lägesbild och beredskap Lägesbild och Beredskap Stockholm Lägesbild och Beredskap Karlstad En lägescentral Två geografiska platser Lägesbild Digital LB Samhällelig LB Information CERT-SE Nationell operativ samverkansfunktion för Informationssäkerhet (NOS) Informationssäkerhetsrelaterad lägesbild MSB Övriga informationssäkerhetsresurser It-säkerhetsrelaterad lägesbild

19 En bild av myndigheternas informationssäkerhetsarbete 2014 Enkätundersökning februari 2014 Utskick till samtliga statliga myndigheter som omfattas av föreskrifterna MSBFS 2009:10 om statliga myndigheters informationssäkerhet Speglar respondenternas bild ingen bedömning av ändamålsenlighet Följdes upp av djupintervjuer. 95 % besvarade enkäten

20 Några ingångsvärden MSBFS föreskrifter statliga myndigheters informationssäkerhet innehåller en rad ska-krav rörande systematiskt informationssäkerhetsarbete - Basen för detta är informationens konfidentialitet, tillgänglighet och riktighet Att arbeta systematiskt ställer krav på att arbeta processorienterat - flera av frågorna har sådant fokus (ex analysera-genomföra-följa upp) Organisationens förutsättningar, ex tillgång till modeller och strukturer, är i hög grad avgörande för ett systematiskt arbete

21 Andel % Styrning av arbetet - bristande kontroll Samtliga myndigheter 84 % har en informationssäkerhetspolicy. 26 % kontrollerar inte efterlevnaden, det vill säga ifall policyer och riktlinjer följs av medarbetarna. Länsstyrelserna Kontroll av efterlevnad Policy: Samtliga länsstyrelser har en informationssäkerhetspolicy. 10 % anger dock att policyn är under fastställande. 0 Ja Inga dokument Nej Alla LST Kontroll: 71 % av länsstyrelserna kontrollerar inte hur och om medarbetarna efterlever de styrande dokumenten.

22 Enkätundersökningen ger en bild av hur kommunerna själva uppfattar sitt arbete med informationssäkerhet. Det handlar om en kvantitativ undersökning, en självskattning och svaren har inte kompletterats med något underlag från kommunerna. Att arbeta systematiskt ställer krav på att arbeta processorienterat - flera av frågorna har sådant fokus (ex analysera-genomföra-följa upp) Organisationens förutsättningar, ex tillgång till modeller och strukturer, är i hög grad avgörande för ett systematiskt arbete Enkäten gick ut till samtliga 290 kommuner i april 2015 o ch var öppen för svar till slutet av juni samma år. Svarfrekvensen blev 228 kommuner (78,6 %) som svarade fullständigt på enkäten och 27 kommuner (9,3 %) besvarade enkäten delvis.

23 Föreskrifterna för arbetet med riskoch sårbarhetsanalys - Ställer tydligare krav på informationssäkerhet

24 Indikatorerna för bedömning av kommunens generella krisberedskap Syftet med en bedömning av aktörens generella krisberedskap är att få en övergripande bild av de förutsättningar de olika aktörerna har att förebygga och hantera kriser oavsett händelse. För detta används indikatorerna som värderings- och mätinstrument.

25 Samarbete Länsstyrelsen 189 av de 251 kommuner som svarat på frågan anger att de inte har ett etablerat samarbete i informationssäkerhetsfrågor med Länsstyrelsen Kommuner 116 av de 255 kommuner som svarat på frågan anger att kommunen inte har ett etablerat samarbete i informationssäkerhetsfrågor med andra kommuner

26 Systematisk arbete 170 av de 241 kommuner som har svarat på enkätfrågan (dvs. 71 %) anger att de inte arbetar systematiskt med informationssäkerhet De 71 kommuner som svarat att de arbetar systematiskt med informationssäkerhet använde flera olika metoder som stöd för sitt arbete. Främst uppgavs standarderna inom ISO serien, BITS och Metodstödet på informationssäkerhet.se (som bygger på ISO serien)

27 Informationssäkerhetspolicy 67 av de 242 kommuner som har svarat på enkätfrågan (dvs. 28 %) angav att de inte har en informationssäkerhetspolicy som är beslutad av kommunens ledning.

28 Funktion för informationssäkerhet 102 av de 251 kommuner som svarat på enkätfrågan anger att de inte har någon utpekad funktion för informationssäkerhet som ex. informationssäkerhetschef- /samordnare. Var den här funktionen är placerad organisatoriskt varierar, men vanligast är antingen inom itorganisationen (IT/service), inom räddningstjänsten eller på ledningskontor/kommunledning.

29 Arbetstid som läggs på info.säk Av de 149 kommuner som svarat att det finns en utpekad informationssäkerhetsfunktion uppger nästan hälften av kommunerna, 70 stycken, att funktionen lägger mindre än 10 % av sin arbetstid på informationssäkerhet. 172 kommuner av de som svarat på de här frågorna har antingen ingen informationssäkerhetsfunktion eller har en sådan funktion som arbetar mindre än 10 % av sin arbetstid med informationssäkerhet.

30 Riskanalyser 100 av de 241 kommuner som svarat på enkätfrågan (dvs. 41 %) anger att de inte gör en riskanalys avseende informationssäkerhet Ett flertal anger i en följdfråga att riskanalyser sker reaktivt, efter incidenter.

31 Kontinuitetsplanering 141 av de 237 kommuner som svarat på enkätfrågan anger att det inte finns kontinuitetsplaner framtagna för att hantera bortfall av information i kritiska verksamhetsprocesser inom kommunen. Grundläggande vid kontinuitetsplanering är att identifiera kritiska verksamhetsprocesser som, om de av någon anledning skulle sluta fungera, skulle få stora negativa återverkningar på organisationens verksamhet, för samhället eller medborgare.

32 Utbildning för medarbetare 136 av de 241 kommuner som svarat på frågan anger att de inte erbjuder utbildning i informationssäkerhet för kommunens medarbetare?

33 Skydd av kritisk infrastruktur 93 kommuner anger att de inte har identifierat industriella informations- och styrsystem som kritiskt infrastruktur. Huvudansvaret för att skapa en god säkerhet vilar på den aktör som tillhandahåller samhällstjänsten, vilket i många fall är kommunalt ägda bolag.

34 Fördjupad kommunstudie

35 Rekommendationer - Preliminära Utse en funktion för informationssäkerhet. Det första funktionen bör göra är att ta fram en analys av nuläget i kommunen. Informera ledningen hur nuläget ser ut. Visa exempel på reella hot och inträffade incidenter. Skapa en handlingsplan utifrån nuläget. Handlingsplanen bör beslutas av ledningen. Identifiera vilken information som hanteras i verksamheten. Klassa sedan informationen efter hur allvarliga konsekvenserna skulle bli av bristande informationssäkerhet. Ta fram styrdokument. Se till att höja säkerhetsmedvetandet inom kommunen. Ta fram informationssäkerhetsrelaterade krav som sedan används vid upphandlingar. Gör uppföljningar. Se över om kommunen efterlever det som står i de framtagna riktlinjerna.

36 Råd & stöd

37

38 Informationssäkerhet trender 2015

39 Informationssäkerhet.se

40 DISA MSB:s informationssäkerhetsutbildning för användare på Består av: Film Informationstext Frågebank Intyg DISA: Datorstödd informationssäkerhetsutbildning för användare. Ny version 2, som öppen webbtjänst, sedan september 2011

41 msb.se informationssakerhet.se cert.se krisinformation.se dinsakerhet.se sakerhetspolitik.se