I föreliggande promemoria redovisar Post- och telestyrelsen det arbete som bedrivits med anledning av handlingsplanen för ett säkrare Internet 1.

Transkript

1 PROMEMORIA Datum Vår referens Sida Dnr: (14) Nätsäkerhetsavdelningen Björn Scharin Näringsdepartementet Stockholm Åtgärder avseende handlingsplan för säkrare Internet I föreliggande promemoria redovisar Post- och telestyrelsen det arbete som bedrivits med anledning av handlingsplanen för ett säkrare Internet 1. Uppdrag nr 2 i regleringsbrevet för år 2007 Av regleringsbrevet för budgetåret 2007 framgår följande: 2. Post- och telestyrelsen skall redovisa de åtgärder som myndigheten genomfört med anledning av myndighetens förslag till handlingsplan för ett säkrare Internet i Sverige, som överlämnades till regeringen i juli 2006, samt bedöma resultatet av åtgärderna. Uppdraget skall redovisas till regeringen (Näringsdepartementet) senast i samband med årsredovisningen för överlämnade den 4 juli 2006 en rapport till regeringen, Strategi för ett säkrare Internet i Sverige. Rapporten innehåller strategiska ställningstaganden 2, en handlingsplan för att genomföra strategin och en förvaltningsplan. Handlingsplanen från år 2006 innehöll i tabellform redovisade aktiviteter, se bilaga 1. Nedan presenteras tabellen med uppdaterad status för februari Efter tabellen redovisar de aktiviteter myndigheten har vidtagit inom ramen för respektive åtgärd i handlingsplanen. 1 Handlingsplanen återfinns i rapporten Strategi för ett säkrare Internet i Sverige - -ER- 2006:12 2 Strategin fastställdes efter smärre förändringar av regeringen den 7 december 2006 i dokumentet Strategi för ökad säkerhet i Internets infrastruktur N2006/5335/ITFoU Kommunikationsmyndigheten Post- och telestyrelsen Postadress: Besöksadress: Telefon: Box 5398 Birger Jarlsgatan 16 Telefax: Stockholm pts@pts.se

2 2(14) Åtgärd Ansvarig Status Åtgärder för att skydda Internets fysiska och logiska infrastruktur Ta fram rekommendationer till tillhandahållare av innehållstjänster för ökad tillgänglighet inklusive råd för beställning av Internettjänster Främja användningen av DNSSEC i namnservrar Ta fram rekommendationer om säkrare trafikutbyte mellan Internetoperatörer Åtgärder för information till användare Informera om sårbarheter /Sitic Utveckla råd för beställning av Internettjänster Samordna och intensifiera informationsinsatser till användare Utbilda blivande lärare i Internetsäkerhet Vidareutveckla webbplats för Internetsäkerhet Högskolor och universitet Denna åtgärd har inkluderats i uppdraget ovan om rekommendationer till tillhandahållare av innehållstjänster för ökad tillgänglighet Förutsätter särskilt uppdrag och finansiering Angeläget / ej påbörjad Förutsätter särskild finansiering Åtgärder för ett ökat ansvarstagande för användarnas säkerhet Arbete med specificerade krav på god funktion och teknisk säkerhet

3 3(14) Följa upp Internetoperatörernas funktionsförmåga Ge Internetoperatörerna laglig möjlighet att förhindra spridning av skadlig trafik Regeringen Mycket angeläget / ej påbörjad Åtgärd Ansvarig Status Utreda krav på ökat ansvar för tillhandahållare av programvaror och utrustning Regeringen Mycket angeläget / ej påbörjad Åtgärder för att främja kunskapsutveckling Informera aktörer om de finansieringskällor som finns Arbeta för att medel avsätts inom ramen för EU:s forskningsprogram avseende Internets infrastruktur Berörda myndigheter Regeringen Angeläget / ej påbörjad Angeläget / ej påbörjad Åtgärder för att fördjupa det svenska deltagandet i Internationellt arbete Öka svensk samordning och deltagande i internationella fora Tydliggöra svensk ansvarsfördelning i samband med internationella kontakter om säkerhet i Internets infrastruktur Vidareutveckla operativt internationellt nätverk för incidenthantering Fortsatt aktivt deltagande i översyn av EU-direktiv Öka deltagandet i standardiseringsarbete Regeringen /Sitic Regeringen Förutsätter särskild finansiering Mycket angeläget / ej påbörjad Förutsätter särskild finansiering Åtgärder för att förbättra förmågan till krishantering

4 4(14) Öka erfarenhetsutbytet, följa upp och dra lärdomar av större störningar /Sitic Ta fram en koordinerande kontinuitetsplan för Internets infrastruktur i Sverige Planerad start våren 2008 Utreda alternativa kommunikationsformer för diftsansvariga under kriser Utreda alternativa informationskanaler från Sitic till användare om Internets status i samband med störningar på Internet /Sitic Ej påbörjad Åtgärder för att skydda Internets fysiska och logiska infrastruktur Ta fram rekommendationer till tillhandahållare av innehållstjänster för ökad tillgänglighet bedriver för närvarande ett projekt tillsammans med Verva och Krisbredskapsmyndigheten som syftar till att ta fram en vägledning 3. Vägledningen har titeln Vägledning för hur användaren kan behålla eller uppnå erforderlig nivå på robusthet i elektronisk kommunikation samt en guide för att skapa förståelse för varför robusthet är en fråga för parter i ett avtal. Vägledningen är tänkt att användas i kontakterna mellan en beställare och en operatör och andra leverantörer av elektronisk kommunikation. Projektet planeras att avslutas under våren Åtgärden genomförs även som ett led i uppgifter på robusthetsområdet avseende stimulans till ett ökat användaransvar inom elektroniska kommunikationer från strategi för robust elektronisk kommunikation för åren respektive Strategiernas område omfattar elektronisk kommunikation i ett bredare perspektiv och bidrar till säkerheten i Internets infrastruktur. Strategin för år innehåller följande åtgärdsområden: 3 DNR Robusta elektroniska kommunikationer - Strategi för åren ER-2003:13 och Robusta elektroniska kommunikationer - Strategi för åren ER-2006:19

5 5(14) Åtgärdsområdena är: 1. Stimulans till ett ökat användaransvar inom elektroniska kommunikationer 2. Ökad redundans och flexibilitet i nätverk 3. Förbättrat skydd mot både fysiska och elektromagnetiska hot 4. Öka kunskapen om informationssäkerhet 5. Robustare elförsörjning för de elektroniska kommunikationerna och fördjupat samarbete mellan el- och teleområdena 6. Utveckla samverkan 7. Fördjupat internationellt samarbete 8. Förbättrad förmåga till krishantering inom elektroniska kommunikationer 9. Ökad robusthet i näten Främja användningen av DNSSEC i namnservrar har tagit fram en rapport om införandet av DNSSEC 5 och test av hur det fungerar för en domänadministratör. I samband med detta har tillsammans med.se med flera presenterat och främjat DNSSEC användningen genom ett seminarium i Sverige, ett seminarium i samband med ICANN mötet i Lissabon våren 2007 och i övrigt fört upp DNSSEC på agendan i samband med olika EU-möten bl.a. ENISA. Sverige ligger långt framme när det gäller DNSSEC som infördes i den svenska nationella toppdomänen.se redan hösten För domäner i.se, erbjuds DNSSEC sedan februari 2007 som en tjänst och bl.a. Swedbank är på gång med ett införande av DNSSEC. håller för närvarande, tillsammans med sin operatör, på att förbereda för att införa DNSSEC för pts domän pts.se. Ta fram rekommendationer om säkrare trafikutbyte mellan Internetoperatörer har tagit fram en rapport som innehåller tester av sårbarheter i gränsroutingen, dvs. funktionen som dirigerar trafiken från operatör till operatör. Genom simuleringar av hur störningar i protokollet för gränsrouting (BGP) sprider sig i en modell av den 5 Ökad tillit till Internet genom förbättrad säkerhet i domännamnssystemet -ER-2006:36

6 6(14) svenska delen av Internet 6 har ökad insikt uppnåtts om hur slutanvändare i Sverige skulle påverkas. Rapporten innehåller ett antal rekommendationer om skyddsåtgärder mot störningar och angrepp som främst riktar sig till Internetoperatörer. Avsikten är att operatörer under 2008 bjuds in till för att diskutera rapportens åtgärdsförslag och andra tänkbara åtgärder för att öka skyddet för den kritiska gränsroutingfunktionen. Åtgärder för information till användare Informera om sårbarheter Sitic har under året publicerat 152 sk. nämnvärt-inlägg, 199 särskilda råd och 5 blixtmeddelanden. Dessa meddelanden har till syfte att informera intressenterna om sårbarheter och tekniska omständigheter i system som kan påverka deras stabilitet. De olika kanalerna används i ordning för stigande allvarlighetsgrad av sårbarheter, för att ge intressenterna en enkel möjlighet att välja vilken nivå av problem de vill övervaka. Sitic undersöker för närvarande önskemål och behov av mer intressentanpassad övervakning av sårbarheter. Utveckla råd för beställning av Internettjänster Åtgärden har slagits ihop med och genomförs i samband med åtgärden Ta fram rekommendationer till tillhandahållare av innehållstjänster för ökad tillgänglighet. Samordna och intensifiera informationsinsatser till användare Ett genomförande av åtgärden förutsätter ett regeringsuppdrag och särskild finansiering. har under året aktivt bidragit i kampanjen Surfa Lugnt som en av finansiärerna men även i styrgruppen, Surfa Lugnts expertpanel på webben och med kompetens i samband med regionala möten. Surfa Lugnt kommer under år 2008 att inleda åtgärder för säkrare e-affärer riktade till mindre företag. Utbilda blivande lärare i Internetsäkerhet Genomförandet av åtgärden ligger på respektive högskola och universitet. har endast i begränsad utsträckning resurser att påverka detta område. har på regionala seminarier inom ramen för Surfa Lugnt-kampanjen haft föreläsningar för bl.a. lärare i Internetsäkerhet. Vidareutveckla webbplats för Internetsäkerhet har under året förvaltat och uppdaterat webbplatsen för säkerhetsinformation till Internetanvändare särskilt med innehåll från den rapport om säkerhet i lokala trådlösa 6 Säkerhetshot vid utbyte av trafik mellan Internetoperatörer - -ER-2007:14

7 7(14) nät som publicerades under året 7. För att kunna genomföra större insatser och utveckla webbplatsen förutsätts dock särskild finansiering. Åtgärder för ett ökat ansvarstagande för användarnas säkerhet Arbete med specificerade krav på god funktion och teknisk säkerhet har specificerat krav på god funktion och teknisk säkerhet gällande främst det förebyggande säkerhetsarbetet innehållandes krav på riskanalys, riskhantering och planering och rutiner för att hantera avbrott och störningar. Detta har gjort i formen av allmänna råd för tillhandahållare av allmänt tillgängliga kommunikationsnät och elektroniska kommunikationstjänster vilket inkluderar Internetoperatörer 8. Följa upp Internetoperatörernas funktionsförmåga har inlett en tillsynsinsats för att kontrollera efterlevnaden av bestämmelserna i Lagen om elektroniska kommunikationer (LEK) 5 kap. 6a innefattande bland annat Internetoperatörer 9. Tillsynsinsatsen riktar sig till 55 tillhandahållare av allmänt tillgängliga elektroniska kommunikationsnät och tjänster. Utöver tillsynsinsatsen har informerat samtliga 450 till anmälda operatörer om skyldigheterna i lagen och de allmänna råden. Ge Internetoperatörerna laglig möjlighet att förhindra spridning av skadlig trafik lämnade i samband med rapporten Strategi för ett säkrare Internet i Sverige ett förslag till regeringen avseende förändring av LEK som skulle ge Internetoperatörer en legal möjlighet att vidta akuta åtgärder som filtrering av elektroniska meddelanden som äventyrar tjänsten eller nätets funktion som t.ex. tillgänglighetsattacker. Internetoperatörer har begränsade möjligheter att vidta åtgärder mot abonnenter i en situation där denne råkat ut för trojaner eller andra program som massutsänder e-post eller överbelastar webbtjänster. En sådan legal möjlighet bör kopplas till ett informationskrav om de åtgärder som vidtas. Frågan om lagändringen ligger hos näringsdepartementet. Så vitt känner till är ingen förändring av LEK i enlighet med förslag planerad för närvarande. Utreda krav på ökat ansvar för tillhandahållare av programvaror och utrustning föreslog i handlingsplanen för ett säkrare Internet i Sverige att en utredning görs gällande krav på ökat ansvar för tillhandahållare av programvaror och utrustning. En 7 Säkerhet i lokala trådlösa nätverk råd till användare för ökad säkerhet -ER-2007:16 8 Allmänna råd om god funktion och teknisksäkerhet samt uthållighet och tillgänglighet vid extraordinära händelser i fredstid 9 Tematisk tillsyn av allmänna råd om god funktion och teknisk säkerhet diarenummer

8 8(14) sådan utredning ligger framförallt utanför mandat. kan notera den positiva utvecklingen att Internetoperatörer i allt större utsträckning paketerar säkerhetsprogramvaror med de tjänster som levereras samt att hårdvara som modem med trådlös funktionalitet har säkerhetsmekanismer påslagna direkt vid leverans. En liknande utveckling från andra tillhandhållare av programvaror och utrustning vore önskvärd. Åtgärder för att främja kunskapsutveckling Informera aktörer om de finansieringskällor som finns Det primära ansvaret för aktiviteten ligger på de myndigheter som har ansvar på respektive forskningsområde. har noterat att KBM aktivt börjat informera om forskningsanslag från EU på området för skydd av kritisk infrastruktur. Arbeta för att medel avsätts inom ramen för EU:s forskningsprogram avseende Internets infrastruktur Aktiviteterna i handlingsplanen är sådana som är svåra för att påverka men har noterat att en ökning av medlen skett, bl.a. via EU:s forskningsprogram EPCIP (European Programme for Critical Infrastructure Protection). Åtgärder för att fördjupa det svenska deltagandet i internationellt arbete Öka svensk samordning och deltagande i internationella fora Den här åtgärden innefattar internationellt arbete gällande Internetsäkerhet och ingår som en delmängd i området Internet Governance, den internationella förvaltningen av Internet. har inlett arbetet med att fördjupa det svenska deltagandet i internationellt arbete. har tillsammans med näringsdepartementet inrättat en svensk referensgrupp för frågor om den internationella förvaltningen av Internet, och som innefattar Internetsäkerhet. deltar aktivt i flera organ och fora som arbetar med dessa frågor, bl.a. Internet Governance Forum (IGF), GAC/ICANN, RIPE, den internationella teleunionen (ITU), den europeiska byrån för nät- och informationssäkerhetsfrågor (ENISA) där är svensk kontaktpunkt samt de internationella nätverk som Sitic deltar i, se nedan.. Ett utökat ansvar för samordning och deltagande i internationella fora förutsätter särskild finansiering. Tydliggöra svensk ansvarsfördelning i samband med internationella kontakter om säkerhet i Internets infrastruktur Det primära ansvaret för aktiviteten har regeringskansliet. Vidareutveckla operativt internationellt nätverk för incidenthantering Sitic är medlem i nätverken FIRST, TF-CSIRT och EGC som alla har ett växande antal medlemmar. Sitic är vidare aktiva inom NCF, IWWN samt deltagare i ENISAprojekt. Dessa nätverk har visat sig vara effektiva för både informationsspridning och samordning vid operativa insatser under 2007, mest notabelt under Estlandsincidenten.

9 9(14) Fortsatt aktivt deltagande i översyn av EU-direktiv Det primära ansvaret för aktiviteten har regeringskansliet. har aktivt bidragit med underlag. Öka deltagandet i standardiseringsarbete har genomfört en förstudie avseende standardiseringsorganisationer och grupper på området. Ett utökat deltagande i standardiseringsarbete är dock resurskrävande och skulle förutsätta särskild finansiering. Inga beslut har fattats avseende ett utökat deltagande i olika grupperingar. Åtgärder för att förbättra förmågan till krishantering Öka erfarenhetsutbytet, följa upp och dra lärdomar av större störningar De större störningar som inträffat under 2007 kan delas in i tekniska och innehållsmässiga störningar. De tekniska störningar som inträffat, huvudsakligen till följd av vädersituationen, avgrävda kablar, haverier i utrustning t.ex. pga. bristfälliga programuppgraderingar etc, har hanterats inom ramen för robusthetsarbete och tillsynsarbete. Störningar som kommit till följd av trafikinnehållet på Internet har hanterats av Sitic som under året fortsatt att publicera lärdomar och analyser. Lärdomar som dragits, och kommunicerats, är att ett säkert Internet till stor del är något användarna själva måste skapa förutsättningar för genom sitt beteende och för att förändra beteenden krävs både information och motivation. Genom att informera snabbt och korrekt, utan överdrifter eller alarmism, har genom Sitic skapat möjligheter för användare att hitta motiv till att förbättra sin säkerhetsmedvetenhet. Ta fram en koordinerande kontinuitetsplan för Internets infrastruktur i Sverige Aktiviteten kommer att påbörjas under år Aktiviteten kommer att ske genom samverkan med branschen. Utreda alternativa kommunikationsformer för driftsansvariga under kriser Tanken med aktiviteten är att vid större störningar eller kriser kan de som upprätthåller viktiga delar av Internets infrastruktur behöva en möjlighet att kunna kommunicera, angående störningen eller krisen, på en annan kanal än den som drabbats av en störning för att gemensamt kunna hantera situationen. Aktiviteten pågår sedan många år inom ramen för arbetet med den nationella telesamverkansgruppen (NTSG). Detta arbete påverkar Internet eftersom Internet nyttjar dessa operatörers nät och flera av medlemmarna är Internetoperatörer. En ansökan om att ansluta dessa operatörers driftledningscentraler till försvaretstelenät (FTN) är inlämnad till Försvarsmakten. Utreda alternativa informationskanaler från Sitic till användare om Internets status i samband med störningar på Internet Aktiviteten har inte påbörjats.

10 10(14) Förslag till verksamhet under år 2008 kommer under år 2008 att påbörja de aktiviteter som ännu inte genomförts och som har en möjlighet att genomföra. avser att vidareutveckla samarbetet med andra organisationer för att genomföra aktiviteterna i handlingsplanen. kommer också att ta fram en förnyad handlingsplan i enlighet med den förvaltningsplan som finns i rapporten Strategi för ett säkrare Internet i Sverige - -ER-2006:12. Åtgärder som kräver särskilt uppdrag eller finansiering För de åtgärder i handlingsplanen som står som ansvarig för men som kräver särskilt uppdrag eller finansiering avser att återkomma med mera information under mars månad De åtgärderna är: - Samordna och intensifiera informationsinsatser till användare - Vidareutveckla webbplats för Internetsäkerhet - Öka svensk samordning och deltagande i internationella fora - Öka deltagandet i standardiseringsarbete Marianne Treschow Generaldirektör Promemorian har beslutats av generaldirektören Marianne Treschow. I ärendets slutliga handläggning har även ställföreträdande avdelningschefen Christoffer Karsberg och handläggaren Björn Scharin (föredragande) deltagit.

11 11(14) Bilaga 1 Sammanfattning av den ursprungliga handlingsplanen från Strategi för ett Säkrare Internet, 4 juli 2006 Ansvarig anger vilken eller vilka aktörer som ansvarar för att den aktuella åtgärden blir genomförd och utförs på det sätt som avses. Under angelägenhetsgrad anges om en åtgärd är pågående, planerad eller föreslagen. Om den är föreslagen viktas den som angeläget eller mycket angeläget. Genomförande av en föreslagen åtgärd kan förutsätta ett beslut på regeringsnivå. De åtgärder som är beredd att genomföra innebär att särskilt uppdrag och i förekommande fall finansiering kan krävas för att genomföra åtgärden. Tid anger inom vilken tid en åtgärd planeras vara genomförd, inom ett år, två år, tre år eller fyra år. Annars anges den som löpande. Under kostnad anges en kostnadsuppskattning för de åtgärder som är föreslagna, dvs. de som inte är pågående eller planerade. Kostnadsuppskattningen görs med avseende på följande intervall: Låg: Under kr Medel: kr Hög: Över kr Kostnaden för en löpande åtgärd är uppskattad på årsbasis. Åtgärd Ansvarig Angelägenhetsgrad Tid Kostnad 6.1 Åtgärder för att skydda Internets fysiska och logiska infrastruktur Ta fram rekommendationer till tillhandahållare av innehållstjänster för ökad tillgänglighet Främja användningen av DNSSEC i namnservrar Ta fram rekommendationer om säkrare trafikutbyte mellan Internetoperatörer Planerad < 2 år - Planerad < 2 år - < 2 år -

12 12(14) Åtgärd Ansvarig Angelägenhetsgrad Tid Kostnad 6.2 Åtgärder för information till användare Informera om sårbarheter /Sitic Löpande - Utveckla råd för beställning av Internettjänster Samordna och intensifiera informationsinsatser till användare II-stiftelsen < 2 år - Mycket angeläget Löpande Hög Utbilda blivande lärare i Internetsäkerhet Högskolor och universitet Angeläget < 2 år Hög Vidareutveckla webbplats för Internetsäkerhet Angeläget < 2 år Medel 6.3 Åtgärder för ett ökat ansvarstagande för användarnas säkerhet Arbete med specificerade krav på god funktion och teknisk säkerhet < 1 år - Följa upp Internetoperatörernas funktionsförmåga Planerad < 2 år, därefter löpande - Ge Internetoperatörerna laglig möjlighet att förhindra spridning av skadlig trafik Utreda krav på ökat ansvar för tillhandahållare av programvaror och utrustning Regeringen Mycket angeläget < 2 år Låg Regeringen Mycket angeläget < 3 år Hög 6.4 Åtgärder för att främja kunskapsutveckling Informera aktörer om de finansieringskällor som finns Berörda myndigheter Angeläget Löpande Låg

13 13(14) Åtgärd Ansvarig Angelägenhetsgrad Tid Kostnad Arbeta för att medel avsätts inom ramen för EU:s forskningsprogram avseende Internets infrastruktur Regeringen Angeläget Löpande Låg 6.5 Åtgärder för att fördjupa det svenska deltagandet i Internationellt arbete Öka svensk samordning och deltagande i internationella fora Tydliggöra svensk ansvarsfördelning i samband med internationella kontakter om säkerhet i Internets infrastruktur Vidareutveckla operativt internationellt nätverk för incidenthantering Fortsatt aktivt deltagande i översyn av EU-direktiv Öka deltagandet i standardiseringsarbete Mycket angeläget Löpande Hög Regeringen Mycket angeläget < 1 år Låg /Sitic Löpande - Regeringen < 2 år - Angeläget Löpande Hög 6.6 Åtgärder för att förbättra förmågan till krishantering Öka erfarenhetsutbytet, följa upp och dra lärdomar av större störningar Ta fram en koordinerande kontinuitetsplan för Internets infrastruktur i Sverige Utreda alternativa kommunikationsformer för driftsansvariga under kriser Utreda alternativa informationskanaler från Sitic /Sitic Löpande - Mycket angeläget < 4 år Hög Angeläget < 4 år Medel /Sitic Planerad < 2 år -

14 till användare om Internets status i samband med störningar på Internet Sida 14(14)