28 november Förutsättningar för att inrätta en särskild funktion för IT-incidenthantering

Transkript

1 DATUM DIARIENUMMER 28 november Förutsättningar för att inrätta en särskild funktion för IT-incidenthantering

2 Innehållsförteckning Förord Sammanfattning Uppdrag Uppdraget till Post- och telestyrelsen Beslut Bakgrund Utredningsuppgifter Arbetsgrupp och referensgrupp Relaterade utredningar och utredningsuppgifter Samordning inom regeringen/regeringskansliet Samordningsansvar för skydd mot informationskrigföring System för rapportering och analys av incidenter IT-kontrollfunktion Incidenthantering för telefunktionen Folkrättsliga aspekter Tidigare utredningar Arbetsgruppen om skydd mot informationskrigföring (Ag IW) Statskontoret Svenska delen av Internet Sammanhållen strategi för samhällets IT-säkerhet IT-incidenter Terminologi IT-incident Hot Konsekvens, sannolikhet och risk IT-incidenter generellt IT-incidenter som innebär angrepp Angrepp Riktade angrepp Slumpmässiga angrepp Exempel på IT-incidenter Hotbild Bakgrund Hotbildsanalyser Bedömning av hotbilden Olika hotmiljöer Aktuell hotbild Inledning Bakgrundshot på Internet Tekniker och metoder för angrepp Allvarliga IT-incidenter Riktade angrepp Samhällsviktig infrastruktur Myndigheter, företag och organisationer Omfattande IT-incidenter Hemdatorer Mörkertal Informationsoperationer Bakgrund Arbetsgruppen om skydd mot informationsoperationer Metoder Post- och telestyrelsen 1

3 5.3.4 IT-incidenter som informationsoperationer Hotbild Hotbildens utveckling Förändrad hotbild Problem med ny teknik Nya angreppsmetoder Andra IT-relaterade brott Förändrad användning av Internet Angripare Bakgrund Målinriktade angrepp Utveckling inom målinriktade angrepp Förebyggande skydd mot IT-incidenter Översikt Policy och säkerhetsorganisation Ansvar Säkerhet Risktagande Exempel på skyddsåtgärder Säkerhetskopiering Begränsning av datanät Skyddade anslutningar Brandväggar Skydd mot datavirus och e-postvirus Skydd mot avlyssning Säkrade system Nätövervakning IDS (Intrusion Detection Systems) Systemövervakning Avbrottsplaner Åtgärder vid inträffade IT-incidenter Ansvar Myndighetens ansvar Nätoperatörernas ansvar Aktörer vid IT-incidenter Lokala åtgärder vid IT-incidenter Exempel på åtgärder vid angreppsförsök Funktioner för IT-incidenthantering Historik och översikt IT-säkerhet IT-incidenthantering Skydd mot informationsoperationer Funktioner för IT-incidenthantering i Sverige SUNET-CERT ÖCBs försöksverksamhet IT-incidenthanteringsfunktion för de svenska teleoperatörerna Funktioner i svenska företag och organisationer Myndigheternas behov av en särskild funktion PTS undersökning Frågorna Myndigheternas svar Vilka slags incidenter bör hanteras Rutiner hos myndigheterna Incitament för rapportering...51 Post- och telestyrelsen 2

4 9.3.4 Behov av en central funktion Uppgifter för en central funktion Inträffade IT-incidenter Överväganden Uppdraget Förslagen i Ag IWs rapport Myndigheternas behov Förutsättningar för att inrätta en särskild funktion Inriktning hos en särskild funktion Övriga föreslagna uppgifter Aktiva motåtgärder Ansvarsfördelning Försöksverksamhet Bakgrund och överväganden Förslag Statligt eller privat organ Frågan Bakgrund Överväganden Förslag Lokalisering Överväganden Förslag IT-incidenter som ska omfattas av den särskilda funktionen Frågan Bakgrund Överväganden Förslag Samverkan med polisen Frågan Bakgrund Överväganden Förslag för försöksperioden Fortsatt utredning av Funktionens verksamhet Samverkan med säkerhetspolisen Frågan Bakgrund Överväganden Förslag för försöksperioden Samverkan med Försvarsmakten Frågan Bakgrund Överväganden och förslag Tekniska förutsättningar för aktiva motåtgärder Frågan Bakgrund Överväganden och förslag Hantering av informationsattacker Frågan Bakgrund Överväganden Förslag Uppgifter för en särskild funktion Möjliga uppgifter Informationsförmedling Post- och telestyrelsen 3

5 Informationsinsamling Mottagning av incidentrapporter Kontaktförmedling Servicetjänster ( help desk ) Samordning vid pågående IT-incidenter Statistik Analys Utveckling Nationellt samarbete Internationellt samarbete Standardisering Bibliotek och databaser Arkivering Utbildning Kommersiella uppgifter Förslag för försöksperioden Överväganden och förslag Huvuduppgifter Övriga prioriterade områden Övriga uppgifter Understödjande uppgifter Vissa rättsliga frågor vid myndigheternas rapportering av ITincidenter Bakgrund Sekretesslagen Personuppgiftslagen Upphovsrättslagen Överväganden Förslag Riktlinjer och rutiner för Funktionens verksamhet Dimensionering av en särskild funktion Frågan Överväganden Förslag Ekonomiska konsekvenser Utvärdering Utredningens förslag Försöksverksamhet Funktionens uppgifter IT-incidenter som skall beaktas Samverkan med polisen och säkerhetspolisen Hantering av informationsattacker Dimensionering Myndigheternas rapportering Utveckling av den särskilda funktionen Utvärdering Förslag till fortsatta utredningar Polisens medverkan i en särskild funktion Myndigheternas rapportering Frågor som aktualiseras under försöksverksamheten Spårning av IT-incidenter vid brottsutredningar...90 Post- och telestyrelsen 4

6 Förord Regeringen uppdrog den 25 november 1999 (N1999/11654/ITFoU) åt Post- och telestyrelsen att utreda förutsättningarna för att inrätta en särskild funktion för ITincidenthantering. Utredningen har letts av avdelningschefen Åke Widerström. Verksjuristen Britt- Marie Jönsson har gjort de juridiska analyserna och konsulten Anders Beckman har varit utredningens sekreterare. En arbetsgrupp har medverkat i utredningen. Med den har utredningen haft sex möten. I arbetsgruppen har deltagit: Ingvar Ståhl från Försvarsmaktens högkvarter, Göran Zetterberg och Mats Ohlin från Försvarets Materielverk, Lars Nicander och Marcus Küchler från Försvarshögskolan, Rein Kommel från Överstyrelsen för civil beredskap, Göran Stütz från Styrelsen för psykologiskt försvar, Stefan Kronqvist från Rikskriminalpolisen, Jan Kärrdal från Säkerhetspolisen, István Orci från Statskontoret samt Lars Flodin och Tommy Svensson från Svenska Arbetsgivareföreningen. Utredningen har haft stöd av en referensgrupp. Med den har utredningen haft fyra möten. I referensgruppen har deltagit: Arne Andersson, Lars Söderström och Christina Weihe från Justitiedepartementet, Leif Nylander, Ulrica Gradin och Björn Hanby från Försvarsdepartementet samt Fredrik Sand från Näringsdepartementet. Bilaga 7 Trender och utveckling av IO-hot/skydd har skrivits av Arvid Kjell vid Informationskrigskansliet vid Försvarshögskolan. PTS har under utredningsarbetet fortlöpande haft kontakter med den särskilde utredaren Åke Pettersson i Sårbarhets- och säkerhetsutredningen. Post- och telestyrelsen 5

7 1 Sammanfattning Post- och telestyrelsen (PTS) skall enligt regeringens uppdrag utreda förutsättningarna för en särskild funktion för IT-incidenthantering. En ITincidenthanteringsfunktion syftar till att motverka angrepp på IT-system och datanät. Angreppen kan göras för att samla in, förstöra eller ändra information, men också för att förhindra avsedd användning av system. Angreppen kan utföras med hjälp av metoder som dataintrång, avlyssning, datavirusangrepp eller överbelastningsattacker. Tänkbara angripare kan vara såväl stater som företag, kriminella organisationer, utomparlamentariska grupper och enskilda individer. En särskild funktion för IT-incidenthantering har en viktig roll såväl i det fredstida IT-säkerhetsarbetet som i skyddet mot informationsoperationer och informationskrigföring. Funktionen kan motverka angrepp genom att varna och informera myndigheter och företag om sårbarheter och skyddsåtgärder, genom att ge dem stöd i att införa skydd mot IT-incidenter och genom att samordna motåtgärder vid incidenter och angrepp. Funktionen kan också analysera rapporter om inträffade incidenter för att bland annat kunna skilja systematiska angrepp från den stora mängden okvalificerade angrepp. Sverige har tidigare inte haft någon nationell funktion för IT-incidenthantering som sammanställt inträffade incidenter och analyserat hot och risker. Myndigheter och företag har varit hänvisade till att få varningar och hämta information om sårbarheter från utländska organisationer. Stort behov Det finns ett stort behov av en särskild funktion för IT-incidenthantering. Regeringen har, bland annat i de senaste försvarspropositionerna, påtalat behovet av ett bättre skydd mot informationsoperationer och informationskrigföring. Det finns idag en betydande oklarhet vad gäller hotbilden för informationsoperationer och IT-incidenter. Det är därför angeläget att en systematisk incidentrapportering och hotanalys kommer igång. PTS frågade 46 myndigheter om behovet av en särskild funktion för ITincidenthantering. Av myndigheternas svar framgår att så gott som alla bedömde att en sådan funktion behövs. Enligt myndigheterna bör en särskild funktion för IT-incidenthantering i första hand ansvara för central kunskapsuppbyggnad inom området, analysera hotbilden, förmedla kunskaper och erfarenheter inom området, utfärda varningar samt ge råd och stöd avseende såväl skyddsåtgärder som åtgärder vid incidenter. Myndigheternas svar kan tolkas som att myndigheterna har behov av en särskild funktion som i första hand kan hjälpa dem utforma sitt eget skydd mot IT-incidenter och varna dem för aktuella sårbarheter och incidenter. PTS frågade också om myndigheterna de senaste 10 åren drabbats av ITincidenter som medfört allvarliga konsekvenser för myndigheten. Enligt myndigheterna har ingen sådan händelse orsakad av IT-angrepp inträffat. Post- och telestyrelsen 6

8 PTS har under utredningen fått många belägg för att förebyggande skyddsåtgärder är det mest effektiva skyddet mot IT-incidenter, och att incidenthantering inte kan ersätta utan bara komplettera sådana skyddsåtgärder. En särskild funktion för ITincidenthantering bör därför kunna ge kvalificerat stöd vid utformningen av myndigheternas skyddsåtgärder. Utredningens förslag PTS bedömer att det är angeläget att en särskild funktion för IT-incidenthantering kan påbörja sin verksamhet så snart som möjligt. PTS föreslår därför att en särskild funktion för IT-incidenthantering för statliga myndigheter inrättas som försöksverksamhet under två år, och att funktionens uppgifter under försöksverksamheten begränsas till de som är möjliga utan författningsändringar. Funktionen kan därefter utvecklas för att motsvara framtida behov och hotbild, i den takt som eventuella utredningar av författningsändringar medger. Funktionen ska i första hand betjäna de statliga myndigheterna. Den ska ta emot och analysera incidentrapporter från myndigheter. Varningar, råd och annan information ska kunna spridas till myndigheter, företag, organisationer och privatpersoner. PTS föreslår att den särskilda funktionen för IT-incidenthantering förläggs till PTS. Funktionens uppgifter PTS föreslår att den särskilda funktionen för IT-incidenthantering under försöksperioden har som huvuduppgifter informationsförmedling, analys och samordning. Inom området informationsförmedling bör aktuella varningar och råd, risk- och hotbildsinformation samt råd om skyddsåtgärder prioriteras. Inom området analys bör hotbildsanalys och riskanalys avseende allvarliga hot prioriteras. Informationsförmedlingen bör i första hand utföras under kontorstid, men funktionen bör ha möjlighet att kunna förmedla varningar dygnet runt alla dagar på året. Funktionen bör ha beredskap att medverka med samordning vid pågående ITincidenter. Funktionen bör ha möjlighet att medverka med sådan samordning dygnet runt alla dagar på året. För att funktionen ska kunna utföra huvuduppgifterna är det nödvändigt att mottagning av incidentrapporter, informationsinsamling och statistik samt nationellt och internationellt samarbete också är mycket högt prioriterade områden. Prioriterade områden för funktionen bör under försöksperioden också vara kontaktförmedling och servicetjänster ( help desk ). Funktionen bör också medverka i utbildningar om IT-incidenter och ITincidenthantering för i första hand myndigheternas personal. Post- och telestyrelsen 7

9 Funktionen bör, i den mån tid och resurser medger det, under försöksperioden också medverka i utvecklings- och standardiseringsarbete inom området. Funktionen bör under försöksverksamheten bygga upp de bibliotek och databaser som behövs för verksamheten samt effektiva rutiner för arkivering av viktig IT-incidentrelaterad information. Förslaget bör ge goda möjligheter för näringsliv och enskilda organisationer att samverka med Funktionen. IT-incidenter som ska hanteras PTS föreslår att funktionen under försöksperioden i första hand bör beakta ITincidenter som innebär angrepp, dvs. intrångsförsök och dataintrång, avsiktlig störning av tillgänglighet, datavirus och trojaner, civila informationsoperationer, informationsattacker samt nya typer av IT-incidenter. Funktionen ska inte ta över myndigheternas ansvar att själva hantera ITincidenter. Myndigheterna ska också själva polisanmäla sådana IT-incidenter som innebär brott. Utformning av funktionen PTS föreslår att funktionen under försöksperioden omfattar 6-10 heltidsanställda. Försöksverksamheten bör utvärderas efter 24 månader, och utvärderingen bör läggs till grund för beslut om den fortsatta utformningen och lokaliseringen av en särskild funktion för IT-incidenter. En av de frågor PTS tagit ställning till är om polisen bör medverka i den särskilda funktionen. PTS bedömer att en sådan medverkan kräver författningsändringar. PTS föreslår därför att polisen inte skall medverka i funktionen under försöksverksamheten. Tidigare utredningar har föreslagit att funktionen ges operativa befogenheter att medverka i bland annat spårning av IT-incidenter. PTS bedömer att en funktion för IT-incidenthantering inte kan ges operativa befogenheter utan författningsändringar. Denna utredning har inte kunnat belägga att hotbilden avseende IT-incidenter och informationsoperationer idag är sådan att det finns något omedelbart behov av att den särskilda funktionen ges operativa befogenheter. Frivillig rapportering PTS har också tagit ställning till om myndigheterna skall åläggas att rapportera inträffade IT-incidenter till funktionen. En rapporteringsplikt aktualiserar ett antal svåra juridiska frågor, bland annat kring sekretess och skydd av personuppgifter, och PTS har bedömt att det inte är möjligt att införa rapporteringsplikt utan författningsändringar eller särskilda överväganden. PTS föreslår att myndigheterna under försöksperioden frivilligt kan rapportera ITincidenter till Funktionen. Funktionen bör tillsammans med myndigheterna Post- och telestyrelsen 8

10 utforma enkla och effektiva och om möjligt standardiserade rutiner och hjälpmedel för incidentrapportering. Det bör vidare finnas tydliga riktlinjer för Funktionen som anger hur Funktionen kan komma att behandla den information som myndigheterna lämnar. Riktlinjerna bör omfatta såväl behandling av personuppgifter som behandling av uppgifter innefattande misstanke om brott. Hantering av informationsattacker PTS föreslår att Funktionen under försöksperioden skall kunna ta emot rapporter om misstänkt avsiktlig vilseledning på Internet som är av en sådan art att den skulle kunna utgöra ett hot mot samhället (s.k. informationsattacker). Rapporter om sådana händelser bör, efter eventuell sammanställning eller annan enklare bearbetning, vidareförmedlas till i första hand Styrelsen för psykologiskt försvar (SPF) för analys. Ekonomiska konsekvenser Kostnaderna för försöksverksamheten beräknas för PTS del till 6-10 miljoner kronor per år. Försöksverksamheten kan finansieras inom ramen för PTS anslag B7 Funktionen Telekommunikationer m.m. De ekonomiska konsekvenserna för de myndigheter som rapporterar ITincidenter till funktionen torde bli begränsade. Polisens medverkan i en särskild funktion PTS föreslår att regeringen låter utreda behovet av, och formerna för, polisiär medverkan i den särskilda funktionen för IT-incidenthantering. En sådan utredning bör beakta internationella erfarenheter av polisiär medverkan. Vidare bör utredningen analysera utvecklingen av IT-brottslighet. Utredaren bör också undersöka om polisiära uppgifter och befogenheter skall tilldelas funktionen. Myndigheternas rapportering PTS föreslår vidare att frågan om myndigheterna bör åläggas rapporteringsplikt utreds vidare. I en fortsatt utredning om eventuell rapporteringsplikt är frågan om ändringar i sekretesslagen av stor vikt. Det är dock möjligt att frågan om det för Funktionens verksamhet behövs särskilda bestämmelser i sekretesslagen även bör utredas fristående från frågan om rapporteringsplikt för myndigheterna. Spårning av IT-incidenter vid brottsutredningar I samband med utredningsarbetet har PTS uppmärksammat att brottsutredningar av IT-incidenter försvåras av att aktuella författningar gör det svårt att spåra ITincidenter som är dataintrång. PTS föreslår därför att regeringen utreder och om så behövs utarbetar förslag till de författningsändringar som behövs för att underlätta brottsutredningar vid dataintrång. Post- och telestyrelsen 9

11 2 Uppdrag 2.1 Uppdraget till Post- och telestyrelsen Beslut Regeringen har i beslut (N1999/11654/ITFoU) givit Post- och telestyrelsen (PTS) i uppdrag att utreda förutsättningarna för att inrätta en särskild funktion för ITincidenthantering. Uppdraget skall redovisas senast den 1 september I bilagan till ovan nämnda regeringsbeslut finns två konkreta uppgifter angivna, Post och telestyrelsen skall utarbeta ett förslag på hur funktionen skall organiseras. I arbetet skall PTS utgå ifrån förslagen i rapporten från Arbetsgruppen om informationskrigföring (Ag IW, Fö 1997:A). samt Huvuduppgiften [för utredningen] skall vara att föreslå lämplig ansvarsfördelning mellan aktörerna, klarlägga behov av samarbete och kanaler för informationsförmedling mm för en sektorsövergripande funktion för ITincidenthantering för den statliga sektorn. Dessutom anges att På sikt skall det vara möjligt att skapa en nationell, sektorsövergripande funktion för IT-incidenthantering. PTS ansökte den 16 maj 2000 i ett brev till regeringen om att få redovisningstidpunkten senarelagd till den 1 december Skälen till detta var att utredningen rörande planeringssystem för det civila försvaret och beredskapen mot svåra påfrestningar på samhället i fred, som skulle ha lämnat en delrapport avseende frågor som berör IT-säkerhet den 1 april 2000, är försenad och delrapporten kommer att ingå i slutrapporten utredningen måste förankras hos myndigheter och näringsliv utredningen är mer komplicerad än vad som först antogs. Regeringen beslutade att uppdraget skall redovisas den 1 december Bakgrund Behovet av en särskild funktion för IT-incidenthantering har tidigare utretts av Arbetsgruppen (Fö 1997:A) om skydd mot informationskrigföring (Ag IW) och i vissa delar även av Statskontoret i utredningarna om den svenska delen av Internet och om en sammanhållen strategi för samhällets IT-säkerhet. I Rapport 2: Åtgärder och skydd mot informationskrigföring - förslag till ansvarsfördelning m m ( ) från Ag IW föreslås bland annat att en Stats-CERT inrättas under PTS. Denna rapport har remissbehandlats. Regeringen har därefter tagit ställning till rapporten. I proposition Det nya försvaret (prop. 99/00:30) anför regeringen följande: Regeringen har i propositionen Förändrad omvärld - omdanat försvar (prop. 1998/99:74) även behandlat inrättandet av en särskild funktion, en s.k. Stats-CERT (CERT=Computer Emergency Response Team), för att övervaka i första hand statsförvaltningens informationssystem. Post- och telestyrelsen 10

12 Syftet med Stats-CERT är att kunna skilja mellan osystematiska och okvalificerade angrepp å ena sidan och kvalificerade och systematiska å den andra. Den förra kategorin är primärt inte av nationell karaktär, varför koncentrationen ligger på den senare kategorin. Denna Stats-CERT skulle ha funktionen både som driftövervakningscentral och kvalificerad rådgivare vid fel eller större avvikelser i nätet samt innehålla s.k. responsfunktioner, vilket bl. a. innebär att i nära realtid kunna spåra ursprunget till ett dataangrepp. På sikt bör även privata CERTfunktioner (teleoperatörer, Internetoperatörer, bankföreningar m fl) via avtal kunna ansluta sig till Stats-CERT. Regeringen bereder för närvarande frågan om IT-incidenthantering. Därefter har regeringen beslutat om ovan nämnda uppdrag Utredningsuppgifter I utredningsarbetet skall PTS, enligt regeringens beslut, särskilt uppmärksamma vilka verksamheter i samhället som har behov av sådan funktion hur långt det statliga åtagandet bör gå vilka typer av incidenter som bör omfattas av funktionen vilka moment som skall ingå i funktionen och deras innebörd särskilt motåtgärder juridiska överväganden i samband med införande av funktionen, särskilt avseende polisiär medverkan eller samverkan hur funktionen skall organiseras avseende huvudman, bemanning och finansiering ekonomiska konsekvenser för eventuellt berörda myndigheter Arbetsgrupp och referensgrupp PTS har i enlighet med uppdraget tillkallat en arbetsgrupp och en referensgrupp. I arbetsgruppen har ingått företrädare för Rikspolisstyrelsen (Rikskriminalpolisen och Säkerhetspolisen), Statskontoret, Försvarsmakten, Försvarets materielverk, Försvarshögskolan, Överstyrelsen för civil beredskap och Styrelsen för psykologiskt försvar. Företrädare för Svenska Arbetsgivareföreningen (Näringslivets säkerhetsdelegation) har också ingått i arbetsgruppen. I referensgruppen har ingått företrädare för Justitiedepartementet, Försvarsdepartementet och Näringsdepartementet. 2.2 Relaterade utredningar och utredningsuppgifter Följande utredningar eller utredningsuppgifter inom näraliggande områden har haft betydelse för tolkningen av uppdraget och uppdragets genomförande. Post- och telestyrelsen 11

13 2.2.1 Samordning inom regeringen/regeringskansliet Huvudman (fördragande inom regeringen) för frågor som handläggs av PTS är idag teleministern i frågor som rör telelagen, lagen om radiokommunikation, PTS instruktion mm. Föredragande i regeringen för frågor som försvar, beredskap som handläggs av PTS mm är försvarsministern. Regeringen kommer i annat sammanhang att utreda ansvarsfördelningen mellan statsråden behöver ändras och om förändringar behöver vidtas för att förbättra samordningen inom regeringskansliet Samordningsansvar för skydd mot informationskrigföring I proposition Det nya försvaret (prop 99/00:30) skriver regeringen: Som tidigare nämnts har regeringen i juni 1999 beslutat om direktiv (dir. 1999:63) för en särskild utredare med uppgift att analysera och lämna förslag till principer för att åstadkomma en förbättrad helhetssyn när det gäller planeringen för civilt försvar och beredskapen mot svåra påfrestningar på samhället i fred. I uppdraget ingår att efter analys av nuvarande ansvars- och rollfördelning, föreslå hur utformningen av en tvärsektoriell samordning för IT-säkerhet och skydd mot informationskrigföring bör utformas. Frågan om vad samordningsansvaret bör omfatta och hur det skall organiseras kommer att behandlas inom ramen för utredningen rörande planeringssystem för det civila försvaret och beredskapen mot svåra påfrestningar på samhället i fred. PTS skall enligt uppdragsbeskrivningen samråda med den särskilda utredare som genomför denna utredning. PTS har under utredningsarbetet fortlöpande haft kontakter med den särskilde utredaren Åke Pettersson i Sårbarhets- och säkerhetsutredningen System för rapportering och analys av incidenter I beslutet om uppdraget till PTS om IT-incidenthantering anför regeringen: En IT-incidenthanteringsfunktion syftar till att motverka angrepp på informationsoch kommunikationstekniska system och infrastruktur. Att samla statistik och analysera incidenter kan också ingå i funktionen. Med hjälp av en ITincidenthanteringsfunktion skulle det bl.a. bli möjligt att kunna skilja enstaka angrepp från systematiska angrepp på samhällsviktiga sektorer t.ex. statsförvaltning, el- och telenät. Man säger också att: I propositionen Förändrad omvärld - omdanat försvar (prop. 1998/99:74) uppger regeringen att i det fortsatta berednings- och utredningsarbetet kommer möjligheterna att införa ett system för rapportering och analys av incidenter inom IT-säkerhets- och informationskrigföringsområdena att övervägas. Vidare avser regeringen att överväga förutsättningarna för att inrätta en särskild funktion med syfte att motverka attacker mot informationssystem. Post- och telestyrelsen 12

14 2.2.4 IT-kontrollfunktion Regeringen har givit Försvarsmakten i uppdrag att genomföra försöksverksamhet. I Försvarsmaktens regleringsbrev för budgetåret 2000 lämnas följande uppdrag: Försvarsmakten skall med stöd av Försvarshögskolan genomföra en förberedande övning för att öka säkerheten i samhällsviktiga informationssystem. Försvarsmakten skall bl.a. pröva möjligheterna att använda en kvalificerad grupp med stor kunskap om systemuppbyggnad, sårbarhetsrisker samt intrångsmetoder för kontroll av säkerheten inom informationssystemen (IT-kontroll). När det gäller utformningen av den kvalificerade gruppen skall FM samverka med FHS, FMV, FOA, ÖCB och FRA. Samverkan bör också ske med RPS, DI och andra berörda myndigheter. FM skall vidare senast den 1 september 2000 och efter samråd med berörda myndigheter redovisa ett förslag till en metod för hur aktiv IT-kontroll kan bedrivas i informationssystem av samhällsviktig karaktär samt lämna förslag till vilka informationssystem av betydelse för totalförsvaret som skulle kunna omfattas av en sådan kontroll. Redovisningen skall även innehålla uppgifter om hur det förslaget förhåller sig till nuvarande bestämmelser. Arbetet skall bedrivas i nära samverkan med regeringskansliet (Försvarsdepartementet). Regeringen anser vidare att frågan om andra aktiva åtgärder bör studeras vidare Incidenthantering för telefunktionen I propositionen Förändrad omvärld - omdanat försvar (prop. 1998/99:74) under Funktionen Telekommunikationer tillstyrker regeringen PTS planering som innebär att - Försöksvis etableras en organisation för att hantera, utreda och förebygga incidenter i teleoperatörernas datanät. PTS instruktion är sedan 1 november 1999 ändrad så att man skall 5. följa utvecklingen på radio-, tele- och dataområdena samt angränsande områden och av säkerheten vid elektronisk informationshantering inom dessa områden Regeringen skriver i regleringsbrevet för PTS för budgetåret 2000 att Målet är att Post- och telestyrelsen, när det gäller svåra fredstida påfrestningar på samhället, skall vidta åtgärder för att konsekvenserna för samhället minskar vad gäller sårbarheten inom Telekommunikationsområdet. Detta skall ske genom att åtgärder vidtas bl.a. vad avser IT-angreppshot och långa elavbrott. Där står också under återrapporteringskrav att Post- och telestyrelsen skall redovisa läget avseende försöksvis etablering av en nationell incidenthantering för telefunktionen (NSIC, Network Security Information Center). PTS har tillsammans med KK-stiftelsen initierat en försöksvis etablering av en funktion för incidenthantering för de större tele- och Internetoperatörerna i Sverige. Projektet är tvåårigt och projektstart är mars Post- och telestyrelsen 13

15 2.2.6 Folkrättsliga aspekter I propositionen Förändrad omvärld - omdanat försvar (prop. 1998/99:74) skriver regeringen: Liksom arbetsgruppen [Ag IW] anser regeringen att det är angeläget att förutsättningarna för internationell samverkan och att de folkrättsliga frågorna belyses i det fortsatta arbetet. De folkrättsliga aspekterna tas inte upp i denna utredning. 3 Tidigare utredningar 3.1 Arbetsgruppen om skydd mot informationskrigföring (Ag IW) Arbetsgruppen (Fö 1997:A) om skydd mot informationskrigföring har redovisat sitt arbete i två rapporter, Åtgärder och skydd mot informationskrigföring ( ) och Rapport 2: Åtgärder och skydd mot informationskrigföring - förslag till ansvarsfördelning m m ( ). Den första rapporten innehåller en omvärldsbeskrivning och diskuterar sedan informationskrigföringens karaktär, uppkomst och innehåll samt de tekniska metoder som förknippas med informationskrigföring (se avsnitt nedan för en översikt över de metoder som redovisas). Rapporten avslutas med en kort översikt över identifierade behov av åtgärder. Tänkbara angripare kan, enligt rapporten, vara såväl stater som företag, kriminella organisationer, utomparlamentariska grupper och enskilda individer. Den andra rapporten inleds med en genomgång av utvecklingen och vidtagna åtgärder i åtta länder. I två kortare avsnitt diskuteras också IT-relaterad kriminalitet och grundläggande skyddsfilosofi inom IT-säkerhetsområdet. Därefter utvecklas de förslag som lagts inom ASTA-studien och i Ag IWs första rapport. Man pekar på behoven av en interdepartemental samordningsgrupp ett nationellt funktionsansvar på central nivå med operativa befogenheter en statistikenhet för att få underlag för hotbildsanalys en aktiv IT-kontrollfunktion för kontroll av statsförvaltningens ITsäkerhet en StatsCERT som hanterar dataincidenter mot statsförvaltningen i realtid en operativ mediebevakning (informationsanalys av Internet) vid SPF I det avslutande kapitlet redovisar arbetsgruppen sitt förslag till ansvarsfördelning inom området informationskrigföring. Förslaget bygger på att befintliga myndigheter i stort behåller sitt verksamhetsansvar, samtidigt som kompletterande och i sammanhanget resurssnåla organisatoriska lösningar tillskapas. Post- och telestyrelsen 14

16 Förslaget innebär att en samordningsgrupp inom Regeringskansliet tillskapas, som även bör kunna utgöra en krishanteringsresurs en ny nationell IW-samordning tillskapas vid ÖCB som en särskild sammahållen enhet. Enhetens verksamhet ska omfatta hotbearbetning, skydd, incidentanalys samt övergripande samordning och inriktning. Enheten ska ha operativa beslutsbefogenheter i vissa specifika situationer. en s k StatsCERT organiseras under PTS med stöd av RPS. StatsCERT ska kunna skilja sporadiska intrångsförsök från kvalificerade och systematiska angrepp, och ska i realtid tillse att attacker mot kritiska infrastrukturer avstyrs och upphör, samt stödja återställande av systemen vid större attackföretag. StatsCERT ska ha nära kontakter med den nationella IW-samordningen och med IT-kontrollfunktionen. en statistikenhet inrättas, som ska kunna skapa en helhetsbild av dagsläget vad gäller hot, hotaktörer, tillvägagångssätt och teknik. Den ska också kunna fungera som taktiskt varningsfunktion, där extraordinära mönster av incidenter kan upptäckas, så att den kan slå larm till berörda myndigheter. Enheten kan vara fristående eller ingå i IW-samordningen. en incidentanalysfunktion inrättas inom IW-samordningen eller i anknytning till statistikenheten. Analysfunktionen ska kunna identifiera IT-sårbarheter och generera strategiska varningar ( early warnings ). Analyserna ska också kunna leda till bättre rekommendationer om skyddsåtgärder till myndigheterna. rapporteringsplikt införs för IT-relaterade incidenter inom statsförvaltningen försvarsmaktens mandat beträffande signalskyddstjänsten gentemot totalförsvaret - som förvaltas av TSA - vidgas till att även omfatta civila informationssystem av betydelse för totalförsvaret en aktiv samordnande IT-kontrollfunktion för statsförvaltningen inrättas med Försvarsmakten som bas författningsändringar i datalagen m.m. initieras snarast en särskild analysgrupp för operativ mediebevakning (informationsanalys av Internet) inrättas vid SPF samverkansformerna på underrättelseområdet vad avser information om informationskrigföring förändras 3.2 Statskontoret Svenska delen av Internet Regeringen uppdrog genom beslut den 26 september 1996 åt Statskontoret att utreda den svenska delen av Internet. I beslutet sägs bland annat att Statskontoret skall undersöka behovet av och förutsättningarna för att öka säkerheten och användbarheten i den svenska delen av Internet. I rapporten Svenska delen av Internet (rapport 1997:18) beskriver Statskontoret hotbilden mot Internet och föreslår också en säkerhetsarkitektur för Internet. Post- och telestyrelsen 15

17 Vad gäller incidenthantering föreslår Statskontoret att frågan om incidenthantering belyses av en utredning med uppdrag att tillsammans med t.ex. operatörer och användarorganisationer inom offentlig förvaltning och näringsliv utreda och föreslå uppgifter för en organisation för incidenthantering i Sverige och hur den funktionen praktiskt skall utformas. Man påpekar också att initiativ till en samverkan mellan operatörerna tagits under hösten I rapporten diskuterar Statskontoret också behovet av en krishanteringsorganisation, och avser då i första hand en organisation för att säkerställa att den svenska delen av Internet ska kunna fungera i kris och krig. Statskontoret föreslår att en sådan organisation pekas ut snarast. I avsnittet om säkerhetsarkitektur diskuteras i första hand PKI- och krypteringslösningar för att garantera autenticitet och konfidentialitet för meddelanden på Internet (inklusive övervaknings- och konfigureringsmeddelanden) Sammanhållen strategi för samhällets IT-säkerhet Regeringen uppdrog genom beslut den 25 september 1997 åt Statskontoret att ta fram en sammanhållen strategi för samhällets IT-säkerhet som preciserar statens ansvar och anger hur säkerhetsarbetet kan inordnas i det nationella handlingsprogrammet för IT samt hur arbetet med säkerhetsfrågorna bör organiseras och fördelas mellan olika statliga myndigheter. Utredningen redovisas i rapporten (1998:18) Sammanhållen strategi för samhällets IT-säkerhet. I rapporten redovisar Statskontoret ett förslag till samordning på myndighetsnivå. I detta ingår ett förslag om incidentrapportering för Statsförvaltningen. Statskontoret föreslår att det vid ÖCB inrättas en verksamhet för samordnad incidentrapportering för statsförvaltningen. ÖCB bör som följd av detta få i uppdrag att med utgångspunkt i den inriktning som beskrivs här, definiera och beskriva hur en sådan verksamhet kan bedrivas och finansieras. Utvärdering av verksamheten bör göras efter tre år. Därtill krävs nödvändiga regeländringar (komplettering av sekretesslagen samt ändring i ÖCB:s instruktion). Statskontoret menar att indicenthantering kan indelas i tre komponenter: informationsinhämtning och delgivning (spridning) respons (de åtgärder som vidtas under en incident) incidentrapportering Statskontoret skriver att det är viktigt med samarbete med andra organisationer för incidenthantering i Sverige och internationellt. Statskontoret bedömer att en incidentrapporteringsfunktion för den statliga förvaltningen bör innehålla tre funktioner statistikenhet hjälpfunktion (helpdesk) Post- och telestyrelsen 16

18 analysfunktion Statskontoret föreslår att ÖCB i första hand koncentrerar sig på insamling och spridning av information om incidenter samt utformning av en hjälpfunktion (helpdesk). Vad gäller utformningen av analysfunktioner och andra tilläggsfunktioner hänvisar Statskontoret till att dessa frågor hanteras i Arbetsgruppen om skydd mot informationskrigföring (Ag IW). 4 IT-incidenter 4.1 Terminologi IT-incident Begreppet IT-incident har ingen entydigt definierad betydelse, men har kommit att användas för att beteckna störningar eller oönskade händelser i IT-system. Med incident avses enligt Svenska Akademins Ordlista en tillfällig händelse eller störande tilldragelse. Ordet incident har dock skilda betydelser beroende på sammanhanget. Begreppet IT-incident torde ha uppkommit därför att man sedan länge i engelskspråkiga länder använt ordet incident för att beteckna vissa typer av oönskade händelser. Begreppet IT-incident har sedan utan närmare precisering kommit att användas i Sverige i bland annat utredningar och utredningsdirektiv. I Internetsammanhang avses med incident vanligen olika slags angrepp eller förberedelser för angrepp på datorer eller datornät. FIRST (ett samarbetsorgan för organisationer för incidenthantering) beskriver exempelvis en incident som "an event that has actual or potentially adverse effects on computer or network operations resulting in fraud, waste, or abuse; compromise of information; or loss or damage of property or information. Examples include penetration of a computer system, exploitation of technical vulnerabilities, or introduction of computer viruses or other forms of malicious software". Beteckningen IT-incident används i denna rapport för händelser som drabbar eller påverkar IT-system (inklusive system för datakommunikation), eller där IT-system utnyttjas för angrepp, brott eller annan oönskad verksamhet är oönskade och oplanerade (ur ägarens, förvaltarens eller användarnas perspektiv) direkt eller indirekt medför eller kan medföra allvarliga negativa konsekvenser för ägare, användare eller andra För att en händelse ska kallas en IT-incident krävs också att påverkan på eller utnyttjande av IT-systemet är en viktig del av händelsen. Post- och telestyrelsen 17

19 Händelser som utgör steg i en händelsekedja som leder fram till en faktisk ITincident, eller som utgör förberedelser för en sådan, kan också omfattas av beteckningen. Alla sådana händelser är dock inte IT-incidenter (då skulle t.ex. anskaffning av ett datasystem kunna vara en IT-incident). Organisationer som hanterar IT-incidenter använder ofta beteckningen ITsäkerhetsincident, framför allt för sådana IT-incidenter som är angrepp. Den standard för säkerhetsterminologi som tagits fram för användning inom Internet (RFC2828 Internet Security Glossary ) använder begreppet security incident för händelser som innebär en security violation. Security violation definieras i sin tur som an act or event that disobeys or otherwise breaches security policy. I den svenska standarden SS Ledningssystem för informationssäkerhet används termen säkerhetsincident, men där med mycket vid innebörd. ITsäkerhetsincident är en avgränsning av informationssäkerhetsincident till att avse incidenter som drabbar IT-system Hot Med ett hot avses en IT-incident eller en klass av IT-incidenter som i en given situation är möjlig, dvs skulle kunna inträffa. Ordet används exempelvis då man inventerar de aktuella hoten (hotanalys, ibland också kallad riskidentifiering). Med hotbild avses alla de hot som man bedömer finns mot en viss verksamhet Konsekvens, sannolikhet och risk En IT-incident är för den drabbade en oönskad händelse som eventuellt orsakar skada. Skadorna kan i sin tur medföra konsekvenser för den drabbade. Som exempel kan en IT-incident i form av ett virusangrepp i en dator medföra att datorn inte går att utnyttja under några timmar till dess viruset rensats bort. Detta är en skada i form av ett funktionsbortfall. Funktionsbortfallet kan i sin tur medföra konsekvenser för ägaren eller användaren. Beroende på vad datorn används till kan konsekvenserna bli allt från några timmars ineffektivitet för användaren till uteblivna order för mycket stora belopp. Det kan ibland vara möjligt att bedöma eller beräkna sannolikheten för att en viss typ av IT-incident ska inträffa. I andra fall kan man åtminstone göra en grov uppskattning av sannolikheten för en viss typ eller klass av IT-incidenter. Ordet risk har flera betydelser. Med risk avses i IT-säkerhetssammanhang ofta en sammanvägning av sannolikheten för en IT-incident och de konsekvenser som incidenten kan medföra. Att risken för en viss IT-incident är hög kan då bero på att sannolikheten för incidenten är stor, medan konsekvenserna är måttliga, men den kan också bero på att sannolikheten är måttlig men konsekvenserna stora. Med denna definition är risk grovt sett ett mått på hur farlig en viss typ av ITincidenter är. Post- och telestyrelsen 18

20 Risk används också i dagligt tal för att beteckna sannolikheten för en IT-incident. Man talar då exempelvis om att risken för att drabbas av detta datavirus är mycket stor. Risk används dessutom som beteckning på ett hot - en annan risk är datavirus. Risk används i denna rapport i de två förstnämnda betydelserna. Om det är oklart vilket betydelse som avses påpekas detta särskilt. 4.2 IT-incidenter generellt Med den definition av IT-incidenter som ges ovan omfattar begreppet händelser av vitt skilda slag. Händelserna i förteckningen nedan är exempel på störningar som kan vara eller som kan leda till IT-incidenter. Händelserna är indelade i elva grupper. Avsikten med förteckningen av händelser nedan är att visa på bredden i innebörden hos begreppet. Merparten händelser beskrivs i detalj i senare avsnitt. För en detaljerad beskrivning av övriga händelser i förteckningen hänvisas till promemorian Exempel på IT-incidenter (bilaga 2). Tekniska fel och fysiska skador Avbrott i försörjningssystem (avbrott i elförsörjning, telekommunikation, kylvattenförsörjning och liknande) Tekniska fel (fel i datautrustning, utrustning för datakommunikation, operativsystem och andra stödsystem, tillämpningsprogram, kablage m.m.) Fysisk skada, stöld m.m. (brand, översvämning, vatteninströmning, avgrävning av kablar eller andra fysiska skador samt stöld av utrustning) Vandalisering, sabotage m.m. Handhavandefel m.m. Handhavandefel Fel vid service Felaktigt utvecklade, upphandlade eller införda IT-system Användarinstallerade program - program som användarna själva laddat ner och installerat i sina datorer Datavirus och trojaner Datavirus E-postvirus Maskar (program som startar kopior av sig självt i andra nätanslutna datorer) Trojaner (program med en avsiktligt dold och vanligen skadlig funktion) Webbtrojaner (program som angriper den dator som används för att ladda ner webbsidan Missbruk, intrångsförsök och dataintrång Missbruk av IT-system Portscanning (yttrar sig som försök till uppkoppling mot utvalda portar på nätanslutna datorer) Okomplicerade dataintrång Förstörande dataintrång Post- och telestyrelsen 19

21 Fjärrstyrning Avlyssning av datanät Avsiktlig störning av tillgänglighet DoS-attacker Distribuerade DoS-attacker Angrepp på DNS (omdirigering av kommunikation till en falsk adress eller server) Personalbrist IT-relaterade brott Civila informationsoperationer Aktionsgrupper Massaktioner Motattacker Bortkoppling Informationsattacker Underrättelseverksamhet Militära informationsoperationer Kvalificerade informationsoperationer Sabotage Fysiskt destruktiva informationsoperationer 4.3 IT-incidenter som innebär angrepp Angrepp I regeringens uppdrag till PTS betonas att en IT-incidenthanteringsfunktion i första hand ska hantera sådana IT-incidenter som innebär angrepp på informations- och kommunikationstekniska system och infrastruktur. Flera av de IT-incidenter som ingår i förteckningen ovan är resultatet av händelser som inte härrör ur något avsiktligt angrepp. Till sådana incidenter hör bland annat tekniska fel, handhavandefel och personalbrist. Övriga IT-incidenter i förteckningen innebär någon form av angrepp, eller åtminstone att det föreligger en avsikt bakom någon del av orsaken till händelsen. IT-incidenter som innebär angrepp innebär ofta, men inte alltid, brott mot svensk lag eller mot lag i det land som angreppet ursprungligen härrör från Riktade angrepp Vissa av IT-incidenterna är resultatet av angrepp som avsiktligt är riktade mot en eller flera myndigheter. Hit hör bland annat stöld av datorer, dataintrång, avsiktlig störning av tillgänglighet och civila informationsoperationer. Skälen för angreppen varierar. Det idag vanligaste skälet för riktade angrepp är att myndigheten har något som angriparen vill utnyttja eller komma åt. Vid dataintrång är angriparen vanligen ute efter en dator med en viss svaghet i Post- och telestyrelsen 20

22 skyddet, men kan också vara ute efter exempelvis en dator med höga prestanda eller snabb nätanslutning. Det förekommer också att det är myndigheten som är målet för angreppet. Sådana angrepp kan bland annat genomföras som dataintrång, avsiktlig störning av tillgänglighet eller civila informationsoperationer. Så kallad e-postbombning, det vill säga avsiktlig överbelastning av en myndighets e-posttjänst, är ett exempel på ett sådant angrepp. Bortkoppling, dvs utspärrning av myndigheten från hela eller delar av Internet, är en i sammanhanget något udda händelse. En myndighet kan bli bortkopplad från delar av Internet om myndigheten blir svartlistad på MAPS RBL, som är en lista över organisationer och nätverk som sprider skräppost ( spam ) på Internet. Det räcker i princip med att myndighetens e-postserver utnyttjas av någon obehörig för spridning av skräppost för att myndigheten ska riskera att hamna i MAPS RBL Slumpmässiga angrepp Andra IT-incidenter är inte i första hand riktade mot en viss myndighet. Angreppen sker till synes slumpmässigt. Ett exempel är angrepp av datavirus. Konstruktören av ett datavirus kan inte avgöra vilken spridning viruset kommer att få när det väl är lössläppt. Konstruktören kan i och för sig skriva viruset så att det bara angriper vissa typer av system, exempelvis bara datorer med ett visst operativsystem eller en viss version av ordbehandlare, men styr normalt inte vilka sådana system som drabbas, eller vilka myndigheter som kommer att drabbas. Till de angrepp som normalt är slumpmässiga hör bland annat datavirus, e- postvirus och trojaner samt vissa typer av intrångsförsök och dataintrång. 4.4 Exempel på IT-incidenter I Analys av hotbilden för IT-incidenter (bilaga 4) finns detaljerade beskrivningar av ett stort antal klasser av IT-incidenter. I hotbildsanalysen finns också riskbedömningar och exempel på motåtgärder för varje klass av IT-incidenter. 5 Hotbild 5.1 Bakgrund Hotbildsanalyser Med ett hot avses en IT-incident eller en klass av IT-incidenter som i en given situation är möjlig, dvs. skulle kunna inträffa. Med hotbild avses alla de hot som man bedömer finns mot en viss verksamhet. Post- och telestyrelsen 21

23 En uppräkning av alla tänkbara eller möjliga IT-incidenterna har i sig föga värde, eftersom den inte säger något om hur sannolika de olika hoten är. En användbar hotbildsanalys måste därför beskriva vilka hot som finns, hur sannolika de olika IT-incidenterna är och vilka konsekvenser de kan medföra Bedömning av hotbilden Det finns ingen möjlighet att exakt beskriva hotbilden för IT-incidenter, varken generellt eller för en viss organisation eller verksamhet. Många av hoten är ofullständigt kända. Hoten förändras dessutom över tiden, och förändringarna går sällan att förutse med någon precision. En bedömning av hotbilden för IT-incidenter omfattar därför många faktorer. Man måste beakta erfarenheter av upptäckta, inträffade IT-incidenter kunskaper om angripare och angreppssätt bakom inträffade IT-incidenter utvecklingen vad gäller angripare, motiv och angreppssätt tänkbara angripare som ännu inte varit aktiva eller upptäckts tänkbara angreppssätt som ännu inte utnyttjats eller upptäckts Olika hotmiljöer Hotbilden är olika för olika myndigheter. Omfattningen av myndighetens ITverksamhet och myndighetens skydd mot IT-incidenter påverkar mycket tydligt hotbilden. Den är också beroende av vilka produkter och lösningar myndigheten valt för datasystem och nät, och av kompetensen hos och resurserna för myndighetens nät- och systemadministratörer. Dessutom kan hotbilden för en myndighet påverkas av hur känd myndigheten och dess IT-verksamhet (och webbplats) är, och hur kontroversiell myndighetens verksamhet är. 5.2 Aktuell hotbild Inledning I detta avsnitt beskrivs hotbilden vad gäller IT-incidenter, särskilt sådana ITincidenter som innebär angrepp. Hotbilden vad gäller informationskrigföring och informationsoperationer diskuteras i avsnitt 5.3 nedan. En detaljerad hotbildsanalys finns i Analys av hotbilden för IT-incidenter (bilaga 4). Hotbildsanalysen beskriver den aktuella hotbilden avseende ITincidenter för datorer, datanät och datasystem. Analysen omfattar i första hand IT-incidenter som innebär angrepp. Många, men inte alla, av de analyserade hoten avser datorer och datasystem anslutna till datanät och/eller till Internet. I hotbildsanalysen beskrivs också exempel på motåtgärder för varje klass av ITincidenter. Post- och telestyrelsen 22