Nov, 2011 Risk- och sårbarhetsanalys för sektorn elektronisk kommunikation Myndighetens redovisning för 2011
Risk- och sårbarhetsanalys för sektorn elektronisk kommunikation 2011 Datum Vår referens 2011-11-11 11-10060-7
Sammanfattning Många samhällsfunktioner är beroende av att kunna utbyta information, mellan individer, organisationer och tekniska system. Sektorn elektronisk kommunikation bidrar till samhällsviktig verksamhet inom en rad områden, från hanteringen av finansiella tjänster till informationsförmedling som stöd för nationell, regional och lokal krisledning. I risk- och sårbarhetsanalysen för sektorn elektronisk kommunikation genomförs risk- och förmågebedömningar ur ett samhällsperspektiv. I detta samhällsperspektiv sätts sektorns förmåga att tillgodose samhällsviktig kommunikation i centrum, där samhällsviktig kommunikation är sådan kommunikation som stödjer samhällsviktig verksamhet utanför sektorn elektronisk kommunikation. Risk- och sårbarhetsanalysen består av en allmän beskrivning av risker tillsammans med förmågebedömningar i enlighet med MSB:s riktlinjer. Risk- och sårbarhetsanalysen visar att vissa operatörers verksamhet kan förväntas uppfylla högt ställda krav på krishanteringsförmåga och förmåga att i samhällsviktig verksamhet motstå allvarliga störningar. Andra operatörer kan förväntas uppvisa en mindre väl utvecklad krishanteringsförmåga och förmåga att motstå allvarliga störningar. Som följd av resultaten identifierar PTS flera områden där ytterligare åtgärder är önskvärda för att utveckla samhällets förmåga att motstå olika typer av störningar. En av dessa åtgärder är att genomföra en kartläggning av samhällsviktiga verksamheters beroenden av sektorn elektronisk kommunikation, liknande den som har gjorts för energisektorn i form av Styrel. Andra åtgärder som föreslås syftar till att förbättra lednings-, samverkans- och informationsförmågan inom sektorn elektronisk kommunikation, och robustheten inom sektorn. I och med att elektronisk kommunikation liksom de flesta operatörerna inom området är gränsöverskridande är internationellt samarbete av stor vikt för sektorns krishanteringsförmåga och förmåga att motstå allvarliga störningar och här ser PTS behov av ytterligare insatser.
Innehåll Sammanfattning 3 1 Övergripande beskrivning av myndigheten och dess ansvarsområde 7 1.1 PTS roll inom sektorn elektronisk kommunikation 7 1.2 PTS tolkning av uppdraget 8 1.3 PTS redovisning följer den struktur som efterfrågas i MSBFS 2010:07 10 2 Övergripande beskrivning av arbetsprocess och metod 12 2.1 PTS arbetsprocess för riskbedömning 12 2.1.1 Riskbedömningen grundas i en systemmodell av sektorn elektronisk kommunikation som består av kritiska resurser 13 2.1.2 PTS identifiering av hot och sårbarheter utgår från en rad aktiviteter som kopplas till myndighetens sektorsansvar 14 2.2 PTS metod och process för arbete med allmänna och särskilda förmågebedömningar 16 2.3 Det är möjligt att utveckla processer och metoder för att ytterligare förbättra underlag och slutsatser 17 3 Övergripande beskrivning av identifierad samhällsviktig verksamhet inom myndighetens ansvarsområde 20 3.1 Om den svenska marknaden för elektronisk kommunikation 20 3.2 Den samhällsviktiga verksamheten inom sektorn kan relateras till sektorns förmåga att tillgodose behov av samhällsviktig kommunikation 21 3.3 Exempel på samhällsviktig verksamhet inom sektorn elektronisk kommunikation 23 4 Identifierade och värderade hot, risker och sårbarheter samt kritiska beroenden inom myndighetens ansvarsområde 25 4.1 Analysen av hot, sårbarheter och risker utgår från en systemmodell 26 4.2 Ett stort antal hot kan påverka sektorns förmåga att stödja samhällsviktig kommunikation 30 4.3 Sårbarheter relateras till kritiska resurser, processer och beroenden 32 4.3.1 Det finns ett antal sårbarheter hos sektorns kritiska resurser 32 4.3.2 Sårbarheter kopplade till kritiska processer kan leda till att sektorns förmåga att stödja samhällsviktig kommunikation minskar 34 4.3.3 Sårbarheter kopplade till kritiska påverkansfaktorer och beroenden 36 4.4 Kontrollfunktioner i form av kritiska processer och påverkansfaktorer och upphandling av robusthetshöjande åtgärder bidrar till att förbättra sektorns förmåga att stödja samhällsviktig kommunikation 37 4.4.1 Reglering påverkar kritiska resurser och processer inom sektorn elektronisk kommunikation 38 4.4.2 Operatörnas förebyggande arbete och ledningsfunktioner påverkar sektorns förmåga att motstå och hantera störningar 41 4.4.3 Användare av elektroniska kommunikationsnät och kommunikationstjänster kan med sina värderingar påverka den sammanlagda förmågan att bedriva samhällsviktig verksamhet 41 4.4.4 Staten kan genom privat-offentlig samverkan förbättra robustheten i nät för elektronisk kommunikation 42 4.5 Riskbeskrivningar kopplade till sektorns förmåga att stödja samhällsviktig kommunikation 42 5 Övergripande beskrivning av viktiga resurser som sektorn kan disponera för att motstå allvarliga störningar och hantera kriser 46 5.1 Nationella telesamverkansgruppen stödjer återställandet av nationell kommunikationsinfrastruktur genom samverkan 46
5.2 PTS förfogar över krisroamingkort som kan användas för samhällsviktiga funktioner vid svåra störningar i de mobila kommunikationsnäten 47 5.3 Gemensam lägesuppfattning är ett viktigt verktyg för att reducera störningar inom sektorn och samhället 48 5.4 Webbtjänsten www.ledningskollen.se syftar till att minska risken för avgrävning av kritisk infrastruktur 49 6 Bedömning av förmågan inom myndighetens ansvarsområde att motstå och hantera identifierade hot och risker 50 6.1 PTS tolkning och behandling av indikatorer på förmågan att motstå och hantera identifierade hot och risker 50 6.2 Bedömning av enskilda indikatorer 52 6.2.1 Förmågan till ledning, samverkan och information varierar bland sektorns operatörer 53 6.2.2 Sektorns förmåga avseende informationssäkerhet är huvudsakligen god men med vissa brister 55 6.2.3 Sektorns förmåga inom larm och omvärldsbevakning bedöms vara god med viss brist 56 6.2.4 Bedömningen av sektorns behov och hantering av materiella resurser innehåller stor variation 57 6.2.5 Bedömningen av sektorns behov av personella resurser innehåller också stor variation 60 6.2.6 Förmågan inom säkerhet och robusthet i samhällsviktig infrastruktur 62 6.2.7 Tillgången till reservkraft varierar mellan nätdelar, nättyper och operatörer 63 6.2.8 Möjlighet att flytta samhällsviktiga verksamheten till annan plats varierar 64 6.3 Redovisning av bedömning av krishanteringsförmågan 64 6.4 Redovisning av förmågan att i samhällsviktig verksamhet motstå allvarliga störningar 65 7 Särskild förmågebedömning enligt förutsättningar som Myndigheten för samhällsskydd och beredskap beslutar 67 7.1 Förmågebedömning vid störningar i elförsörjningen 67 7.1.1 Bedömning av sektorns förmåga avseende materiella resurser68 7.1.2 Bedömning av sektorns förmåga avseende personella resurser68 7.1.3 Bedömning av praktisk erfarenhet 69 7.1.4 Bedömning av säkerhet och robusthet i samhällsviktig infrastruktur och tillgången till reservkraft 69 7.1.5 Sammanlagd bedömning av krishanteringsförmågan i det aktuella scenariot 71 7.1.6 Sammanlagd bedömning av förmågan att i samhällsviktig verksamhet motstå allvarliga störningar i det aktuella scenariot 72 7.2 Sektorns förmåga vid kärnteknisk olycka 73 7.2.1 Bedömning av sektorns förmåga avseende ledning, samverkan och information 73 7.2.2 Bedömning av sektorns förmåga avseende materiella resurser73 7.2.3 Bedömning av sektorns förmåga avseende personella resurser74 7.2.4 Bedömning av praktisk erfarenhet 74 7.2.5 Redovisning av bedömning av krishanteringsförmågan i det aktuella scenariot 74 7.2.6 Redovisning av förmågan att i samhällsviktig verksamhet motstå allvarliga störningar i det aktuella scenariot 75 8 Planerade och genomförda åtgärder, samt en bedömning av behov av ytterligare åtgärder med anledning av risk- och sårbarhetsanalysens resultat 78 8.1 PTS har genomfört åtgärder för att stärka sektorns krishanteringsförmåga och förmågan att motstå allvarliga störningar 78
8.1.1 Genomförda åtgärder som förbättrat lednings-, samverkansoch informationsförmågan inom sektorn elektronisk kommunikation 79 8.1.2 Genomförda åtgärder som förbättrat eller syftar till att förbättra säkerheten och robustheten i samhällsviktig infrastruktur 80 8.1.3 Genomförda åtgärder som syftar till att stärka informationssäkerheten 81 8.1.4 Genomförda åtgärder som har förbättrat eller kan förbättra tillgången till reservkraft 82 8.1.5 Genomförda åtgärder som förbättrat tillgången till materiella resurser 83 8.1.6 Genomförda åtgärder som förbättrat tillgången till utbildad och övad personal inom och utanför sektorn 83 8.2 PTS planerar att genomföra åtgärder för att förbättra krishanteringsförmågan och förmågan att motstå allvarliga störningar 84 8.2.1 Planerade åtgärder som förbättrar lednings-, samverkans- och informationsförmågan inom sektorn elektronisk kommunikation 84 8.2.2 Planerade åtgärder som syftar till att förbättra säkerheten och robustheten i samhällsviktig infrastruktur 85 8.2.3 Planerade åtgärder som syftar till att stärka informationssäkerheten 85 8.2.4 Planerade åtgärder som kan förbättra tillgången till reservkraft86 8.2.5 Planerade åtgärder som syftar till att förbättra tillgången till utbildad och övad personal inom och utanför sektorn 86 8.3 Risk- och sårbarhetsanalysen visar på behov av ytterligare åtgärder och utredningar inom sektorn elektronisk kommunikation 87 Huvudsakliga förändringar från myndighetens risk- och sårbarhetsanalys från 2010 94
1 Övergripande beskrivning av myndigheten och dess ansvarsområde Marknaden för elektronisk kommunikation är en avreglerad marknad med ett stort antal operatörer som tillhandhåller elektroniska kommunikationsnät och kommunikationstjänster. På marknaden gäller lagen (2003:389) om elektronisk kommunikation. Lagen är baserad på EU-direktiv och EU-kommissionen följer implementering och tillämpning av lagen. I denna risk- och sårbarhetsanalys redovisas bedömningar av risker, hot och sårbarheter samt kritiska beroenden för sektorn elektronisk kommunikation tillsammans med förmågebedömningar som relateras till sektorns förmåga att stödja samhällsviktig verksamhet. Detta kapitel inleds med en översikt av PTS roll inom sektorn elektronisk kommunikation. Denna översikt kompletteras av en beskrivning av det sätt som PTS tolkar förordning och författning kring myndighetens redovisning av risk- och sårbarhetsanalyser. Kapitlet avslutas med en beskrivning av innehållet i risk- och sårbarhetsanalysen för sektorn elektronisk kommunikation. 1.1 PTS roll inom sektorn elektronisk kommunikation Post- och telestyrelsen (PTS) är förvaltningsmyndighet med ett samlat ansvar inom postområdet och området för elektronisk kommunikation. PTS är en myndighet under Näringsdepartementet. Riksdag och regering styr PTS genom lagar, förordningar, regleringsbrev 1 och instruktion 2 samt genom särskilda regeringsuppdrag. PTS vision är att alla i Sverige ska ha tillgång till effektiva, prisvärda och säkra kommunikationstjänster. PTS har fyra övergripande mål: långsiktig konsumentnytta, långsiktigt hållbar konkurrens, effektivt resursutnyttjande och säker kommunikation. Marknaden för elektronisk kommunikation är avreglerad med ett stort antal operatörer som tillhandhåller elektronisk kommunikation. På marknaden gäller lagen (2003:389) om elektronisk kommunikation (LEK). Lagen är baserad på EU-direktiv och EU-kommissionen följer implementering och tillämpning av lagen. 1 PTS regleringsbrev för 2011, N2010/7970/ITP, N2010/8200/KLS (delvis). 2 Förordning (2007:951) med instruktion för Post- och telestyrelsen. Post- och telestyrelsen 7
För att främja tillgången till säkra allmänna elektroniska kommunikationsnät och -tjänster arbetar PTS med förebyggande åtgärder, krishantering samt kontrollerande och uppföljande åtgärder. När samhället ställer högre krav än vad marknaden tillgodoser kan PTS finansiera robusthetshöjande åtgärder som syftar till att skydda elektronisk kommunikation mot allvarliga hot och påfrestningar i fredstid. PTS har som sektorsmyndighet vissa uppgifter enligt förordningen (2006:942) om åtgärder för krisberedskap och höjd beredskap. PTS ska i enlighet med förordningen bland annat planera och vidta åtgärder för att skapa förmåga att hantera en kris och för att förebygga sårbarheter och motstå hot och risker. Ytterligare beskrivningar av PTS verksamhet inom sektorn och som har koppling till sektorns förmåga att motstå allvarliga störningar och hantera kriser görs också i senare kapitel av risk- och sårbarhetsanalysen. 1.2 PTS tolkning av uppdraget Förordningen (2006:942) om krisberedskap och höjd beredskap (krisberedskapsförordningen) innehåller föreskrifter om statliga myndigheters risk- och sårbarhetsanalyser och hur de ska redovisas. Enligt 9 krisberedskapsförordningen ska alla statliga myndigheter i syfte att stärka sin egen och samhällets krisberedskap årligen analysera om det finns sådan sårbarhet och sådana hot och risker inom myndighetens ansvarsområde som synnerligen allvarligt kan försämra förmågan till verksamhet inom området. Myndigheten för samhällsskydd och beredskaps författning MSBFS 2010:07 innehåller ytterligare detaljer kring denna redovisning. PTS tolkning av den kompletterande författningen är att myndigheten förväntas redovisa en risk- och sårbarhetsanalys dels utgående från PTS roll som sektorsmyndighet med ett övergripande ansvar för sektorn elektronisk kommunikation, dels för myndighetens egna verksamhet. 3 I denna risk- och sårbarhetsanalys redovisas därför bedömningar av risker, hot och sårbarheter samt kritiska beroenden relaterade till det första perspektivet och omfattar därmed sektorn elektronisk kommunikation. 4 Författningen och de där ingående förmågebedömningarna är inte alltid anpassade för en redovisning av sektorn elektronisk kommunikations krishanteringsförmåga och förmåga att motstå allvarliga störningar, vilket gör det nödvändigt för PTS att anpassa delar av innehållet på det sätt som beskrivs i Tabell 1. 3 En kompletterande förmågebedömning hörande till PTS myndighetsutövning biläggs denna redovisning (PTS dnr 11-10060-11). 4 Sektorn elektronisk kommunikation relateras enligt LEK till allmänt tillgängliga kommunikationsnät och kommunikationstjänster. Närmare beskrivningar av de tjänster och nät som omfattas av LEK och därmed avgränsningen för risk- och sårbarhetsanalysen framgår av rapporten Vilka tjänster och nät omfattas av LEK? En vägledning, PTS-ER-2009:12. Post- och telestyrelsen 8
Tabell 1 Det innehåll som efterfrågas i författningen MSBFS 2010:07 behöver till viss del anpassas för att bättre överensstämma med sektorns verksamhet. Kapitelindelningen följer punktindelningen i MSBFS 2010:07. Kapitel PTS tolkning och behov av anpassning 3 Författningen MSBFS 2010:07 efterfrågar en övergripande beskrivning av samhällsviktig verksamhet inom sektorn för elektronisk kommunikation. PTS anser att den samhällsviktiga verksamheten relateras till sektorns förmåga att stödja samhällsviktig verksamhet inom andra sektorer enligt beskrivningen i kapitel 3. 4 och 6 Den information som efterfrågas i kapitel 6 överlappar till stor del de bedömningar som redovisas i kapitel 4. En del av den information som ingår i kapitel 4 upprepas därför inte i kapitel 6. 5 MSBFS 2010:07 efterfrågar en övergripande beskrivning av viktiga resurser som myndigheten kan disponera för att motstå allvarliga störningar och hantera risker. Inom sektorn elektronisk kommunikation råder i stort en likhetsprincip där samma resurser i stor utsträckning kan förväntas användas för att möjliggöra samhällsviktig kommunikation vid kriser och allvarliga händelser som för vardagens kommunikation. Redovisningen i kapitel 5 görs därför ur ett övergripande sektorsperspektiv och beskriver viktiga resurser som sektorn som helhet kan disponera för att motstå allvarliga störningar och hantera kriser. 6 I MSBFS 2010:07 efterfrågas en redovisning av identifierade och värderade hot, risker och kritiska beroenden inom myndighetens ansvarsområde. PTS tolkar denna redovisning i enlighet med den definition av begreppet riskbedömning som ingår i SS-ISO 31000:2009 där riskbedömning definieras som en övergripande process för riskidentifiering, riskanalys och riskutvärdering. Riskutvärderingen sker som del i kapitel 8. 6 och 7 (a) I MSBFS 2010:07 efterfrågas förmågebedömningar kopplade till två delförmågor med tillhörande indikatorer. Vissa av de indikatorer som anges i MSBFS 2010:07 är inte relevanta för att beskriva sektorn elektronisk kommunikations förmåga att motstå och hantera identifierade hot och risker och andra måste tolkas på lämpligt sätt. Avsnitt 6.1 innehåller en närmare beskrivning av behandlingen av de indikatorer som används i kapitlen 6 och 7. (b) I den särskilda förmågebedömningen för 2011 anges tre scenarier: generell förmågebedömning, störningar i elförsörjningen samt kärnteknisk olycka. PTS har, efter kontakt med MSB, valt att redovisa den särskilda förmågebedömningen Post- och telestyrelsen 9
Kapitel PTS tolkning och behov av anpassning som gäller generell förmåga som del i den allmänna värderingen i kapitel 6. Denna förmågebedömning benämns härefter allmän förmågebedömning. (c) De särskilda förmågebedömningarna som gäller störningar i elförsörjning och kärnteknisk olycka redovisas i kapitel 7. (d) Den allmänna förmågebedömningen innehåller till del indikatorer som går utöver de som beskrivs i MSBFS 2010:07. I andra fall saknas indikatorer som anges i författningen. PTS har valt att i huvudtexten följa MSBFS 2010:07, med de förbehåll som anges i avsnitt här och i avsnitt 6.1. 5 (e) Den allmänna förmågebedömningen och förmågebedömningarna kring störningar i elförsörjningen samt kärnteknisk olycka biläggs denna risk- och sårbarhetsanalys på därför avsedda blanketter. I huvudtexten har de bedömningar som redovisas i de bilagda förmågebedömningarna bearbetats innehållsmässigt för att passa framställningen i huvudtexten. I tolkningen av resultaten har bilagorna företräde då dessa har genomgått remiss bland utvalda operatörer på det sätt som beskrivs i avsnitt 2.2. 1.3 PTS redovisning följer den struktur som efterfrågas i MSBFS 2010:07 PTS redovisar risk- och sårbarhetsanalysen utgående från den struktur och det innehåll som efterfrågas i MSBFS 2010:07 och den särskilda förmågebedömningen med de förbehåll som framgår av Tabell 1. Kapitel 1 ger därför en övergripande beskrivning av PTS roll som sektorsmyndighet och det sätt som författningen MSBFS 2010:07 tolkats och anpassats för att avspegla förhållandena inom sektorn elektronisk kommunikation. Det följande kapitlet, kapitel 2, sammanfattar den arbetsmetod och process som PTS har använt för att genomföra risk- och sårbarhetsanalysen. Här presenteras en aggregerad modell av sektorns verksamhet för att närmare beskriva tekniska och andra beroenden inom och utanför sektorn. Kapitel 3 relaterar verksamheten inom sektorn elektronisk kommunikation till samhällsviktig verksamhet utgående från denna modell. Kapitel 4 innehåller en diskussion kring identifierade och värderade hot, risker och sårbarheter samt kritiska beroenden inom myndighetens ansvarsområde som i kapitel 5 kompletteras av en beskrivning av resurser inom sektorn som 5 Det är önskvärt att MSB tillser att författningen och de särskilda förmågebedömningarna i framtiden ensas på ett bättre sätt för att undvika de tolkningsproblem som uppstår vid hanteringen av årets förmågebedömningar. Post- och telestyrelsen 10
kan användas för att motstå allvarliga kriser och hantera allvarliga störningar. Kapitlen 6 och 7 innehåller bedömningar av sektorns krishanteringsförmåga och förmåga att i samhällsviktig verksamhet motstå allvarliga störningar dels ur ett övergripande perspektiv, dels ur ett scenariobaserat perspektiv utgående från kärnteknisk olycka och störning i elförsörjningen. Risk- och sårbarhetsanalysen avslutas i kapitel 8 med en sammanfattning av planerade och genomförda åtgärder tillsammans med en bedömning av behov av ytterligare åtgärder. I en bilaga redovisas de huvudsakliga förändringar som inarbetats i 2011 års risk- och sårbarhetsanalys jämfört med föregående års redovisning dels för att underlätta den vidare behandlingen av risk- och sårbarhetsanalysen, dels för att tydliggöra de huvudsakliga skillnader i bedömningar som myndigheten gör från år till år. Post- och telestyrelsen 11
2 Övergripande beskrivning av arbetsprocess och metod Risk- och sårbarhetsanalysen består av en allmän värdering av risker tillsammans med förmågebedömningar. Riskvärderingen utgår från en vedertagen process där hot, sårbarheter och kontrollfunktioner analyseras med utgångspunkt i en systemmodell. Systemmodellen i sig definierar avgränsningen för riskbedömningen och är avsedd att inkludera alla aspekter som på något sätt är betydelsefulla för att definiera och värdera hot, sårbarheter, kritiska beroenden och risker inom sektorn elektronisk kommunikation. En kvalitativ metod används för att värdera risker. I förmågebedömningarna har PTS samrått med personer med bred kunskap om och lång erfarenhet från sektorn elektronisk kommunikation och representanter ingående i Nationella telesamverkansgruppen. PTS ser det som möjligt att utveckla de processer och metoder för att ytterligare förbättra kvaliteten i de slutsatser som dras. I risk- och sårbarhetsanalysen ingår dels en allmän riskbedömning för sektorn elektronisk kommunikation, dels förmågebedömningar kopplade till två scenarier och en allmän förmågebedömning. Riskbedömningen och förmågebedömningarna har utnyttjat olika arbetsprocesser och metoder inom ramen den arbetsprocess som ingår i KBM:s vägledning för risk- och sårbarhetsanalyser. 6 Figur 1 Beskrivningen av PTS arbetsprocess för arbete med risk- och sårbarhetsanalysen. Den riskbedömningsprocess, där riskidentifiering och riskvärdering ingår, beskrivs närmare i avsnitt 2.1. Motsvarande process och metod för den allmänna och de särskilda förmågebedömningarna redovisas i avsnitt 2.2. I avsnitt 2.3 förs en diskussion kring kvaliteten på det underlag som används för riskvärdering och förmågebedömningar samt i vilken utsträckning slutsatserna avspeglar sektorns faktiska förmåga. 2.1 PTS arbetsprocess för riskbedömning Det har utvecklats flera processer för riskbedömningar genom åren även om de enskilda processerna ofta har stora likheter. PTS har i risk- och sårbarhetsanalysen valt att följa de rekommendationer kring riskhantering för IT-system 6 Risk- och sårbarhetsanalyser, Vägledning för statliga myndigheter, 2006:4. Post- och telestyrelsen 12
som utvecklats av National Institute of Standards and Technology (NIST). 7 Processen följer ett logiskt flödesschema enligt Figur 2. Figur 2 Den av PTS använda processen innehåller ett antal steg som tillsammans liknar delar av den standardiserade riskhanteringsprocessen SS-ISO 31000:2009 (anpassad från SP 800-30). Det huvudsakliga motivet för PTS val är att NISTs rekommendationer tydliggör kontrollfunktioneras betydelse. Exempel på sådana kontrollfunktioner är aktörernas nätövervaknings- och krisledningsfunktioner vilka är en viktig del av verksamheten inom sektorn elektronisk kommunikation och i stor utsträckning påverkar sektorns sammanlagda krishanteringsförmåga och förmåga att i samhällsviktig verksamhet motstå allvarliga störningar. I de följande avsnitten beskrivs PTS arbete i de enskilda stegen i processen där de två första stegen om identifieringen av hot och sårbarheter beskrivs samlat. 2.1.1 Riskbedömningen grundas i en systemmodell av sektorn elektronisk kommunikation som består av kritiska resurser 8 I det första steget av riskbedömningen etableras en systemmodell som beskriver gränserna för systemet, tillsammans med de resurser som på olika sätt bidrar till sektorns förmåga. Systemmodellen i sig definierar avgränsningen 7 Risk Management Guide for Information Technology Systems, SP 800-30. 8 Den systemmodell som beskrivs här är en övergripande beskrivning som görs mer detaljerad i kapitel 4 där också begreppen kritiska påverkansfaktorer, processer, resurser och beroenden definieras. Post- och telestyrelsen 13
för riskbedömningen och är avsedd att inkludera alla aspekter som på något sätt är betydelsefulla för att definiera och värdera hot, sårbarheter, kritiska beroenden och risker. I systemmodellen beskrivs samspelen mellan samhällsviktig verksamhet, sektorn elektronisk kommunikation och andra faktorer som utövar inflytande eller påverkan på sektorn elektronisk kommunikation. Figur 3 Sektorn elektronisk kommunikation stödjer samhällsviktig verksamhet utgående från kritiska processer, resurser och beroenden och tillhörande påverkansfaktorer. 9 2.1.2 PTS identifiering av hot och sårbarheter utgår från en rad aktiviteter som kopplas till myndighetens sektorsansvar PTS har som sektorsmyndighet ett ansvar för att samhällets behov av allmänt tillgänglig elektronisk kommunikation tillgodoses och ett uppdrag att vidta åtgärder för att förebygga och motverka sårbarhet inom sitt sektorsområde. Enligt 11 förordning (2006:942) om åtgärder för krisberedskap och höjd beredskap ska PTS också planera och vidta åtgärder för att skapa förmåga att hantera en kris och för att förebygga sårbarheter och motstå hot och risker. Den arbetsprocess och de metoder som PTS använt för denna risk- och sårbarhetsanalys kopplas därmed till myndighetens ordinarie arbete snarare än en separat arbetsprocess. PTS arbetar på flera sätt för att kartlägga risker och hot som på olika sätt kan påverka sektorns förmåga att tillgodose användarnas samlade kommunikationsbehov. De verksamheter som främst utgör underlag för denna risk- och sårbarhetsanalys är: 9 Bilden har anpassats från MSB:s presentation den nationella strategin för skydd av samhällsviktig verksamhet vid en workshop 15 februari 2011, bild 48. Post- och telestyrelsen 14
PTS arbete med robust kommunikation och dialog med operatörer inom och utanför sektorn PTS föreskrifts- och tillsynsverksamhet som utgår från lagen om elektronisk kommunikation Övningar som syftar till att stärka sektorns förmåga att genom samverkan mellan operatörer hantera allvarliga och omfattande avbrott och störningar Nationella och internationella händelser med betydande påverkan på elektroniska kommunikationsnät och kommunikationstjänster Internationella kontakter med myndigheter och organisationer vars verksamhet påverkar sektorn elektronisk kommunikation I PTS arbete med robust kommunikation ingår att kontinuerligt analysera och värdera sektorns förmåga att tillgodose behov av samhällsviktig kommunikation. Myndigheten bedriver också allmän omvärldsbevakning inom området och har också drivit projekt inom EPCIP. 10 I arbetet med denna risk- och sårbarhetsanalys har också tidigare utredningar samt annat bakgrundsmaterial som bedömts ha relevans för frågeställningarna ingått. PTS bedriver också planlagd tillsynsverksamhet kring hur bestämmelserna av lagen om elektronisk kommunikation avseende driftsäkerhet och skydd av information efterlevs som komplement till myndighetens händelsestyrda tillsynsverksamhet föranledd av inträffade händelser. 11 Denna tillsynsverksamhet ger information som ingår i PTS identifiering och värdering av risker och hot samt kritiska beroenden. PTS genomför regelbundet övningar för att öka sektorns förmåga att hantera större kriser och extraordinära händelser, så att konsekvenserna för hela samhället minimeras. Målgruppen för utbildningar och övningar är individer och företag eller organisationer inom sektorn. 12 PTS har ambitionen att vartannat år genomföra en större sektorsövergripande krisledningsövning där fokus ligger på att förbättra samverkan såväl inom sektorn som med andra sektorer och operatörer. En modell har utvecklats för att med hjälp av sektorsövningar mäta sektorns krishanteringsförmåga och resultaten av övningar och mätningar från sektorsövningar påverkar PTS identifiering och värdering av risker, hot samt kritiska beroenden. Även sektorsövergripande övningar, särskilt övningar som anordnas av elsektorn och samverkansövningar (SAMÖ) som MSB arrangerar, används på samma sätt som utgångspunkter. Risk- och sårbarhetsanalysen tillvaratar också erfarenheter från tidigare inträffade störningar. Nationella exempel är stormen Per i januari 2007, stormen Gudrun i januari 2005, det stora teleavbrottet i södra Sverige 2003, teleav- 10 European Programme for Critical Infrastructure Protection. 11 Tillsynsverksamheten samt närmare beskrivningar av bestämmelser som har koppling till risk- och sårbarhetsanalysen redovisas i kapitel 4. 12 Övningar och utbildningar beskrivs närmare i kapitel 4 och 8 Post- och telestyrelsen 15
brottet i Uppsala den 2 oktober 2002 och tunnelbränderna i Kista 2001 och 2002. På det internationella planet har terrorattacken i London 2005, bombdådet i Madrid 2004, orkanen Katrina 2005, isstormen i Kanada 1998 samt elavbrottet i Auckland, Nya Zeeland samma år givit ytterligare erfarenheter. Hanteringen av askmolnet är ett ytterligare exempel på en allvarlig händelse där kommunikation har varit ett viktigt hjälpmedel för att sprida information mellan de som på olika sätt drabbades. Efter jordskalvet utanför Japan och den resulterande tsunamin var sociala medier och andra kommunikationsformer viktiga för att sprida information, förhållanden som också beaktats i risk- och sårbarhetsnalysen. Internet visade här sin robusthet mot störningar medan mobila kommunikationsnät var hårt drabbade. 13 Risk- och sårbarhetsanalysen har även beaktat de på senare år inträffade avsiktliga eller oavsiktliga störningar av logiska system, exempelvis attacker mot routingfunktionen för IP-baserad samtrafik, attacker mot domännamnssystemet (DNS) samt överbelastningsattacker. PTS samråder också kontinuerligt med svenska, utländska och internationella myndigheter och organisationer som på olika sätt har koppling till sektorn för elektronisk kommunikation. Exempel på sådana myndigheter och organisationer är andra regulatoriska myndigheter,standardiseringsorgan, EU-kommissionen och EU-organet ENISA. 14 2.2 PTS metod och process för arbete med allmänna och särskilda förmågebedömningar MSB efterfrågar i MSBFS 2010:7 bedömningar av sektorn elektronisk kommunikations förmåga att motstå och hantera identifierade hot och risker utgående från två delförmågor: 15 Krishanteringsförmåga: Med krishanteringsförmåga avses att det inom verksamhets- eller ansvarsområdet ska finnas en förmåga att vid allvarliga störningar leda den egna verksamheten, fatta beslut inom eget verksamhets- eller ansvarsområde, sprida snabb, korrekt och tillförlitlig information och vid behov kunna samverka med andra operatörer. Det ska finnas en förmåga att snarast påbörja åtgärder för att hantera eller medverka i hanteringen av konsekvenserna av inträffade händelser, genomföra de åtgärder som krävs för att avhjälpa, skydda och lindra effekterna av det inträffade. Förmågan i samhällsviktig verksamhet att motstå allvarliga störningar: Förmågan att i samhällsviktig verksamhet motstå allvarliga störningar innebär att det ska finnas en förmåga att motstå allvarliga störningar så att verksamheten kan bedrivas på en sådan 13 Se: http://www.electronicsnews.com.au/news/japans-2011-earthquake-and-tsunami--communication. 14 European Network and Information Security Agency 15 Vägledning för risk- och sårbarhetsanalyser, sid. 77. Post- och telestyrelsen 16
nivå att samhället fortfarande kan fungera, samtidigt som en grundläggande service, trygghet och omvårdnad ska säkerställas. PTS har agerat sammanhållande för arbetet med den särskilda förmågebedömningen för sektorn elektronisk kommunikation. Den metod som PTS använt kan betraktas som en brainstormingmetod 16 utgående från den struktur som ges i underlaget för förmågebedömningarna. PTS har inledningsvis samlat en referensgrupp med bred kunskap om och lång erfarenhet från sektorn elektronisk kommunikation och under en workshop diskuterat frågeställningarna utifrån angivna scenarier. Denna workshop resulterade i en första version av den allmänna förmågebedömningen som efter uppföljning inom referensgruppen tillställdes representanter ingående i Nationella telesamverkansgruppen. Synpunkter som inkommit till PTS från dessa representanter har inarbetats i den slutgiltiga utgåvan av bedömningarna som redovisas här och i den bifogade allmänna förmågebedömningen enligt mallen. 2.3 Det är möjligt att utveckla processer och metoder för att ytterligare förbättra underlag och slutsatser I risk- och sårbarhetsanalysen ingår flera olika typer av bedömningar: I kapitel 4 görs riskbedömningar för sektorn elektronisk kommunikation utgående från identifierade hot, sårbarheter och kontrollfunktioner Kapitel 6 kompletterar den allmänna förmågebedömningen med riskbedömningar från kapitel 4 för att ge en sammanvägd bild av sektorns förmåga utgående från de i MSBFS 2010:07 fastställda kriterierna Kapitel 7 innehåller scenariobaserade bedömningar av sektorn elektronisk kommunikations krishanteringsförmåga och förmåga att i samhällsviktig verksamhet motstå allvarliga störningar Till sådana bedömningar kan ett antal frågor ställas som på olika sätt karaktäriserar hur väl risk- och förmågebedömningarna kan förväntas avspegla sektorns verkliga förmåga att motstå och hantera kända och okända hot: Vilka källor till osäkerhet finns i de slutgiltiga bedömningarna? I vilken utsträckning kan de slutsatser som dras påverkas av osäkerheter? 16 Se bilaga B.1 i SS-EN 31010. Post- och telestyrelsen 17
Hur kan PTS arbete med risk- och sårbarhetsanalyser utvecklas för att minska osäkerheter i myndighetens framtida arbete med riskoch sårbarhetsanalyser? De huvudsakliga källorna till osäkerhet för riskbedömningen som efterfrågas i kapitel 4, den allmänna förmågebedömningen som redovisas i kapitel 6 och de särskilda förmågebedömningarna i kapitel 7 är, enligt PTS bedömning: Fullständigheten i de uppräknade hoten och sårbarheterna: Riskbedömningen utgår från beskrivningar av hot och sårbarheter. I det fall ett hot eller en sårbarhet inte finns angivet, kan beskrivningar av risker bli ofullständig. Karaktäriseringen av konsekvenser: För att beskriva sektorn elektronisk kommunikations förmåga att motstå och hantera identifierade hot och risker måste konsekvenserna relateras till samhällsviktig verksamhet utanför sektorn. 17 Sådana karaktäriseringar bör baseras på värderingar av olika samhällsviktiga användares beroende av elektronisk kommunikation och på vilket sätt olika former av störningar påverkar denna samhällsviktiga verksamhet negativt. 18 Hantering av olikheter inom sektorn: Den diversifierade strukturen inom sektorn elektronisk kommunikation gör att vissa operatörers verksamhet kan förväntas uppfylla högt ställda krav på robusthet med god förmåga att hantera kriser och motstå allvarliga störningar. Andra operatörer kan förväntas uppvisa en mindre utvecklad krishanteringsförmåga och förmåga att motstå allvarliga störningar. Det är inte självklart hur dessa förhållanden kan avspeglas som delar av ett sammanvägt svar som representerar sektorns sammanlagda förmåga. 19 Skattning av sannolikheter: Den konsekvens som ingår i bedömningen av enskilda risker är beroende av skattningar av sannolikheten att ett visst givet hot aktiveras. Dessa skattningar är i större eller mindre omfattning osäkra. Bedömningar av hotbilder för antagonistiska hot ingår inte som del i PTS huvudsakliga verksamhet. 20 Livslängden för riskbedömningar: Riskbedömningar utgår från en systemmodell och underliggande skattningar av systemegenskaper 17 Denna diskussion utvecklas i kapitel 3. 18 Karaktäriseringen av konsekvenser för störningar inom sektorn elektronisk kommunikation ingår som del övriga myndigheters, länsstyrelsers och kommuners risk- och sårbarhetsanalyser. 19 PTS har i förmågebedömningarna använt intervall för att beskriva variationen bland sektorns aktörer. 20 Exempelvis har PTS svårt att uppskatta sannolikheten att en antagonist initierar elektromagnetisk störning riktad mot mobila kommunikationsnät. Post- och telestyrelsen 18
som har begränsad livslängd. Denna livslängd kopplas till en rad olika faktorer som: - samhällsviktiga användares val av tjänstetillhandahållare, - teknikskiften där sektorn elektronisk kommunikation genomför investeringar i ny kommunikationsinfrastruktur, och - statliga investeringar som genomförs för att förbättra sektorns förmåga att hantering kriser och allvarliga störningar. Av diskussionen ovan drar PTS i dagsläget slutsatsen att de sammanlagda osäkerheterna gör att kvantitativa eller graderade kvalitativa riskbedömningar skulle innehålla sådana osäkerheter att resultaten kan misstolkas. PTS ser det som möjligt att utveckla de processer och metoder för att förbättra kvaliteten i de slutsatser som dras. 21 21 PTS ser denna analys som ett område där risk- och sårbarhetsanalysen kan förbättras. I kapitel 8 beskrivs förslag på åtgärder som kan förbättra hanteringen av osäkerheter i framtida risk- och sårbarhetsanalyser. Post- och telestyrelsen 19
3 Övergripande beskrivning av identifierad samhällsviktig verksamhet inom myndighetens ansvarsområde Sektorn elektronisk kommunikation består av knappt 500 operatörer. Bland dessa operatörer återfinns multinationella företag som erbjuder ett stort antal kommunikationstjänster i ett flertal länder såväl som mindre operatörer som erbjuder en mer begränsad mängd tjänster inom ett avgränsat geografiskt område. I risk- och sårbarhetsanalysen för sektorn elektronisk kommunikation sker riskoch förmågebedömningar ur ett samhällsperspektiv där sektorns förmåga att tillgodose samhällsviktig kommunikation sätts i centrum. Med samhällsviktig kommunikation menas här sådan kommunikation som stödjer samhällsviktig verksamhet utanför sektorn elektronisk kommunikation. Sektorn elektronisk kommunikation stödjer samhällsviktig kommunikation inom hälso- och sjukvård, skydd och säkerhet, offentlig förvaltning och ett flertal andra samhällsviktiga verksamheter. I det här kapitlet beskrivs den samhällsviktiga verksamheten inom sektorn elektronisk kommunikation utgående från ett användarperspektiv. Denna beskrivning ligger till grund för värderingen av risker, sårbarheter och kritiska beroenden i senare delar av denna risk- och sårbarhetsanalys. Kapitlet inleds i avsnitt 3.1 med en översikt av den svenska marknaden för elektronisk kommunikation. I avsnitt 3.2 beskrivs PTS utgångspunkt för identifieringen av samhällsviktig verksamhet inom sektorn som i avsnitt 3.3 konkretiseras med exempel. 3.1 Om den svenska marknaden för elektronisk kommunikation Den svenska marknaden för elektronisk kommunikation förändrades från det tidigare monopolet då Televerket ägde och drev Sveriges telenät, såväl fasta som mobila nät och TV-nät. Från 1993 fram till idag har marknaden förändrats i grunden där en ökad konkurrens och teknikutvecklingen lett till ett bredare och mer diversifierat tjänsteutbud. De operatörer som idag verkar på marknaden är till stor del privata företag som konkurrerar på en rad olika tjänstenivåer, från försäljning av tjänster till andra operatörer såväl som tjänster till slutkunder. På grund av de höga investeringskostnaderna som kopplas till ny kommunikationsinfrastruktur är det idag också vanligt med samäganden där flera operatörer erbjuder tjänster till kunder baserat på samma infrastruktur. Före avregleringen svarade en operatör för hela sektorns verksamhet och investeringstung infrastruktur utgjorde basen för verksamheten vilket i sin tur ledde till att tidsperspektiven var långsiktiga. Det statliga monopolet skapade Post- och telestyrelsen 20
en stabil operatör som långsiktigt strävade efter att tillgodose olika intressen. På dagens avreglerade marknad fördelas ansvar och ägande mellan ett större antal operatörer. Många tjänster kommer också att vara beroende av infrastruktur och tjänster från flera aktörer vilket gör att risker och sårbarheter beror av flera aktörers verksamheter. En effekt av den konkurrens som uppstått är också att operatörer säljs, köps upp eller slås samman. Konsekvenserna kan då bli att de nya ägarna lägger ner viss verksamhet eller på annat sätt förändrar de sätt som tjänster levereras. Den som idag upphandlar tjänster från företag inom sektorn elektronisk kommunikation kan inte lika enkelt få garantier för långsiktighet, robusthet eller ekonomisk stabilitet. Statens inflytande över sektorn elektronisk kommunikation har ur ett risk- och sårbarhetsperspektiv också förändrats från den tid då Televerket hade ett samlat ansvar för landets kommunikationsinfrastruktur. Televerket hade då möjlighet att på lämpligt sätt verka för att denna infrastruktur uppfyllde högt ställda krav avseende tillförlitlighet, uthållighet, säkerhet och robusthet. Statens inflytande över dagens avreglerade marknad, som omfattar ett femhundratal operatörer, kan på en övergripande nivå ske på fyra sätt: Staten kan genom lagstiftning och reglering påverka marknaden inom de ramar som sätts av harmoniseringen mellan svensk lagstiftning inom området och motsvarande lagstiftning inom EU Staten kan som konsument ställa krav på tjänster och infrastruktur i samband med upphandlingar Staten kan genom upphandling komplettera den grundläggande förmågan inom sektorn för att tillgodose samhälleliga behov som går utöver lagstadgade krav för att förbättra sektorns förmåga att hantera situationer från allvarliga, fredstida kriser till höjd beredskap och krig Staten kan verka för att skapa former för samverkan för att därigenom öka robustheten inom sektorn och kan vid behov ta på sig en samordnande roll Risk- och sårbarhetsanalysen kommer att beröra samtliga former av statlig påverkan. 3.2 Den samhällsviktiga verksamheten inom sektorn kan relateras till sektorns förmåga att tillgodose behov av samhällsviktig kommunikation Verksamheten inom sektorn elektronisk kommunikation syftar till att erbjuda användare olika former av elektroniska kommunikationstjänster. Ett bortfall av denna förmåga eller en svår störning av verksamheten inom sektorn påverkar dels användare, då möjligheten att utnyttja de efterfrågade elektroniska kommunikationstjänsterna begränsas, dels operatörer vars intäkter och förmåga att återställa nätens funktion kan minska. Bland användarna återfinns Post- och telestyrelsen 21
företag, myndigheter, kommuner och landsting som i varierande omfattning bedriver samhällsviktig verksamhet men också privatpersoner. I stort påverkas här inte nätens funktion om kommunikationen stödjer en samhällsviktig verksamhet eller ej. 22 Enligt Myndigheten för samhällsskydd och beredskaps författning om statliga myndigheters risk- och sårbarhetsanalyser (MSBFS 2010:07) är samhällsviktig verksamhet [en] verksamhet som uppfyller minst ett av följande villkor: Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället. Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad allvarlig kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt. Den omfattning som verksamheten inom sektorn elektronisk kommunikation kan anses vara samhällsviktig beror av sammanhanget. I vissa situationer kan en omfattande störning inom sektorn elektronisk kommunikation, där privatpersoner inte har någon möjlighet att kommunicera, tillsammans med andra påfrestningar få allvarliga konsekvenser. En störning inom sektorn kan i vissa fall leda till att bortfall eller svåra störningar uppstår inom andra sektorer, störningar som i sin tur leder till att en allvarlig kris inträffar i samhället. En annan störning inom sektorn för elektronisk kommunikation, orsakad av samma underliggande tekniska orsaker, behöver inte påverka samhällsviktiga verksamheter på samma sätt. Ett exempel på ett sådant förhållande är lokala överbelastningar i mobila kommunikationsnät. Om en sådan överbelastning uppstår, kan samhällets förmåga att hantera och minimera skadeverkningar vid en allvarlig kris försämras medan motsvarande överbelastning i samband med en konsert eller större folksamling inte behöver påverka samhällsviktig verksamhet alls. PTS gör därför följande tolkning: I risk- och sårbarhetsanalysen för sektorn elektronisk kommunikation sker riskoch förmågebedömningar ur ett samhällsperspektiv där sektorns förmåga att tillgodose samhällsviktig kommunikation sätts i centrum. Med samhällsviktig kommunikation menas här sådan kommunikation som stödjer samhällsviktig verksamhet utanför sektorn elektronisk kommunikation. 22 Prioritetsfunktioner för samhällsviktiga användare skulle, om de införs, ändra denna princip. Post- och telestyrelsen 22
Figur 4 PTS risk- och sårbarhetsanalys relaterar risk- och förmågebedömningar till sektorns förmåga att stödja samhällsviktig kommunikation. 3.3 Exempel på samhällsviktig verksamhet inom sektorn elektronisk kommunikation Den samhällsviktiga verksamheten som sektorn stödjer kopplas till flera sektorer. Utgående från MSB:s exempel på samhällsviktig verksamhet 23 beskrivs i Tabell 2 delar av det stöd för samhällsviktig kommunikation som sektorn för elektronisk kommunikation ger. En mer detaljerad bild av de samhällsviktiga verksamheter som stöds av sektorn elektronisk kommunikation följer genom en aggregering av risk- och sårbarhetsanalyser från myndigheter, kommuner och län. Tabell 2 Exempel på sektorn elektronisk kommunikations stöd till samhällsviktig verksamhet utanför sektorn elektronisk kommunikation. Verksamhet Information Finansiella tjänster Hälso- och sjukvård samt omsorg Exempel på stöd Förmedling av samhällsviktig information med hjälp av radio- och TV-utsändningar samt spridning av viktiga meddelanden till allmänheten (VMA). Stöd för betalningsförmedling, tillgång till kontanter och värdepappershandel. Informationsförmedling som stöd för verksamheten inom akutsjukhus, primärvård, psykiatri och läkemedelsförsörjning, smittskydd, samt omsorg om barn, funktionshindrade och äldre. 23 MSB:s faktablad kring samhällsviktig verksamhet från augusti, 2009, tillgängligt via www.msb.se. Post- och telestyrelsen 23
Verksamhet Skydd och säkerhet Transporter Energiförsörjning Offentlig förvaltning Exempel på stöd Stöd för räddningstjänsters, polis och domstolars verksamheter samt kriminalvård, SOS Alarm, militär, kustbevakning samt tull-, gräns- och immigrationskontroll. Informationsförmedling för väg-, järnväg-, sjö- och flygtransport samt förvaltning av transportinfrastruktur. Informationsförmedling som stöd för produktion och distribution av el, fjärrvärme, fossila bränslen och drivmedel. Möjliggörande av informationsförmedling för nationell, regional och lokal ledning, diplomatisk och konsulär verksamhet. Post- och telestyrelsen 24
4 Identifierade och värderade hot, risker och sårbarheter samt kritiska beroenden inom myndighetens ansvarsområde Sektorn elektronisk kommunikation kan beskrivas utgående från en systemmodell där kritiska resurser och processer inom sektorn elektronisk kommunikation kopplas till kritiska beroenden och kritiska påverkansfaktorer utanför sektorn. En rad hot kan påverka sektorns förmåga att stödja samhällsviktig information. På motsvarande sätt kan sårbarheter identifieras för de kritiska resurser, processer och beroenden. Flera kontrollfunktioner stärker sektorns förmåga att stödja samhällsviktig information. För sektorn som helhet är det generellt viktigt att reducera sårbarheter inom infrastrukturen för särskilt viktiga delar för att därigenom kunna möta samhällsviktiga behov som går utöver sektorns kommersiella behov. En risk utgår från det allmänt ökade beroendet av mobila kommunikationsnät. Eftersom mobila kommunikationsnät generellt uppvisar en kortare uthållighet mot avbrott i elförsörjning, kan en sådan utveckling leda till en ökad sårbarhet och en försämrad tillgång till nödsamtal. Sårbarheter har redan i dag identifierats i flera protokoll som används i kommunikationsnät och det kan förväntas att flera sårbarheter kommer att identifieras. Sårbarheter som tidigare enbart har förknippats med Internet kan i framtiden förväntas få en bredare verkan Sektorn elektronisk kommunikation samlar en stor mängd operatörer som på olika sätt påverkar sektorns förmåga att stödja samhällsviktig kommunikation. Utgående från en systemmodell, som beskrivs i avsnitt 4.1, redovisas hot och sårbarheter i avsnitten 4.2 och 4.3. Inom sektorn finns ett flertal kontrollfunktioner som på olika sätt påverkar sektorns förmåga att stödja samhällsviktig kommunikation. Reglering är en annan form av påverkan och kontrollfunktionerna beskrivs samlat i avsnitt 4.4. I avsnitt 4.5 förs en övergripande diskussion av hot och sårbarheter som leder fram till en diskussion kring utvalda risker som relateras till sektorns förmåga att stödja samhällsviktig kommunikation. Diskussionen i detta kapitel kompletteras också av den allmänna förmågebedömingen i kapitel 6. Post- och telestyrelsen 25
4.1 Analysen av hot, sårbarheter och risker utgår från en systemmodell Sektorn elektronisk kommunikation omfattar en rad aktörer som erbjuder olika kommunikationsnät och tjänster till användare. I risk- och sårbarhetsanalysen relateras hot, sårbarheter, risker och förmågebedömningar till sektorns förmåga att stödja samhällsviktig kommunikation. För att dels tydliggöra avgränsningen och omfattningen av risk- och sårbarhetsanalysen, dels skapa en systematik för analysen införs en systemmodell. I denna systemmodell relateras kritiska resurser och processer inom sektorn till beroenden av resurser och processer utanför sektorn utgående från följande definitioner: 24 Kritisk resurs: är en tillgång som är avgörande för att sektorn elektronisk kommunikation ska kunna erbjuda kommunikationsnät och kommunikationstjänster. Kritisk process: är en verksamhet för att möjliggöra eller som påverkar sektorns förmåga att stödja samhällsviktig kommunikation och som utnyttjar eller påverkas av en kritisk resurs, beroende eller påverkansfaktor. Kritiskt beroende: är ett beroende av en resurs som är avgörande för att sektorn elektronisk kommunikation ska kunna stödja samhällsviktig kommunikation. En störning i tillgången till resursen leder snabbt och varaktigt till en försämring i sektorns förmåga att ge stöd för samhällsviktig kommunikation. Kritisk påverkansfaktor: representerar en administrativ process eller den trafik som uppstår vid användningen av elektroniska kommunikationsnät och tjänster som påverkar sektorn och dess förmåga att stödja samhällsviktig kommunikation. De kritiska resurser, processer, beroenden och påverkansfaktorer som ingår i modellen framgår av Figur 5 där ledningsfunktioner används som kortform för nätövervaknings-, kris- och affärsledningsfunktioner. 24 Systemmodellen kan ses som en anpassning av den systemmodell som använts i den studie som genomförts för EU-kommissionen kring tillgänglighets- och robusthetsfrågor för elektronisk kommunikationsinfrastruktur (Availability and Robustness of Electronic Communication Infrastructures, ARECI) tillgänglig via http://ec.europa.eu/information_society/policy/nis/strategy/activities/ciip/areci_study/index_en.htm. Post- och telestyrelsen 26