Datum 2013-11-13. Risk- och sårbarhetsanalys för sektorn elektronisk kommunikation

Datum 2013-11-13 Risk- och sårbarhetsanalys för sektorn elektronisk kommunikation Myndighetens redovisning för 2013

Myndighetens redovisning för 2012 Diarienummer 12-10536-11 ISSN 1650-9862 Författare Britt-Marie Jönson Post- och telestyrelsen Box 5398 102 49 Stockholm 08-678 55 00 pts@pts.se www.pts.se Post- och telestyrelsen 2

Förord Utvecklingen inom kommunikationsområdet fortsätter och stora delar av samhället är i dag beroende av fungerade elektronisk kommunikationer. Detta beroende varierar från t.ex. den enskilde individens behov av att kunna nå samhällets alarmeringstjänst till företags och myndigheters behov av att sprida information inom och utanför de egna organisationerna. Arbetet att förbättra säkerheten och robustheten i elektronisk kommunikation är fortsatt mycket viktigt. I denna rapport redovisar PTS 2013 års risk- och sårbarhetsanalys för sektorn elektronisk kommunikation. Analysen innehåller bedömningar av hot som kan påverka elektroniska kommunikationer och de samhälleliga konsekvenser av sådana hot. Exempel på hot som kan påverka elektroniska kommunikationer är elavbrott, fel i tekniska system men också olika former av antagonistiska hot. Analysen visar att sektorns förmåga att motstå och hantera olika typer av hot i huvudsak är god. PTS anger också flera aktiviteter som kan leda till ytterligare förbättringar. Catarina Wretman Divisionschef Post- och telestyrelsen 3

Innehåll Förord 3 Sammanfattning 8 Abstract 9 1 Övergripande beskrivning av myndigheten och dess ansvarsområde10 1.1 PTS roll inom sektorn elektronisk kommunikation 10 1.2 Operatörerna har ansvar för sina nät och tjänster på den avreglerade marknaden 11 1.3 PTS tolkning av uppdraget 12 1.4 PTS redovisning följer den struktur som efterfrågas i MSB:s föreskrift 12 2 Övergripande beskrivning av arbetsprocess och metod 14 2.1 Risk- och sårbarhetsanalysens syfte och PTS metod för att uppnå detta syfte 14 2.2 Risk- och sårbarhetsanalysen inriktas mot kommunikationsnät och - tjänster med väsentlig samhällelig påverkan 15 2.3 Utgångspunkter och avgränsningar för risk- och sårbarhetsanalysen 16 2.4 Risk- och sårbarhetsanalysen baseras på ett flertal olika informationskällor 17 2.5 PTS använder en riskmodell för att göra en riskbedömning utgående från samhälleliga konsekvenser 18 3 Övergripande beskrivning av identifierad samhällsviktig verksamhet inom myndighetens ansvarsområde 19 3.1 Den svenska telemarknaden har genomgått stora förändringar 19 3.2 Den samhällsviktiga verksamheten inom sektorn beror av sammanhanget 21 3.3 Sektorn elektronisk kommunikation ger stöd till flera samhällsviktiga verksamheter 21 4 Identifierade och värderade hot, risker och sårbarheter samt kritiska beroenden inom myndighetens ansvarsområde 23 4.1 Analysen omfattar ett flertal olika typer av hot 23 4.2 Riskbedömningar genomförs i en stegvis process där sannolikheter och samhälleliga konsekvenser sammanvägs 27 4.3 Erfarenheter från driftstörningar bidrar till genomförandet av riskbedömningar 29 4.4 Tekniska fel eller brister kan leda till omfattande avbrott inom sektorn elektronisk kommunikation 31 4.4.1 Bortfall av nätelement på grund av hårdvarufel bedöms utgöra en medelhög risk 32 4.4.2 Kortvariga elavbrott eller variationer i elförsörjningen ses som en låg samhällelig risk 33 4.4.3 Avbrott som orsakas av programvarufel bedöms kunna utgöra en hög risk 34 4.4.4 Överbelastning av tillgångar och förbindelser inom sektorn elektronisk kommunikation ses som en medelhög risk 36 4.4.5 Överbelastning av mobila kommunikationsnät bedöms vara en medelhög risk 37 4.5 Stormar bedöms vara det naturligt förekommande hotet med högst risknivå 38 4.5.1 Stormar och andra väderfenomen som orsakar långvariga regionala elavbrott bedöms vara en medelhög risk 39 Post- och telestyrelsen 4

4.6 Fysiska skador på tillgångar och förbindelser inom sektorn elektronisk kommunikation kan ge upphov till avbrott 40 4.6.1 Brand i kabeltunnlar med en hög koncentration av förbindelser bedöms utgöra en hög risk 42 4.6.2 Avbrott i förbindelser ses som en medelhög risk för sektorn elektronisk kommunikation 43 4.6.3 Händelser som orsakar kontaminering av stora områden ses som en låg risk 44 4.6.4 Skadegörelse och andra handlingar bedöms i dagsläget utgöra en låg risk 45 4.6.5 Stölder eller stöldförsök som direkt eller indirekt påverkar tekniska system är en inte obetydlig risk 46 4.7 Fel eller brister i kritiska resurser och processer kan leda till avbrott inom sektorn elektronisk kommunikation 47 4.7.1 Avbrott i elförsörjningen bedöms vara en medelhög risk för sektorn elektronisk kommunikation 48 4.7.2 Veckolånga avbrott i GNSS-försörjningen bedöms vara en mycket låg risk 49 4.7.3 Händelser som leder till personalbrist inom sektorn elektronisk kommunikation bedöms vara en låg risk 51 4.8 Elektromagnetiska hot kan leda till avbrott inom begränsade geografiska områden 51 4.8.1 Avsiktliga störningar i mobila kommunikationsnät bedöms vara en låg risk 52 4.9 Informationssäkerhetshot bedöms i många fall vara en låg samhällelig risk 53 4.9.1 Överbelastningsattacker mot kritiska nätfunktioner bedöms i dagsläget vara en mycket låg risk 54 4.9.2 Avlyssning av information i mobila kommunikationsnät ses som en mycket låg risk 55 4.10 Flera hot kan leda till långvariga och omfattande avbrott inom sektorn elektronisk kommunikation 57 4.10.1 Långvariga regionala och nationella elavbrott kan leda till långvariga avbrott inom sektorn elektronisk kommunikation 57 4.10.2 Sabotage som riktas mot tekniska system kan få stor påverkan 58 4.10.3 Logiska attacker från en sofistikerad antagonist kan leda till omfattande avbrott 58 4.10.4 Logiska attacker från en sofistikerad angripare kan leda till betydande informationsförluster 59 4.11 Flera hot kan förskjuta riskbilden 60 4.11.1 Samhällsviktiga verksamheters värdering och upphandling av elektronisk kommunikation påverkar riskbilden 61 4.11.2 Bristande samverkan vid storskaligt återställningsarbete kan förlänga återställningstider och också leda till mer allvarliga samhälleliga konsekvenser 61 4.11.3 Avsaknad av prioriteringsordning vid återställningsarbete kan påverka de samhälleliga påfrestningarna av olika händelser 62 4.11.4 Brister i interna processer kan öka förekomsten av avbrott och förlänga avbrottstider 62 4.11.5 Ekonomiska faktorer kan långsiktig påverka riskbilden för sektorn elektronisk kommunikation 63 5 Övergripande beskrivning av viktiga resurser som sektorn kan disponera för att motstå allvarliga störningar och hantera kriser 65 5.1 Nationella telesamverkansgruppen stödjer återställandet av nationell kommunikationsinfrastruktur genom samverkan 65 Post- och telestyrelsen 5

5.2 PTS förfogar över krisroamingkort som kan användas av samhällsviktiga funktioner vid svåra störningar i de mobila kommunikationsnäten 66 5.3 Gemensam lägesuppfattning är ett viktigt verktyg för att reducera störningar inom sektorn och samhället 67 5.4 Webbtjänsten www.ledningskollen.se syftar till att minska risken för avgrävning av kritisk infrastruktur 68 6 Bedömning av förmågan inom sektorn elektronisk kommunikation att motstå och hantera identifierade hot och risker 69 6.1 Allmänna överväganden som påverkar sektorns förmåga att motstå och hantera hot och risker 69 6.1.1 Sektorns aktörer har generellt väl utvecklade rutiner och system för att kunna identifiera och hantera olika typer av störningar och avbrott 70 6.1.2 Informationsutbyte och samverkan inom och mellan sektorer kan utvecklas 71 6.2 Sektorns krishanteringsförmåga bedöms variera mellan bristfällig och god med viss brist 72 6.3 Förmågan att i samhällsviktig verksamhet motstå allvarliga störningar bedöms variera mellan bristfällig och god med viss brist 74 7 Särskild förmågebedömning enligt förutsättningar som Myndigheten för samhällsskydd och beredskap beslutar 76 7.1 Sektorn elektronisk kommunikation är beroende av synkroniseringsinformation för sin funktion 76 7.2 Sektorns dominerande aktörer har byggt upp tekniska system som gör det möjligt att upprätthålla synkronisering i frånvaro av GNSS 77 7.3 Sektorn elektronisk kommunikation bedöms endast i mindre utsträckning påverkas i det angivna scenariot 78 8 Planerade och genomförda åtgärder, samt en bedömning av behov av ytterligare åtgärder med anledning av risk- och sårbarhetsanalysens resultat 80 8.1 Åtgärder för att öka driftssäkerhet och minska risken för avbrott 80 8.2 Åtgärder för att förkorta avbrottstiden och underlätta samverkan, krisledning och informationsspridning vid avbrott 83 8.3 Åtgärder för att minska samhällets sårbarhet 83 Litteratur 85 Bilaga 1: Förkortningar och förklaringar 88 1 Förkortningar och förklaringar av termer och begrepp 88 Bilaga 2: PTS metodik 94 2 PTS metodik för genomförande av risk- och sårbarhetsanalyser 94 2.1 Riskbedömningen följer en stegvis process 94 2.2 Steg 1: Kvalitativ bedömning av sannolikheten för en händelse 95 2.3 Steg 2: Kvalitativ bedömning av resulterande sårbarhet 95 2.4 Steg 3: Kvalitativ bedömning av sannolikheten för negativa konsekvenser 96 2.5 Steg 4: Sammanvägning av sannolikheter 97 2.6 Steg 5: Karaktärisering av påverkan på elektronisk kommunikation 97 2.6.1 Nivåer och kriterier för avbrott i elektronisk kommunikation 97 2.6.2 Nivåer och kriterier för informationssäkerhetsincidenter 99 2.7 Steg 6: Från påverkan på elektronisk kommunikation till samhälleliga konsekvenser 101 2.8 Steg 7: Riskbedömning och osäkerheter 101 Post- och telestyrelsen 6

Bilaga 3 Kompletterande riskbedömningar 104 3 Underlag för riskbedömningar av händelser 104 3.1 Avbrott i elförsörjningen 104 3.2 Väderrelaterade händelser som orsakar långvariga elavbrott och svårigheter i återställningsarbete 107 3.3 Avbrott i kommunikationsförbindelser 110 3.4 Brand i kabeltunnel med särskild hög koncentration av förbindelser 114 3.5 Långvarigt avbrott i GNSS-försörjningen 116 3.6 Bortfall av nätelement på grund av hårdvarufel 118 3.7 Avbrott som orsakas av programvarufel 123 3.8 Händelser som orsaker personalbrist inom sektorn elektronisk kommunikation 126 3.9 Händelser som orsakar kontaminering av stora områden 127 3.10 Avsiktliga störningar i mobila kommunikationsnät 129 3.11 Skadegörelse, sabotage och andra angrepp som påverkar eller är riktade mot anläggningar och tekniska system 132 3.12 Stölder eller stöldförsök som påverkar tekniska system 134 3.13 Överbelastningsattacker mot kritiska nätfunktioner 136 3.14 Överbelastning av tekniska system 139 Post- och telestyrelsen 7

Sammanfattning Sektorn elektronisk kommunikation bidrar till samhällsviktig verksamhet inom en rad områden, från hanteringen av finansiella tjänster till informationsförmedling som stöd för nationell, regional och lokal krisledning. Elektronisk kommunikation är också en allt mer betydelsefull del av företag, myndigheter och andra organisationer verksamhet, samt av människors vardag. I risk- och sårbarhetsanalysen för sektorn elektronisk kommunikation genomförs risk- och förmågebedömningar utgående från ett samhällsperspektiv. Här relateras förekomsten av avbrott och informationssäkerhetshändelser inom sektorn till den utsträckning som dessa avbrott kan innebära en stor risk eller fara för befolkningens liv och hälsa, störningar i samhällets funktionalitet eller negativ påverkan på samhällets grundläggande värden. Risk- och sårbarhetsanalysen innehåller också förmågebedömningar i enlighet med Myndigheten för samhällskydd och beredskaps riktlinjer. Av de riskbedömningar som redovisas följer att programvarufel kan anses vara en betydande risk då sådana programvarufel kan leda till avbrott på nationell nivå. I de fall där en eller flera enskilda samhällsviktiga verksamheter är kritiskt beroende av den eller de tjänster som bortfaller kan mer allvarliga samhälleliga konsekvenser uppstå. Andra exempel på hot som PTS ser som allvarliga är elavbrott, stormar och andra väderfenomen som leder till omfattande elavbrott och tillhörande problem i återställningsarbete. Hårdvarufel och överbelastningar av tekniska system är andra exempel på hot som bedöms kunna få negativ samhällelig påverkan. Risk- och sårbarhetsanalysen visar också att större operatörers verksamhet kan förväntas uppfylla högt ställda krav på krishanteringsförmåga och förmåga att i samhällsviktig verksamhet motstå allvarliga störningar. Mindre operatörer, med mindre resurser m.m., kan dock i vissa fall förväntas uppvisa en mindre väl utvecklad krishanteringsförmåga och förmåga att motstå allvarliga störningar. Sektorns större aktörer bedöms även kunna upprätthålla drift och övervakning av elektroniska kommunikationsnät och kommunikationstjänster över hela landet trots att en störning i GNSS-försörjningen uppstår. Som följd av resultaten identifierar PTS flera områden där ytterligare åtgärder är önskvärda för att utveckla samhällets förmåga att motstå olika typer av störningar. Post- och telestyrelsen 8

Abstract The electronic communication sector is here a significant contributor to several functions that are of critical importance to our society, from financial services to information exchange between authorities and organisations that perform national, regional and local crisis and disaster management activities. Electronic communication is also an increasingly important part of the every day life of citizens, as well as for private companies, authorities and other organisations. This report contains a risk and vulnerability assessment for the electronic communication sector from a societal perspective, where service failures are related to their potential impact on human lives and general health, disruptions to key societal functions or can have a negative impact on basic values. The assessment also provides general capability assessments according to the specific guidelines set by the Swedish Civil Contingencies Agency. The risk assessment indicates that software induced errors should be regarded as a major threat in this regard due to their possible national impact. In cases where one or several key functions rely on the impacted service or services, software induced service failures can have a major impact. Other examples of threats that can have a significant impact are those threats that come from power service disruptions, storms and other weather related events that lead to extensive power service disruptions and challenging conditions for the restoration effort. Hardware faults and events that cause congestion in technical systems are also examples of threats that can have negative impact on our society. The assessment also shows that major operators can be expected to fulfil strict requirements related to their crisis management capability and also their ability to withstand severe disturbances. Other operators are deemed to be less capable in both these regards. The major operators are also deemed to be capable of coping with a GNSS failure without any significant impact on networks and services. As a consequence of this assessment, PTS has identified several areas where further activities are warranted to further increase our society s ability to withstand and cope with various forms of disturbances. Post- och telestyrelsen 9

1 Övergripande beskrivning av myndigheten och dess ansvarsområde Marknaden för elektronisk kommunikation är en avreglerad marknad med ett stort antal operatörer som tillhandhåller elektroniska kommunikationsnät och kommunikationstjänster. På marknaden gäller lagen (2003:389) om elektronisk kommunikation. Lagen är baserad på EU-direktiv och EUkommissionen följer implementering och tillämpning av lagen. I denna risk- och sårbarhetsanalys redovisas bedömningar av risker, hot och sårbarheter samt kritiska beroenden för sektorn elektronisk kommunikation. Post- och telestyrelsens redovisning följer den struktur som Myndigheten för samhällsskydd och beredskaps efterfrågar. Detta kapitel inleds med en översikt av Post- och telestyrelsens (PTS) roll inom sektorn elektronisk kommunikation. Denna översikt kompletteras av en beskrivning av det sätt som PTS tolkar förordning och författning kring myndighetens redovisning av risk- och sårbarhetsanalyser. Kapitlet avslutas med en beskrivning av innehållet i risk- och sårbarhetsanalysen för sektorn elektronisk kommunikation. 1.1 PTS roll inom sektorn elektronisk kommunikation Post- och telestyrelsen är förvaltningsmyndighet med ett samlat ansvar inom postområdet och området för elektronisk kommunikation. PTS är en myndighet under Näringsdepartementet. Riksdag och regering styr PTS genom lagar, förordningar, regleringsbrev 1 och instruktion 2 samt genom särskilda regeringsuppdrag. PTS vision är att alla i Sverige ska ha tillgång till effektiva, prisvärda och säkra kommunikationstjänster. PTS har fyra övergripande mål: 3 - långsiktig konsumentnytta, - långsiktigt hållbar konkurrens, - effektivt resursutnyttjande och - säker kommunikation. 1 PTS regleringsbrev för budgetåret 2013, N2012/6425/ITP, N2012/290/ITP (slutgiltigt), N2012/1179/ITP (slutgiltigt) 2 Förordning (2007:951) med instruktion för Post- och telestyrelsen. 3 Strategisk agenda 2012-2014, PTS-ER-2012.:13. Post- och telestyrelsen 10

Marknaden för elektronisk kommunikation är avreglerad med ett stort antal operatörer som tillhandhåller elektronisk kommunikation. På marknaden gäller lagen (2003:389) om elektronisk kommunikation (LEK). Lagen är baserad på EU-direktiv och EU-kommissionen följer implementeringen och tillämpningen av lagen. Av 4 förordning (2007:951) med instruktion för PTS framgår bland annat att myndigheten har till uppgift att: - främja tillgången till säkra och effektiva elektroniska kommunikationer (p.1), - verka för robusta elektroniska kommunikationer och minska risken för störningar, inbegripet att upphandla förstärkningsåtgärder, samt verka för ökad krishanteringsförmåga (p. 15), - verka för ökad nät- och informationssäkerhet i fråga om elektronisk kommunikation, genom samverkan med myndigheter som har särskilda uppgifter inom informationssäkerhets-, säkerhetsskyddsoch integritetsskyddsområdet samt med andra berörda aktörer (p.16), - lämna råd och stöd till myndigheter, kommuner och landsting samt företag, organisationer och andra enskilda i frågor om nätsäkerhet (p.17). PTS har som sektorsmyndighet vissa uppgifter enligt förordningen (2006:942) om åtgärder för krisberedskap och höjd beredskap. Myndigheten ska i enlighet med 11 förordningen bland annat planera och vidta åtgärder för att skapa förmåga att hantera en kris och för att förebygga sårbarheter och motstå hot och risker. 1.2 Operatörerna har ansvar för sina nät och tjänster på den avreglerade marknaden Huvudregeln är att det är operatörerna som har ansvar för sina nät och tjänster på en avreglerad marknad. Inom ramen för vad som är kommersiellt möjligt på en konkurrensutsatt marknad, vidtar operatörerna åtgärder för att skydda sina respektive delar av infrastrukturen mot störande eller hindrande incidenter. Konkurrensen är en drivkraft för att operatörerna ska bygga nät med tillfredsställande driftsäkerhet och upprätthålla god beredskap för att kunna åtgärda störningar och fel som uppstår. Därigenom skapas en grundläggande Post- och telestyrelsen 11

förmåga att tillgodose behovet av säkerhet och beredskap. Samtidigt kan konkurrensen leda till besparingar som gör att förebyggande åtgärder för att öka robustheten inte prioriteras. 1.3 PTS tolkning av uppdraget Förordningen (2006:942) om krisberedskap och höjd beredskap innehåller föreskrifter om statliga myndigheters risk- och sårbarhetsanalyser och hur de ska redovisas. Enligt 9 förordningen ska alla statliga myndigheter i syfte att stärka sin egen och samhällets krisberedskap årligen analysera om det finns sådan sårbarhet och sådana hot och risker inom myndighetens ansvarsområde som synnerligen allvarligt kan försämra förmågan till verksamhet inom området. I Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter om statliga myndigheters risk- och sårbarhetsanalyser MSBFS 2010:07 (nedan MSB:s föreskrift), finns ytterligare bestämmelser avseende myndigheternas analyser. Där framgår bl.a. myndigheterna ska lämna sina analyser till MSB senast den 15 november varje år. PTS tolkning av MSB:s föreskrift är att myndigheten förväntas redovisa en risk- och sårbarhetsanalys dels utgående från PTS roll som sektorsmyndighet med ett övergripande ansvar för sektorn elektronisk kommunikation och postsektorn, dels för myndighetens egna verksamhet. I denna risk- och sårbarhetsanalys redovisas bedömningar av risker, hot och sårbarheter samt kritiska beroenden för sektorn elektronisk kommunikation. 4 1.4 PTS redovisning följer den struktur som efterfrågas i MSB:s föreskrift I denna analys och redovisning följer PTS disposition av myndigheters riskoch sårbarhetsanalyser som anges i MSB:s föreskrift. MSB:s föreskrift anger följande disposition av myndigheters risk- och sårbarhetsanalyser: - Övergripande beskrivning av myndigheten och dess ansvarsområde - Övergripande beskrivning av arbetsprocess och metod - Övergripande beskrivning av identifierad samhällsviktig verksamhet inom myndighetens ansvarsområde - Identifierade och värderade hot, risker och sårbarheter samt kritiska beroendeninom myndighetens ansvarsområde 4 Sektorn elektronisk kommunikation relateras enligt LEK till allmänt tillgängliga kommunikationsnät och kommunikationstjänster. Post- och telestyrelsen 12

- Övergripande beskrivning av viktiga resurser som myndigheten kan disponera för att motstå allvarliga störningar och hantera kriser - Bedömning av förmågan inom myndighetens ansvarsområde att motstå och hantera identifierade hot och risker - Särskild förmågebedömning enligt förutsättningar som Myndigheten för samhällsskydd och beredskap beslutar - Planerade och genomförda åtgärder, samt en bedömning av behov av ytterligare åtgärder med anledning av risk- och sårbarhetsanalysens resultat. Utifrån angiven disposition finns i detta kapitel en övergripande beskrivning av PTS roll som sektorsmyndighet. Det följande kapitlet, kapitel 2, sammanfattar den arbetsmetod och process som PTS har använt för att genomföra risk- och sårbarhetsanalysen. Kapitel 3 relaterar verksamheten inom sektorn elektronisk kommunikation till samhällsviktig verksamhet. Kapitel 4 innehåller en diskussion kring identifierade och värderade hot, risker och sårbarheter samt kritiska beroenden inom myndighetens ansvarsområde som i kapitel 5 kompletteras av en beskrivning av resurser inom sektorn som kan användas för att motstå allvarliga kriser och hantera allvarliga störningar. Kapitel 6 innehåller övergripande bedömningar av sektorns krishanteringsförmåga och förmåga att i samhällsviktig verksamhet motstå allvarliga störningar som i kapitel 7 kompletteras av motsvarande bedömningar ur ett scenariobaserat perspektiv utgående från ett bortfall av GNSS under en veckas tid. Risk- och sårbarhetsanalysen avslutas i kapitel 8 med en beskrivning av PTS arbeta utgående från resultaten av analysen. Det finns tre bilagor till rapporten. I den första bilagan finns en förklaring av de termer och begrepp som använts i rapporten. I den andra bilagan finns en kompletterande beskrivningar av PTS metodik för genomförande av risk- och sårbarhetsanalysen. Det finns även en bilaga med kompletterande beskrivningar av riskbedömningarna. Post- och telestyrelsen 13

2 Övergripande beskrivning av arbetsprocess och metod Risk- och sårbarhetsanalysen består av risk- och förmågebedömningar som beskriver på vilket sätt sektorn elektronisk kommunikation och samhället kan påverkas negativt av olika typer av händelser. Den huvudsakliga avgränsningen som görs är att riskbedömningar sker utan åtskillnad mellan speciella lokala och regionala förutsättningar. Riskbedömningarna grundas på en rad informationskällor, från erfarenheter av nationella och internationella händelser med betydande påverkan på elektroniska kommunikationsnät och kommunikationstjänster, till dialoger med operatörer och andra aktörer inom och utanför sektorn elektronisk kommunikation. Förmågebedömningar och delar av riskbedömningar har remitterats till representanter i den grupp av operatörer som kallas Nationella telesamverkansgruppen. 5 I risk- och sårbarhetsanalysen ingår dels en allmän riskbedömning, dels förmågebedömningar. Med förmågebedömning avses enligt MSB:S föreskrift dels krisberedskapsförmåga enligt angivna indikatorer och dels en särskild förmågebedömning enligt förutsättningar som MSB beslutar om. Den särskilda förmågebedömning är 2013 förmågan att motstå störningar i GNSS försörjningen. I denna rapport redovisas den allmänna riskbedömningen i kapitel 4 medan förmågebedömningarna redovisas i kapitlen 6 och 7. Nedan beskrivs den process och metod som använts för risk- och förmågebedömningarna i enlighet med den struktur som MSB efterfrågar. 2.1 Risk- och sårbarhetsanalysens syfte och PTS metod för att uppnå detta syfte MSB anger i sin vägledning att syftet med arbetet med risk- och sårbarhetsanalyser är att: 6 - bidra till en riskbild för samhället, - ge underlag för bedömningar för beslutsfattare och verksamhetsansvariga, 5 Nationella telesamverkansgruppen beskrivs mer utförligt i kapitel 4. 6 Vägledning för risk- och sårbarhetsanalyser, MSB, publikationsnummer MSB245, sid 15. Post- och telestyrelsen 14

- ge ett underlag för information om samhällets risker till allmänheten, samt - ge underlag för samhällsplanering. Av MSB vägledning framgår även hur rangordningen mellan olika händelser som utgör risker för samhället kan ske utifrån kriterier som t.ex. hälsoeffekter, påverkan på samhällets funktionalitet och förtroende för samhällsinstitutioner samt skador på egendom och miljö. PTS metod för genomförande och redovisning av risk- och sårbarhetsanalysen har utvecklats för att tillgodo de syften som framgår av MSB:s föreskrifter och vägledning. I analysen tydliggör PTS orsaker till - och verkan av - olika typer av händelser som: - i första steg kan leda till störningar, avbrott eller andra oönskade konsekvenser inom sektorn elektronisk kommunikation, och - i ett andra steg kan påverka samhället negativt. Den negativa samhälleliga påverkan relateras till den utsträckning de resulterande konsekvenserna inom sektorn elektronisk kommunikation kan utgöra eller leda till: 7 - en stor risk eller fara för befolkningens liv och hälsa, - störningar i samhällets funktionalitet eller - negativ påverkan på samhällets grundläggande värden. 2.2 Risk- och sårbarhetsanalysen inriktas mot kommunikationsnät och -tjänster med väsentlig samhällelig påverkan Risk- och sårbarhetsanalysen omfattar sektorn elektronisk kommunikation och inkluderar därmed riskbedömningar för de kommunikationsnät och tjänster som tillhandahålls av sektorns aktörer. 8 I enlighet med de syften som nämnt ovan inriktas risk- och sårbarhetsanalysen mot de elektroniska kommunikationstjänster och underliggande kommunikationsnät som har väsentlig samhällelig påverkan. 7 Beskrivningen utgår från definition av samhällsviktig verksamhet i Ett fungerande samhälle i en föränderlig värld, Nationell strategi för skydd av samhällsviktig verksamhet, publikationsnummer MSB266. 8 Närmare beskrivningar av de tjänster och nät som omfattas av LEK och därmed avgränsningen för riskoch sårbarhetsanalysen framgår av rapporten Vilka tjänster och nät omfattas av LEK? En vägledning, PTS-ER-2009:12. Post- och telestyrelsen 15

Inom sektorn elektronisk kommunikation och samhället pågår en ständig utveckling där de nät och tjänster som har en sådan väsentlig påverkan förändras. I denna utveckling ingår tekniska förändringar där nya tekniska system används inom sektorn, samarbeten mellan aktörer och andra förändringar inom sektorn, men också förändringar i det sätt som individer, företag, myndigheter och andra aktörer använder näten och tjänsterna. De hot och sårbarheter som beskrivs i kapitel 4 bedöms vara giltiga under en femårsperiod eller längre. 9 Den tekniska utvecklingen, förändringar inom sektorn och förändringar av användarmönster gör att bedömningar av sannolikheter och konsekvenser kan förväntas ha kortare livslängd. 2.3 Utgångspunkter och avgränsningar för risk- och sårbarhetsanalysen Det samhällsperspektiv som följer av 9 krisberedskapsförordningen och MSB:s föreskrifter innebär att utgångspunkten för denna risk- och sårbarhetsanalysen är hot som relateras till allvarliga försämringar av förmågan till verksamhet inom sektorn elektronisk kommunikation. För att koppla hot som relateras till allvarliga försämringar av förmågan till verksamhet inom sektorn elektronisk kommunikation, till avbrott och samhälleliga risker används en riskmodell som beskrivs i avsnitt 2.5, 4.2 samt i bilaga 1. För den enskilda individen kan ett avbrott inom elektronisk kommunikation innebära stora påfrestningar, påverka ekonomiska värden och till och med hota liv och hälsa även om en liten del av samhället i övrigt påverkas negativt. De riskbedömningar som redovisas i kapitel 4 ska avspegla samhälleliga konsekvenser. Det innebär att händelser som påverkar ett mindre antal individer och samhällsviktiga verksamheter negativt inte ses som lika allvarliga som händelser med en bredare samhällelig påverkan, även om händelsen för den enskilde individen eller den samhällsviktiga verksamheten kan medföra en svår påfrestning. Riskbedömningarna har skett utan åtskillnad mellan speciella lokala och regionala förutsättningar. Det innebär exempelvis att riskbedömningarna för översvämningar genomförs utan att beskriva eller ta hänsyn till geografiska variationer för sannolikheten och konsekvenserna av översvämningar. 9 Hoten och sårbarheterna kan behöva kompletteras av nya hot och sårbarheter. Post- och telestyrelsen 16

2.4 Risk- och sårbarhetsanalysen baseras på ett flertal olika informationskällor PTS arbetar på flera sätt för att kartlägga risker och hot som kan påverka sektorns förmåga negativt. De verksamheter som främst utgör underlag för denna risk- och sårbarhetsanalys är: - nationella och internationella händelser med betydande påverkan på elektroniska kommunikationsnät och kommunikationstjänster, - övningar som syftar till att stärka sektorns förmåga att genom samverkan mellan operatörer hantera allvarliga och omfattande avbrott och störningar, - PTS arbete med robust kommunikation, - PTS föreskrifts- och tillsynsverksamhet som utgår från lagen om elektronisk kommunikation, - dialog med operatörer och andra aktörer inom och utanför sektorn, - internationella kontakter med myndigheter och organisationer vars verksamhet påverkar sektorn elektronisk kommunikation. PTS arbete med den särskilda förmågebedömningen för sektorn elektronisk kommunikation har bedrivits så att PTS har berett ett förslag till förmågebedömning utgående från det angivna scenariot. Förslaget har remitterats till representanter inom i Nationella telesamverkansgruppen. PTS har på samma sätt efterfrågat synpunkter på utvalda riskbedömningar från sektorns aktörer. De synpunkter som inkommit har inarbetats i kapitel 4. Post- och telestyrelsen 17

2.5 PTS använder en riskmodell för att göra en riskbedömning utgående från samhälleliga konsekvenser Som utgångspunkt för risk- och sårbarhetsanalysen används en riskmodell där ett antal händelser analyseras. Varje sådan händelse kan, med en viss sannolikhet, leda till negativa konsekvenser för de kommunikationstjänster som sektorn erbjuder. Dessa konsekvenser karaktäriseras genom beskrivningar av de typer av tjänster som påverkas, såväl som det geografiska område och det antal aktörer inom sektorn som kan drabbas av avbrott under en viss tid. Figur 1 Översiktlig bild av PTS riskmodell som används i risk- och sårbarhetsanalysen Den risk som kopplas till varje enskild händelse sammanväger bedömningar av de samhälleliga konsekvenserna av ett avbrott och sannolikheten att ett sådant avbrott uppstår. I varje steg i riskmodellen görs en kvalitativ bedömning av sannolikheter och påverkan utgående från den beskrivning som finns i avsnitt 4.2 och de definitioner som redovisas i bilaga 1. Den sammanlagda osäkerheten i bedömningar av samhälleliga risker karaktäriseras också på det sätt som framgår av bilaga 1. Post- och telestyrelsen 18

3 Övergripande beskrivning av identifierad samhällsviktig verksamhet inom myndighetens ansvarsområde Sektorn elektronisk kommunikation består av knappt 500 operatörer. Bland dessa operatörer återfinns multinationella företag som erbjuder ett stort antal kommunikationstjänster i ett flertal länder såväl som mindre operatörer som erbjuder en mer begränsad mängd tjänster inom ett avgränsat geografiskt område. Den sista december 2011 fanns 4,5 miljoner fasta telefoniabonnemang i Sverige varav ip-baserad telefoni svarade för 30 procent av alla fasta abonnemang. Antalet abonnemang för mobila samtals- och datatjänster ökar och i slutet av 2011 fanns 13,4 miljoner mobilabonnemang i Sverige. Marknadsstatistiken påverkar bedömningen av de samhälleliga konsekvenserna av olika avbrott. Sektorn elektronisk kommunikation stödjer samhällsviktig kommunikation inom hälso- och sjukvård, skydd och säkerhet, offentlig förvaltning och ett flertal andra samhällsviktiga verksamheter. I det här kapitlet beskrivs den samhällsviktiga verksamheten inom sektorn elektronisk kommunikation utgående från ett användarperspektiv. Denna beskrivning inleds av en översikt av den svenska telemarknaden och allmänhetens, företag och organisationers användning av elektroniska kommunikationstjänster. Beskrivningarna av den samhällsviktiga verksamheten inom sektorn ligger till grund för värderingen av risker, sårbarheter och kritiska beroenden i senare delar av denna risk- och sårbarhetsanalys. 3.1 Den svenska telemarknaden har genomgått stora förändringar 10 Den svenska marknaden för elektronisk kommunikation har under de senaste decennierna förändrats där en ökad konkurrens och teknikutvecklingen lett till ett bredare och mer diversifierat tjänsteutbud. Sektorn elektronisk kommunikation består i dag av knappt 500 operatörer. Bland dessa operatörer återfinns multinationella företag som erbjuder ett stort antal kommunikationstjänster i ett flertal länder såväl som mindre operatörer som erbjuder en mer begränsad mängd tjänster inom ett avgränsat geografiskt område. 10 Informationen i detta avsnitt hämtas från Svensk Telemarknad 2012, PTS-ER 2013:15. Post- och telestyrelsen 19

Den sista december 2012 fanns knappt 4,2 miljoner fasta telefoniabonnemang i Sverige. Av dessa abonnemang var 3,2 miljoner riktade till hushåll snarare än till företag och andra organisationer vilket gör att ungefär 68 procent av hushållen i landet har ett fast abonnemang. Abonnemangen för ip-baserad telefoni ökade och vid slutet av 2012 utgjorde dessa 35 procent av alla fasta abonnemang, totalt 1 437 000 abonnemang med en viss övervikt för xdsl jämfört med fiber-lan som teknisk distributionsform. Antalet abonnemang för mobila samtals- och datatjänster ökar och i slutet av 2012 fanns 13,9 miljoner mobilabonnemang i Sverige, en ökning från 13,4 miljoner året innan. Förutom dessa abonnemang ökade antalet telematikabonnemang 11 med 31 procent och den sista december uppgick antalet sådana abonnemang till 3 952 000. I slutet av 2012 var den klart vanligaste tekniska distributionsformen för internettjänster olika former av mobila bredbandsabonnemang med en sammanlagd marknadsandel kring 60 procent. Vid samma tidpunkt förmedlades 1 440 000, 1 034 000 och 585 000 av bredbandsabonnemangen med hjälp av xdsl, fiber eller fiber-lan respektive kabel-tvnät. Inom sektorn elektronisk kommunikation dominerar ett mindre antal operatörer marknaden. Dessa operatörer är TeliaSonera, Tele2, Telenor, Hi3G samt Comhem där respektive operatörs marknadsandel varierar för olika typer av tjänster. Tabell 1 Marknadsandelar för fasta samtalstjänster, mobila samtals- och datatjänster samt fasta datatjänster. Övriga aktörer inom sektorn svarar för resterande andel. Tjänst Marknadsandel (procent) TeliaSonera Tele2 Telenor Hi3G Comhem Fast samtalstjänst 61,1 9,9 7,6 8,3 Mobil samtalsoch datatjänst 39,0 29,7 17,1 10,6 Fast bredband 38,5 7,6 17,8 17,7 Mobilt bredband 34,5 23,3 24,1 15,2 Av det föregående framgår att mobila kommunikationsnät spelar en viktig och ökande roll i förmedlingen av både samtals- och datatjänster. Dessutom 11 Telematikabonnemang används för för maskin-till-maskin-kommunikation, Post- och telestyrelsen 20

framgår att de dominerande aktörerna tillsammans har en betydande marknadsandel vilket gör att riskbedömningarna i kapitel 4 till stor del kommer att påverkas av förhållanden för dessa operatörers nät och sådana kommunikationsnät som ägs av annan aktör men som sektorns dominerande aktörer utnyttjar. 3.2 Den samhällsviktiga verksamheten inom sektorn beror av sammanhanget Ett avbrott i någon av de tjänster som förmedlas av aktörerna inom sektorn elektronisk kommunikation påverkar dels användare, då möjligheten att utnyttja efterfrågade elektroniska kommunikationstjänster bortfaller, dels operatörer vars intäkter och förmåga att återställa nätens funktion kan minska. Bland användarna återfinns företag, myndigheter, kommuner och landsting som i varierande omfattning bedriver samhällsviktig verksamhet men också privatpersoner. I vilken omfattning som verksamheten inom sektorn elektronisk kommunikation kan anses vara samhällsviktig beror av sammanhanget. I vissa situationer kan ett omfattande avbrott inom sektorn elektronisk kommunikation tillsammans med en annan påfrestning få allvarliga konsekvenser. Avbrott inom sektorn kan i vissa fall också leda till att svåra störningar uppstår inom andra sektorer, störningar som i sin tur kan leda till att en allvarlig kris inträffar i samhället. En annan störning inom sektorn för elektronisk kommunikation, orsakad av samma underliggande tekniska orsaker, behöver inte påverka samhällsviktiga verksamheter på samma sätt. Inom sektorn elektronisk kommunikation råder i stort en likhetsprincip där samma resurser i stor utsträckning kan förväntas användas för att möjliggöra samhällsviktig kommunikation såväl vid kriser och allvarliga händelser som för vardaglig kommunikation. 3.3 Sektorn elektronisk kommunikation ger stöd till flera samhällsviktiga verksamheter Den samhällsviktiga verksamheten som sektorn stödjer kopplas till flera sektorer. Utgående från MSB:s exempel på samhällsviktig verksamhet 12 beskrivs i Tabell 2 delar av det stöd för samhällsviktig kommunikation som sektorn för elektronisk kommunikation ger. En mer detaljerad bild av de samhällsviktiga verksamheter som stöds av sektorn elektronisk kommunikation följer genom en aggregering av risk- och sårbarhetsanalyser från myndigheter, kommuner och län. 12 MSB:s faktablad kring samhällsviktig verksamhet från augusti, 2009, tillgängligt via www.msb.se. Post- och telestyrelsen 21

Tabell 2 Exempel på sektorn elektronisk kommunikations stöd till samhällsviktig verksamhet utanför sektorn elektronisk kommunikation. Verksamhet Information Finansiella tjänster Hälso- och sjukvård samt omsorg Skydd och säkerhet Transporter Energiförsörjning Offentlig förvaltning Exempel på stöd Förmedling av samhällsviktig information med hjälp av radio- och TV-utsändningar samt spridning av viktiga meddelanden till allmänheten (VMA). Stöd för betalningsförmedling, tillgång till kontanter och värdepappershandel. Informationsförmedling som stöd för verksamheten inom akutsjukhus, primärvård, psykiatri och läkemedelsförsörjning, smittskydd, samt omsorg om barn, funktionshindrade och äldre. Stöd för räddningstjänsters, polis och domstolars verksamheter samt kriminalvård, SOS Alarm, militär, kustbevakning samt tull-, gräns- och immigrationskontroll. Informationsförmedling för väg-, järnväg-, sjö- och flygtransport samt förvaltning av transportinfrastruktur. Informationsförmedling som stöd för produktion och distribution av el, fjärrvärme, fossila bränslen och drivmedel. Möjliggörande av informationsförmedling för nationell, regional och lokal ledning, diplomatisk och konsulär verksamhet. Post- och telestyrelsen 22

4 Identifierade och värderade hot, risker och sårbarheter samt kritiska beroenden inom myndighetens ansvarsområde En rad hot kan leda till avbrott inom sektorn elektronisk kommunikation. Dessa avbrott kan på olika sätt påverka individer och samhällsviktiga verksamheter. Av de hot som analyseras är förekomsten av programvarufel en betydande risk eftersom sådana programvarufel kan leda till nationell påverkan. Om en eller flera enskilda samhällsviktiga verksamheter är kritiskt beroende av den eller de tjänster som bortfaller kan mer allvarliga samhälleliga konsekvenser uppstå. Andra exempel på hot som PTS ser som allvarliga är elavbrott, stormar och andra väderfenomen som leder till omfattande elavbrott och tillhörande problem med drivmedelsförsörjning till reservelverk som används för att minimera avbrotten inom sektorn elektronisk kommunikation. Hårdvarufel och överbelastningar av tekniska system är andra exempel på hot som bedöms kunna ge negativ samhällelig påverkan. Det finns också flera hot som på kortare eller längre sikt kan förskjuta den allmänna riskbilden. Ett exempel på ett sådant hot är samhällsviktiga verksamheters värdering och upphandling av elektronisk kommunikation. I kapitel 4 genomförs riskbedömningar för de hot som har identifierats. Dessa bedömningar utgår från den riskmodell som redovisats i avsnitt 2.5 och den process som redovisas mer utförligt i bilaga 2. Ett exempel på information som används som underlag till riskbedömningar är incidentrapporter som beskriver större störningar eller avbrott. För de hot där det saknas ett tillförlitligt underlag för att uppskatta sannolikheter genomförs enbart konsekvensbedömningar. Vissa hot kan heller inte direkt kopplas till störningar eller avbrott inom sektorn elektronisk kommunikation eller brister i informationssäkerhet. För denna tredje kategori hot redovisas mer allmänna bedömningar. 4.1 Analysen omfattar ett flertal olika typer av hot Ett hot omfattar en aktörs kapacitet och avsikt att genomföra skadliga handlingar. Ett hot kan även bestå av en händelse eller en företeelse som i sig framkallar fara mot något eller någon utan att det i sammanhanget förekommer Post- och telestyrelsen 23

aktörer med kapacitet och avsikt att orsaka skada. 13 Antalet hot som kan associeras till tillgångar och processer är närmast obegränsat. PTS har utgått från en översikt av hot utgående från den internationella standarden SS-ISO/IEC 27005:2008 14 som anpassats och utvidgats för att utgöra ett brett underlag för riskbedömningar. I risk- och sårbarhetsanalysen behandlas sex primära hotkategorier: - Tekniska fel och brister: som exempelvis hårdvarufel, fel i programvara och överbelastningar - Naturligt förekommande hot: hot som har sitt ursprung i naturligt förekommande förhållanden som jordbävningar, stormar och andra liknande fenomen - Fysiska skador: hot som orsakar fysiska skador på tillgångar och förbindelser inom sektorn elektronisk kommunikation, exempelvis brand, vattenskador och avgrävningar av förbindelser - Fel eller brister i kritiska resurser och funktioner: hot som avbrott i elförsörjningen, otillgänglighet av personal och brister och fel i processer - Elektromagnetiska och termiska hot: som avsiktliga elektromagnetiska störningar, åska, rymdväder och termisk strålning - Informationssäkerhetshot: som riktas mot informationstillgångar inom sektorn elektronisk kommunikation med överbelastningsattacker, avlyssning av information och stöld av information genom logiska attacker som exempel. Inom varje hotkategori förekommer olika typer av hot: - Naturligt förekommande hot (N): är sådana hot som normalt förkommer utan att det förekommer en aktör som medvetet eller omedvetet har ett uppsåt att skada. - Avsiktliga hot (A): är sådana hot som associeras till handlingar där det förekommer en aktör med kapacitet och avsikt att begränsa eller skada sektorns förmåga att stödja samhällsviktig kommunikation. 13 MSB:s vägledning för risk- och sårbarhetsanalyser, sidan 78. 14 Flera av hoten, exempelvis brand, är att betrakta som en angivelse av hottyp där det inom hottypen förekommer stor variation. Exempelvis kan en brand representera en mycket begränsad händelse eller en mer omfattande brand i ett utrymme där centrala nätfunktioner inryms Post- och telestyrelsen 24

- Oavsiktliga hot (O): är sådana hot som orsakas av en aktörs agerande eller beslut utan medvetet uppsåt att skada. Tabell 3 Översikt av hot för sektorn elektronisk kommunikation med utgångspunkt från SS-ISO/IEC 27005:2008. Typ Hot Hottyp Tekniska fel och brister Naturligt förekommande hot vfysiska skador Bortfall av tillgångar orsakade av hårdvarufel Kortvarig störning i elförsörjning med efterföljande fel i befintlig reservkraftförsörjning Fel i programvara som styr tillgångar Oavsiktliga överbelastningar av tillgångar och förbindelser Överbelastning av mobila kommunikationsnät Förlust av förmåga att övervaka och styra informationstillgångar och nätfunktioner Klimatologiska fenomen (som torka och global uppvärmning) Seismiska fenomen (som jordbävning) Vulkaniska fenomen (som vulkanutbrott) Stormar Isstormar Snöstormar Värmeböljor Översvämning (orsakade av dammbrott eller andra orsaker) Brand Vattenskada Damm, korrosion och förfrysning Avgrävning av förbindelser Förorening (som radiologisk eller biologisk kontaminering) Händelser som förhindrar åtkomst till tillgångar N, A, O N, A, O A, O O A, O A, O N N N N N N N N A, O A, O A, O A, O A, O Post- och telestyrelsen 25

Typ Hot Hottyp inom sektorn elektronisk kommunikation Fel eller brister i kritiska resurser och funktioner Skadegörelse som påverkar tillgångar och förbindelser inom sektorn elektronisk kommunikation Stölder eller stöldförsök som direkt eller indirekt påverkar tekniska system Sabotage som riktas mot tillgångar, förbindelser och kritiska resurser inom sektorn elektronisk kommunikation Angrepp med elektromagnetiska vapen mot anläggningar där tillgångar inom sektorn elektronisk kommunikation förvaras (inklusive elektromagnetisk puls, EMP) Väpnade angrepp med konventionella vapen mot anläggningar där tillgångar inom sektorn elektronisk kommunikation förvaras Väpnade angrepp med kärnvapen, biologiska eller kemiska vapen som påverkar områden där tillgångar inom sektorn elektronisk kommunikation förvaras Avbrott i elförsörjningen längre än befintliga reservkraftsystem Bortfall av GNSS-försörjning Otillgänglighet av personal Manuell frånkoppling i elbristsituationer Förlust av luftkonditionering eller kylning Fel i användning av tillgångar Brister eller fel i funktioner för felavhjälpning Förekomster av brister i förebyggande arbete inklusive bristfälliga rutiner vid uppgradering av mjukvara Förekomst av brister i ledningsfunktioner (krisledningsfunktioner samt nätövervakning) A A A A A A A, O N, A, O N, O O N, O O O O O Post- och telestyrelsen 26

Typ Hot Hottyp Elektromagnetiska och termiska hot Informationssäkerhetshot Avsiktliga (icke-förstörande) elektromagnetiska störningar Åska Rymdväder Andra oavsiktliga eller naturligt förekommande elektromagnetiska störningar Termisk strålning Överbelastningsattacker som riktar sig mot kritiska logiska funktioner som gränsrouting och DNS Avlyssning av information i trådlösa kommunikationsnät 1 Stöld av information genom logiska attacker Avslöjande av informationstillgångar (som positionsinformation eller annan skyddsvärd information) av aktör inom sektorn elektronisk kommunikation Manipulation av tillgångar genom logiska attacker i syfte att skapa avbrott (genom virus, maskar, trojaner eller andra mekanismer) 4.2 Riskbedömningar genomförs i en stegvis process där sannolikheter och samhälleliga konsekvenser sammanvägs I enlighet med den riskmodell som beskrivs i avsnitt 2.5 sker riskbedömningar som del i en stegvis process. En riskbedömning inleds genom att en händelse identifieras där ett eller flera hot kan påverka elektronisk kommunikation negativt. Varje händelse relateras till en sannolikhet som beskriver i vilken utsträckning det kan förväntas att händelse inträffar och leder till negativa konsekvenser. Dessa negativa konsekvenser beskrivs först genom att ange den bedömda påverkan på elektronisk kommunikation som händelsen kan leda ge upphov till i termer av de resulterande avbrottens: - geografiska utbredning genom att skilja mellan lokala, regional och nationella avbrott, A N N N, O N A A A A A Post- och telestyrelsen 27

- förväntande längd med en åtskillnad mellan kortvariga, medellånga och långvariga avbrott, och - omfattning i termer av det antal operatörer och tjänster inom sektorn elektronisk kommunikation som kan påverkas. 15 Utgående från bedömningar av händelsernas påverkan på elektronisk kommunikation, i form av avbrott eller informationssäkerhetshändelser, uppskattas de negativa samhälleliga konsekvenser som följer av avbrotten. De kriterier som används för denna uppskattning utgår från MSB:s vägledning för risk- och sårbarhetsanalyser och framgår av tabell 4 nedan. 16 De bedömningskriterier som anges i vägledningen leder till att ett flertal av de händelser som kan påverka sektorn elektronisk kommunikation negativt och även leda till negativa samhällelig påverkan kommer att tillhöra någon av de lägsta nivåerna nedan, dvs. Mycket låg och Låg. Det kan noteras att de kriterier som nämns i vägledningen inte beaktar t.ex. ekonomiska förluster som kan uppstå till följd av avbrott inom sektorn elektronisk kommunikation. Tabell 4 Kriterier för bedömning av samhälleliga konsekvenser Nivå Mycket hög Hög Medel Låg Mycket låg Beskrivning Katastrofala direkta eller mycket stora indirekta hälsoeffekter, extrema störningar i samhällets funktionalitet, grundmurad misstro mot samhällsinstitutioner och allmän instabilitet, katastrofala skador på egendom och miljö. Mycket stora direkta eller betydande indirekta hälsoeffekter, mycket allvarliga störningar i samhällets funktionalitet, bestående misstro mot flera samhällsinstitutioner och förändrat beteende, mycket allvarliga skador på egendom och miljö. Betydande direkta eller måttliga indirekta hälsoeffekter, allvarliga störningar i samhällets funktionalitet, bestående misstro mot flera samhällsinstitutioner eller förändrat beteende, allvarliga skador på egendom och miljö. Måttliga direkta hälsoeffekter, begränsade störningar i samhällets funktionalitet, övergående misstro mot flera samhällsinstitutioner, begränsade skador på egendom och miljö. Små direkta hälsoeffekter, mycket begränsade störningar i samhällets funktionalitet, övergående misstro mot enskild 15 Bedömningsgrunderna för informationssäkerhetshändelser redovisas i bilaga 2 tillsammans med en mer utförlig beskrivning av PTS metodik för genomförande av risk- och sårbarhetsanalyser. 16 Vägledning för Risk- och sårbarhetsanalyser, MSB, publikationsnummer MSB245. Post- och telestyrelsen 28