MSB:s arbete med samhällets information- och cybersäkerhet - Perspektiv län och kommun

Relevanta dokument
MSB:s arbete med samhällets information- och cybersäkerhet. Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)

MSB roll och uppgift i stort och inom informationssäkerhet

Myndigheten för samhällsskydd och beredskap

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Säker digital utveckling i kommuner. Välfärdskonferens 2018

Psykologiskt försvar Informationspåverkan och cyberförmåga

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Informations- och cybersäkerhet - Med fokus på processindustrin. Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)

Välkommen till enkäten!

Informationssäkerhetspolicy inom Stockholms läns landsting

MSB:s vision. Ett säkrare samhälle i en föränderlig värld

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

NIS-reglering.

En bild av kommunernas informationssäkerhetsarbete 2015

Hur värnar kommuner digital säkerhet?

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Stöd för arbetet med regleringsbrevsuppdrag Informationssäkerhet i RSA

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Strategiska hot- och risker i ett totalförsvarsperspektiv - Presentation på konferensen Digitaliseringen förändrar energisektorn- 17 maj 2018

Informationssäkerhetspolicy för Ånge kommun

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Myndigheten för samhällsskydd och beredskaps författningssamling

Policy för informations- säkerhet och personuppgiftshantering

Nationell risk- och förmågebedömning 2017

En bild av myndigheternas informationssäkerhetsarbete tillämpning av MSB:s föreskrifter

Säkerhet i industriella informations- och styrsystem

Policy för informationssäkerhet

Informationssäkerheten i den civila statsförvaltningen

Samhällets informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Nya krav på systematiskt informationssäkerhets arbete

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Informationssäkerhetspolicy

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy KS/2018:260

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Konsekvensutredning rörande reviderade föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Strategi för förstärkningsresurser

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Informationssäkerheten i Sveriges kommuner. Analys och rekommendationer utifrån MSB:s kommunenkät 2015

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Analys av Svensk e-legitimation

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

Handlingsplan för Samhällsstörning

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Bilaga Från standard till komponent

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Informationssäkerhetspolicy för Katrineholms kommun

Så är vi redo om krisen kommer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Informationssäkerhetspolicy

Nytt metodstöd för systematiskt informationssäkerhetsarbete. Revidering av MSB:s metodstöd. Per Oscarson, Oscarson Security AB Carl Önne, MSB

1(6) Informationssäkerhetspolicy. Styrdokument

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Informationssäkerhet - Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

- Vad du behöver veta om NIS

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy. Linköpings kommun

Styrdokument för krisberedskap i Timrå kommun. Inledning. FÖRFATTNINGSSAMLING Nr KS 11 1 (9) Fastställd av kommunstyrelsen , 240

INFORMATIONSSÄKERHET ETT HINDER ELLER EN MÖJLIGGÖRARE FÖR VERKSAMHETEN

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

RSA från lokal- till europeisk nivå

Styrdokument för krisberedskap i Markaryds kommun

Policy och strategi för informationssäkerhet

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Styrdokument krisberedskap Sundsvalls kommun

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Säkerhetspolicy för Västerviks kommunkoncern

Stora pågående arbeten

Vetenskapsrådets informationssäkerhetspolicy

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Justitiedepartementet Stockholm

Kommunernas krisberedskap - uppföljningsprocessen. Tomas Ahlberg

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Kommunernas krisberedskap - uppföljningsprocessen

Svensk författningssamling

FÖRFATTNINGSSAMLING Flik Säkerhetspolicy för Vingåkers kommun

Administrativ säkerhet

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Informationssäkerhetspolicy

Organisation för samordning av informationssäkerhet IT (0:1:0)

Ett säkrare samhälle i en föränderlig värld

Föreskrifter om risk- och sårbarhetsanalyser för kommun och landsting Remiss från Myndigheten för samhällsskydd och beredskap

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

FORSA en mikrokurs. MSB:s RSA-konferens, WTC,

Informationssäkerhetspolicy

POLICY INFORMATIONSSÄKERHET

Transkript:

MSB:s arbete med samhällets information- och cybersäkerhet - Perspektiv län och kommun Richard Oehme Verksamhetschef Verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet (MSB) Twitter: @RichardOehme

Verksamhetens organisation Verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet Ledningsstöd Enheten för systematiskt informationssäkerhetsarbete Enheten för skydd av kritisk infrastruktur och cybersäkerhet Enheten för operativ cybersäkerhet och it-incidenthantering CERT-SE NOS

Metoder FÖREBYGGA / FÖRBEREDA MEDVETANDEHÖJA Kunskapsförsörjning SAMVERKA HANTERA

SAMVERKAN Samverkan en absolut förutsättning för att lyckas Nationella samverkansgrupper informationssäkerhet Samverkansgrupp för informationssäkerhet (SAMFI) Informationssäkerhetsrådet (POS) Grupp för informationsdelning med inriktning på vårdsektorn (POS) Grupp för informationsdelning med inriktning på industriella informations- och styrsystem (POS) Grupp för informationsdelning med inriktning på finanssektorn (POS) Nationella telesamverkansgruppen (POS) Grupp för informationsdelning inom underrättelse- och säkerhetstjänsterna Grupp för informationsdelning med fokus på telekommunikation Forskningsnätverk (SWITS) Nationellt CERT-forum Kommunnätverk (KIS) Landstingsnätverk (NIS) Myndighetsnätverk (SNITS) POS= Privatoffentlig samverkan

Hot, risker och sårbarheter

Utmaningen

Text

Hot, risker och sårbarheter

Miljöbetingad påverkan Mänsklig och Naturlig påverkan Mänsklig påverkan Temperatursensorer som inte fungerar - serverhallen överhettas och börjar brinna med stora konsekvenser för kommunen som inte har en backup Fiberkablar som grävs av gör att företag som inte har redundans inte kan bedriva sin verksamhet Ett hårdvarufel i en internationellt såld router (växel) orsaker störningar globalt En återkommande glich (blinkning) i en buss (övergång mellan olika delar) i en stordator orsakar att bankomaterna i en större internationell bank inte fungerar Naturlig påverkan Solstorm kan göra att kommunikationsutrustning inte fungerar med stora konsekvenser för samhällsviktig verksamhet Översvämningar gör att datorhallen för att storsjukhus översvämmas med inställda patiensbesök och operationer som konsekvens under längre tid

Hot, risker och sårbarheter

Mänsklig inverkan - Oavsiktlig påverkan En person sitter och talar på en buss om det stora forskningsgenombrott de just gjort Bakom sitter en representant för konkurrenten E-post med sekretessuppgifter kring en upphandling skickas till alla på företaget En kommun sänder av misstag ut brev till avlidna personer Personalen på ett sjukhus kopplar av misstag ihop två olika datanät vilket får till följd att sjukhuset i princip slås ut under en hel dag. En anställd glömmer en USB-pinne med hemliga uppgifter i en dator på det offentliga biblioteket En myndighetsledning med ansvar för viss samhällsviktig verksamhet väljer av kostnadsskäl att inte etablera en reservdatahall vilket får till konsekvens att när temperatursensorn inte fungerar och datorhallen brinner ner så kan man inte leverera dessa tjänster.

Hot, risker och sårbarheter

Mänsklig inverkan - Aktörsrelaterade hot (Problembild) Nationalstater Terrorister Org. brottslighet Industrispioner Hackaktivister Hackers Politisk agenda Strategiska mål Politisk agenda Egenintresse Egenintresse, företrädesvis mot konkurrenter Egenintresse, mot företag, org. och myndigheter Självhävdelse, riktat mot IT-system Potentiell Skada

Stuxnet (Avsiktligt och mycket avancerat) Riktad attack mot urananrikningsanläggning i Iran. Genom att slumpmässigt ställa om hastigheten på ett antal centrifuger försenade angriparen irans program för anrikning av uran med två år

Ofta är systemen geografiskt distribuerade

Kunskapsuppbyggnad vid en händelse Justitie departementet Allriskperspektiv Försvars- underrättelser Polisiär information Lägesrapporter Analyser Lägesbilder Konsekvensanalyser Identifiera gap Direktsamverkan Samverkanskonferenser Informationssamordning Myndigheter Länsstyrelser Privat sektor Kommuner Frivilligorg.

Grunder Ett säkrare Internet i Sverige. Nationell CERT Statlig CERT MSB/CERT-SE är en teknisk resurs med spetskompetens inom incidentområdet och är tillgänglig för alla organisationer inom Sverige. Uppgift: Ett huvudansvar för it-incidenthantering inom ramen för MSB breda informationssäkerhetsuppdrag - I detta ingår att agera skyndsamt vid inträffade it-incidenter genom att sprida information samt vid behov medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade.

MSB Lägesbild RK, samhället Information MSB Lägesbild och beredskap Lägesbild och Beredskap Stockholm Lägesbild och Beredskap Karlstad En lägescentral Två geografiska platser Lägesbild Digital LB Samhällelig LB Information CERT-SE Nationell operativ samverkansfunktion för Informationssäkerhet (NOS) Informationssäkerhetsrelaterad lägesbild MSB Övriga informationssäkerhetsresurser It-säkerhetsrelaterad lägesbild

En bild av myndigheternas informationssäkerhetsarbete 2014 Enkätundersökning februari 2014 Utskick till samtliga statliga myndigheter som omfattas av föreskrifterna MSBFS 2009:10 om statliga myndigheters informationssäkerhet Speglar respondenternas bild ingen bedömning av ändamålsenlighet Följdes upp av djupintervjuer. 95 % besvarade enkäten

Några ingångsvärden MSBFS föreskrifter statliga myndigheters informationssäkerhet innehåller en rad ska-krav rörande systematiskt informationssäkerhetsarbete - Basen för detta är informationens konfidentialitet, tillgänglighet och riktighet Att arbeta systematiskt ställer krav på att arbeta processorienterat - flera av frågorna har sådant fokus (ex analysera-genomföra-följa upp) Organisationens förutsättningar, ex tillgång till modeller och strukturer, är i hög grad avgörande för ett systematiskt arbete

Andel % Styrning av arbetet - bristande kontroll Samtliga myndigheter 84 % har en informationssäkerhetspolicy. 26 % kontrollerar inte efterlevnaden, det vill säga ifall policyer och riktlinjer följs av medarbetarna. Länsstyrelserna 80 70 60 50 40 30 20 10 Kontroll av efterlevnad Policy: Samtliga länsstyrelser har en informationssäkerhetspolicy. 10 % anger dock att policyn är under fastställande. 0 Ja Inga dokument Nej Alla 65 9 26 LST 29 0 71 Kontroll: 71 % av länsstyrelserna kontrollerar inte hur och om medarbetarna efterlever de styrande dokumenten.

Enkätundersökningen ger en bild av hur kommunerna själva uppfattar sitt arbete med informationssäkerhet. Det handlar om en kvantitativ undersökning, en självskattning och svaren har inte kompletterats med något underlag från kommunerna. Att arbeta systematiskt ställer krav på att arbeta processorienterat - flera av frågorna har sådant fokus (ex analysera-genomföra-följa upp) Organisationens förutsättningar, ex tillgång till modeller och strukturer, är i hög grad avgörande för ett systematiskt arbete Enkäten gick ut till samtliga 290 kommuner i april 2015 o ch var öppen för svar till slutet av juni samma år. Svarfrekvensen blev 228 kommuner (78,6 %) som svarade fullständigt på enkäten och 27 kommuner (9,3 %) besvarade enkäten delvis.

Föreskrifterna för arbetet med riskoch sårbarhetsanalys - Ställer tydligare krav på informationssäkerhet

Indikatorerna för bedömning av kommunens generella krisberedskap Syftet med en bedömning av aktörens generella krisberedskap är att få en övergripande bild av de förutsättningar de olika aktörerna har att förebygga och hantera kriser oavsett händelse. För detta används indikatorerna som värderings- och mätinstrument.

Samarbete Länsstyrelsen 189 av de 251 kommuner som svarat på frågan anger att de inte har ett etablerat samarbete i informationssäkerhetsfrågor med Länsstyrelsen Kommuner 116 av de 255 kommuner som svarat på frågan anger att kommunen inte har ett etablerat samarbete i informationssäkerhetsfrågor med andra kommuner

Systematisk arbete 170 av de 241 kommuner som har svarat på enkätfrågan (dvs. 71 %) anger att de inte arbetar systematiskt med informationssäkerhet De 71 kommuner som svarat att de arbetar systematiskt med informationssäkerhet använde flera olika metoder som stöd för sitt arbete. Främst uppgavs standarderna inom ISO 27000-serien, BITS och Metodstödet på informationssäkerhet.se (som bygger på ISO 27000- serien)

Informationssäkerhetspolicy 67 av de 242 kommuner som har svarat på enkätfrågan (dvs. 28 %) angav att de inte har en informationssäkerhetspolicy som är beslutad av kommunens ledning.

Funktion för informationssäkerhet 102 av de 251 kommuner som svarat på enkätfrågan anger att de inte har någon utpekad funktion för informationssäkerhet som ex. informationssäkerhetschef- /samordnare. Var den här funktionen är placerad organisatoriskt varierar, men vanligast är antingen inom itorganisationen (IT/service), inom räddningstjänsten eller på ledningskontor/kommunledning.

Arbetstid som läggs på info.säk Av de 149 kommuner som svarat att det finns en utpekad informationssäkerhetsfunktion uppger nästan hälften av kommunerna, 70 stycken, att funktionen lägger mindre än 10 % av sin arbetstid på informationssäkerhet. 172 kommuner av de som svarat på de här frågorna har antingen ingen informationssäkerhetsfunktion eller har en sådan funktion som arbetar mindre än 10 % av sin arbetstid med informationssäkerhet.

Riskanalyser 100 av de 241 kommuner som svarat på enkätfrågan (dvs. 41 %) anger att de inte gör en riskanalys avseende informationssäkerhet Ett flertal anger i en följdfråga att riskanalyser sker reaktivt, efter incidenter.

Kontinuitetsplanering 141 av de 237 kommuner som svarat på enkätfrågan anger att det inte finns kontinuitetsplaner framtagna för att hantera bortfall av information i kritiska verksamhetsprocesser inom kommunen. Grundläggande vid kontinuitetsplanering är att identifiera kritiska verksamhetsprocesser som, om de av någon anledning skulle sluta fungera, skulle få stora negativa återverkningar på organisationens verksamhet, för samhället eller medborgare.

Utbildning för medarbetare 136 av de 241 kommuner som svarat på frågan anger att de inte erbjuder utbildning i informationssäkerhet för kommunens medarbetare?

Skydd av kritisk infrastruktur 93 kommuner anger att de inte har identifierat industriella informations- och styrsystem som kritiskt infrastruktur. Huvudansvaret för att skapa en god säkerhet vilar på den aktör som tillhandahåller samhällstjänsten, vilket i många fall är kommunalt ägda bolag.

Fördjupad kommunstudie

Rekommendationer - Preliminära Utse en funktion för informationssäkerhet. Det första funktionen bör göra är att ta fram en analys av nuläget i kommunen. Informera ledningen hur nuläget ser ut. Visa exempel på reella hot och inträffade incidenter. Skapa en handlingsplan utifrån nuläget. Handlingsplanen bör beslutas av ledningen. Identifiera vilken information som hanteras i verksamheten. Klassa sedan informationen efter hur allvarliga konsekvenserna skulle bli av bristande informationssäkerhet. Ta fram styrdokument. Se till att höja säkerhetsmedvetandet inom kommunen. Ta fram informationssäkerhetsrelaterade krav som sedan används vid upphandlingar. Gör uppföljningar. Se över om kommunen efterlever det som står i de framtagna riktlinjerna.

Råd & stöd

Informationssäkerhet trender 2015

Informationssäkerhet.se

DISA MSB:s informationssäkerhetsutbildning för användare på http://disa.msb.se Består av: Film Informationstext Frågebank Intyg DISA: Datorstödd informationssäkerhetsutbildning för användare. Ny version 2, som öppen webbtjänst, sedan september 2011

msb.se informationssakerhet.se cert.se krisinformation.se dinsakerhet.se sakerhetspolitik.se

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss