Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1 Myndigheten för samhällsskydd och beredskap föreskriver följande med stöd av 21 förordningen (2015:xxx) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Inledande bestämmelse 1 Denna författning innehåller föreskrifter om hur statliga myndigheter ska rapportera it-incidenter som inträffat i myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller till en annan organisation, enligt 20 förordningen (2015:xxx) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Författningen gäller för statliga myndigheter under regeringen med undantag för Regeringskansliet, kommittéväsendet, Säkerhetspolisen, Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt och Totalförsvarets forskningsinstitut. För utlandsmyndigheterna tillämpas bestämmelserna endast i den utsträckning som bestäms i föreskrifter som meddelas av Regeringskansliet (Utrikesdepartementet). Kontaktuppgifter 2 Varje myndighet ska meddela aktuella kontaktuppgifter till den funktion som ska motta återkoppling från Myndigheten för samhällsskydd och beredskap. Rapporteringspliktiga it-incidenter 3 I 20 förordningen (2015:xxx) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap finns grundläggande bestämmelser om vilka it-incidenter som ska rapporteras till Myndigheten för samhällsskydd och beredskap. 1 Allmänna råd som ansluter till föreskrifterna finns på sid 4. 1
It-incidenten kan bestå i 1. störning i mjuk- eller hårdvara, såsom fel i system, komponent eller programvara samt oväntad funktion i system eller komponent eller systemkrasch, 2. störning i driftmiljö, såsom haveri i tekniskt system eller komponent, förlust av tillgänglighet i system, eller 3. dataförlust eller dataläckage, såsom förlust av tillgänglighet till eller läckage av information i myndighetens informationssystem, felaktig avyttring av teknisk utrustning som innehåller information som inte ska vara allmänt tillgänglig, eller otillåtet offentliggörande av sådan information. It-incidenten kan ha orsakats av 1. säkerhetsbrist i en produkt, såsom säkerhetslucka eller annan sårbarhet i tekniskt hjälpmedel som används av myndigheten, 2. extern attack, såsom överbelastningsattack, införande av skadlig kod, intrång i informationssystem (s.k. hackning), olovligt nyttjande eller annat missbruk av lösenord, olovlig åtkomst till information genom skadliga program och obehörig användning av informationssystem, 3. mänskligt fel vid användning, såsom internt felaktigt bruk eller felaktig implementering av tekniskt system eller komponent, 4. intern händelse, såsom elektriskt fel, vattenskada eller störning i funktioner för avbrottsfri kraftförsörjning, säkerhetskopiering, kylning eller ventilation, eller 5. extern händelse, såsom avbrott i elektronisk kommunikation, strömavbrott, brand, explosion eller naturhändelse. När rapportering ska ske 4 Varje myndighet ska rapportera en it-incident senast 24 timmar efter det att myndigheten upptäckt incidenten. Hur rapportering ska ske 5 Rapporterna ska lämnas till Myndigheten för samhällsskydd och beredskap via anvisade kontaktvägar. 6 En rapport ska innehålla 1. myndighetens namn, 2. en beskrivning av it-incidenten, 3. den exakta eller uppskattade tidpunkten för när it-incidenten inträffade, 4. när myndigheten upptäckte it-incidenten och om den alltjämt pågår eller är avslutad, 2
5. till vilken eller vilka kategorier enligt 3 som it-incidenten hör, samt 6. myndighetens preliminära bedömning av it-incidentens omfattning och konsekvenser. MSBFS 7 På begäran av Myndigheten för samhällsskydd och beredskap ska en rapporterande myndighet komplettera inlämnade uppgifter om en it-incident med de uppgifter som behövs för att klarlägga hur it-incidenten kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Kompletterande uppgifter ska lämnas snarast, dock senast inom två veckor, om inget annat överenskommits med Myndigheten för samhällsskydd och beredskap. Preliminär rapport om en it-incident 8 En myndighet som inte kan lämna en fullständig rapport får i samråd med Myndigheten för samhällsskydd och beredskap lämna en preliminär rapport. Den preliminära rapporten ska innehålla den information som finns att tillgå vid inrapporteringstillfället. Myndigheten ska snarast, dock senast inom två veckor, från att it-incidenten upptäcktes lämna en fullständig rapport enligt 6. Utkontraktering 9 Ansvaret för att rapportera it-incidenter gäller oavsett om informationsbehandlingen sker inom myndigheten eller är utkontrakterad till annan än statlig myndighet. Ansvaret i första stycket gäller inte för sådan informationsbehandling som är utkontrakterad om åtgärden skulle strida mot avtal som ingåtts före denna författnings ikraftträdande. Polisanmälda it-incidenter 10 I det fall en myndighet har polisanmält en it-incident behöver myndigheten inte lämna en rapport enligt 6 utan endast en kopia på polisanmälan. Denna författning träder i kraft den 4 april 2016. 3
Myndigheten för samhällsskydd och beredskaps allmänna råd om statliga myndigheters rapportering av it-incidenter Dessa allmänna råd ansluter till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av itincidenter. Termer och uttryck som används i föreskrifterna används med samma betydelse i dessa allmänna råd. Allmänna råd har en annan juridisk status än föreskrifter. Allmänna råd är inte tvingande. Deras funktion är att förtydliga innebörden i lag, förordning eller myndighetsföreskrifter och att ge generella rekommendationer om deras tillämpning. Allmänna råd är markerade med grå bakgrund. 4
Författningens syfte och tillämpningsområde (1-2 ) Bakgrund Föreskrifterna om it-incidentrapporteringen syftar till att skapa en systematisk, bred och samlad rapportering av it-incidenter. En sådan rapportering ökar möjligheten att hantera och begränsa följderna av itincidenter. De myndigheter som inte omfattas av kravet på obligatorisk itincidentrapportering är de myndigheter som framgår av 3 i förordningen (2015:xxx) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. MSBFS It-incidenthantering Varje myndighet ansvarar för att ta fram de processer och rutiner som myndigheten behöver för att kunna uppfylla kraven på itincidentrapportering enligt denna författning. Enligt Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet ska en myndighet ha rutiner för att identifiera, rapportera, bedöma, hantera och dokumentera incidenter som kan påverka säkerheten i den informationshantering som myndigheten svarar för eller i tjänster som myndigheten tillhandahåller åt en annan organisation. Myndigheten ska även ha processer för att lära av sådana inträffade incidenter och utförda åtgärder. It-incident Begreppet it bör tolkas som teknik för insamling, lagring, bearbetning, produktion, återfinnande samt kommunikation och presentation av information (data, text, ljud, bild). Med it-incident bör förstås som en oönskad och oplanerad it-relaterad händelse som kan påverka säkerheten i organisationens eller samhällets informationshantering och som kan innebära en störning i organisationens förmåga att bedriva sin verksamhet. Begreppet it-incident rymmer både tekniskt orienterade säkerhetsincidenter och informationssäkerhetsaspekter. Definitionen harmonierar med svenska och internationella standarder inom ISO/IEC 27000-serien och de begrepp som används internationellt. En it-incident kan således vara en händelse som påverkar eller stör data, telekommunikation, hård- eller mjukvara. Orsaken kan vara bristande kompetens, mänskliga misstag, tekniska sammanbrott eller naturhändelser. 5
Kontaktuppgifter Kontaktuppgifter till den funktion vid myndigheten som ska ta emot återkoppling bör inkludera telefonnummer, e-postadresser och postadress samt uppgifter om bemanning. Förändrade kontaktuppgifter bör snarast rapporteras till Myndigheten för samhällsskydd och beredskap. Rapporteringspliktig it-incident (3 ) Det har blivit allt vanligare att myndigheter, parallellt med att kommersiella it-relaterade tjänster upphandlas, även samverkar sinsemellan och med kommuner kring olika typer av it-relaterade lösningar. Sådana samarbeten kan till exempel vara gemensamma system, gemensamma driftmiljöer, gemensamma kommunikationslösningar eller molntjänster. Störningar i denna typ av lösningar kan leda till att verksamheten hos ett flertal myndigheter påverkas negativt. Det är därför viktigt att de rapporteras. För bedömning av allvarlighetsgraden hos en it-incident bör myndigheten ta del av information som tillhandahålls på Myndigheten för samhällsskydd och beredskaps webbplats www.cert.se. Dataförlust eller dataläckage Tillgänglighetsförluster kan vara permanenta eller temporära. Exempelvis är en informationsförlust orsakad av brand i serverhall ofta permanent, medan systemfel eller en omfattande överbelastningsattack kan leda till temporär tillgänglighetsförlust. Dataläckage innebär att myndighetens information inte gått förlorad men att någon på obehörigt sätt skaffat sig tillgång till den. Vid dataläckage kan det vara svårt att bedöma hur stor spridning informationen fått eller om läckaget inneburit att aktören som skaffat sig tillgång till informationen behållit den för eget bruk. Osäkerhet kring hur stor spridning informationen fått bör beaktas vid bedömningen av hur allvarlig incidenten är. Extern attack Det kan ofta vara svårt att i ett initialt skede avgöra varifrån en attack kommer eller om det faktiskt rör sig om en attack. Som extern attack räknas även attacker som möjliggjorts eller genomförts av egen personal eller personer som på motsvarande sätt har en anknytning till den drabbade myndigheten, exempelvis inhyrd personal. 6
Intern händelse En intern händelse har sitt ursprung i något som inträffar i myndighetens lokaler, hos annan som myndigheten har utkontrakterat sin informationsbehandling till, eller på annan plats som myndigheten helt eller delvis har kontroll över. Rapportering av it-incidenter (4-10 ) Tidsram När drabbade myndigheter rapporterar inom 24 timmar från upptäckt får Myndigheten för samhällsskydd och beredskap på ett tidigt stadium indikationer på om till exempel flera myndigheter eller organisationer samtidigt drabbats. Sådana incidenter kan kräva omedelbara åtgärder, såväl av den rapporterande aktören som på en samhällsnivå. Fler aktörer än de som direkt är berörda kan då få en tidig återkoppling. Myndigheten anses ha upptäckt it-incidenten när information om den hanteras i utpekad intern process för hantering av it-incidenter eller när säkerhetsansvarig eller motsvarande fått kännedom om incidenten. Anvisade kontaktvägar Myndigheten för samhällsskydd och beredskap anvisar ett tekniskt gränssnitt för inrapportering av it-incidenter, samt tillhandahåller den information som behövs för att använda gränssnittet. Av olika skäl kan det finnas behov av att använda alternativa kontaktvägar, såsom e-post eller telefon. Information om anvisade kontaktvägar för obligatorisk it-incidentrapportering finns på Myndigheten för samhällsskydd och beredskaps webbplats www.cert.se där teknisk information av betydelse för itincidenthantering publiceras. Rapport om en it-incident En beskrivning av it-incidenten bör innehålla en övergripande redovisning av händelseförlopp och vidtagna åtgärder. Konsekvenser bör beskrivas med stöd av den kategorisering som Myndigheten för samhällsskydd och beredskap tillhandahåller på webbplatsen www.cert.se. 7
Kompletterande uppgifter Om det finns misstankar om att inrapporterade it-incidenter kan få snabb spridning eller omfattande konsekvenser för samhället kan en fördjupad analys behövas. Då kan rapporterande myndigheter uppmanas att komplettera sina uppgifter. Kompletterande uppgifter kan också komma att begäras in för att avgöra om it-incidenter som olika myndigheter har rapporterat in har något samband med varandra eller om de exempelvis har orsakats av samma säkerhetsbrist i en produkt. Syftet med att komplettera uppgifter är att förbättra möjligheterna att bidra i arbetet med att begränsa skada och förebygga liknande it-incidenter i samhället. I dialog med Myndigheten för samhällsskydd och beredskap avgörs vilken information som den rapporterande myndigheten bör komplettera med och hur den ska hanteras. Preliminär rapport En preliminär rapport bör innehålla uppgift om när myndigheten upptäckte it-incidenten, om den fortfarande pågår eller är avslutad, samt vilken trolig kategori i författningens 3 som incidenten hänför sig till. En myndighet som saknar underlag för rapport enligt 6 bör senast åtta timmar innan tidsfristen går ut, ta kontakt med Myndigheten för samhällsskydd och beredskap för samrådsdiskussion om att lämna en preliminär rapport. En preliminär rapport bör endast lämnas i undantagsfall. Utkontrakterad informationsbehandling Myndigheten bör i avtal om utkontraktering säkerställa att skyldigheter enligt dessa föreskrifter kan uppfyllas. 8