1 Informationssäkerheten i den civila statsförvaltningen Internrevisorernas nätverksdag 4 maj 2015 Per dackenberg marcus pettersson
2 Vad såg Riksrevisionen 2005 2007? En serie granskningar av 11 myndigheters och regeringens arbete med informationssäkerhet Myndigheternas arbete med informationssäkerhet hade brister Regeringen hade inte följt upp om myndigheternas interna styrning och kontroll hade varit tillfredsställande Regeringen hade inte gett myndigheterna bra förutsättningar för ett effektivt informationssäkerhetsarbete
3 Vad har Riksrevisionen nu granskat? Om regeringens styrning av informationssäkerhet i den civila statsförvaltningen är effektiv Om regeringens stödmyndigheter har vidtagit tillräckliga åtgärder för att informera sig och regeringen om vilka hot som finns, i vilken omfattning de realiseras och vilka skyddsåtgärder som vidtas
4 Vad har Riksrevisionen nu sett? Allvarliga brister i myndigheternas risk- och sårbarhetsanalyser Låg efterlevnad av MSB:s föreskrifter om ledningssystem för informationssäkerhet (LIS) Lätt att bryta sig in i samhällsviktiga system Säkerhetsskyddet för myndigheter med högst skyddsvärde har allvarliga brister Ingen samlad lägesbild av hoten, de faktiska händelserna som inträffar och vilka skyddsåtgärder som vidtas av myndigheterna Inte heller någon aggregerad redovisning av bristerna
Samlad slutsats av granskningen Arbetet med informationssäkerheten är inte ändamålsenligt sett till de hot och risker som finns Regeringen har inte utövat en effektiv styrning av informationssäkerheten Stödmyndigheterna har endast delvis vidtagit nödvändiga åtgärder för att informera sig och regeringen om vilka hot som finns, i vilken omfattning de realiseras och vilka skyddsåtgärder som vidtas 5
6 Övriga slutsatser Oklart resursläge Saknas en samlad avvägning för hur mycket resurser som behöver satsas på skyddsåtgärder sett till de risker som finns. Ansvarsprincipen bra, men inte tillräcklig Problemen blir uppmärksammade ändå uteblir åtgärder
7 Rekommendationer till regeringen Utöka tillsynen Låt utreda regelverket Överväg att låta tillsyn kombineras med sanktioner Inför obligatorisk incidentrapportering Skapa en samlad funktion i Regeringskansliet för att hantera informationssäkerheten i statsförvaltningen
8 Rekommendationer till stödmyndigheterna Skapa en gemensam lägesbild Fler myndigheter bör redovisa sin risk- och sårbarhetsanalys till Regeringskansliet och MSB Lämna nödvändigt stöd till de myndigheter som inte uppfyller LIS Säkerhetspolisen och FRA bör var för sig systematiskt avge aggregerade rapporter om säkerhetsläget till Regeringskansliet och MSB
Pågående granskning (förstudie) om informationssäkerheten på myndighetsnivån 9 ESV konstaterar att det i dag varken med stöd av myndigheternas extern- eller internredovisning går att mäta IT-kostnader på ett strukturerat sätt. Om inte sakligt underbyggda underlag för kostnader är framtagna påverkas förmågan att etablera optimal säkerhet negativt ur ett totalt ekonomisk perspektiv (samhällsekonomiskt och företagsekonomiskt). Avsaknaden av tillräckliga underlag när det gäller kostnader försvårar för myndighetsledningen att motivera utgifter för att reducera risk. En trolig konsekvens av det blir att ledningar underfinansierar arbetet med riskreducering. Hypotesen är att i konkurrensen om resurser förlorar gissningsvis det mål som inte klarar av den kostnads- intäktsbaserade konkurrensen med andra behjärtansvärda mål. Ofta görs inte kostnadsuppskattningar ens på medialt uppmärksammade händelser. Svårigheten att göra uppskattningar är också enligt MSB ett symptom på ett djupare problem: de flesta företag och verksamheter vet inte hur sårbara de är, de vet inte vad driftavbrott kan komma att kosta när de gör sin riskhantering och de har till och med i efterhand svårt att beräkna kostnaderna för inträffade driftavbrott.