TMALL 0141 Presentation v 1.0 Cybersäkerhet och ny lagstiftning
Bertil Bergkuist Säkerhet och Risk IT IT-Säkerhetssamordnare bertil.bergkuist@trafikverket.se Direkt: 010-125 71 39 Trafikverket Solna strandväg 98 171 54 Solna Telefon: 0771-921 921 www.trafikverket.se 2
3 En värld i fred..1989 2010..
4 Nu en värld i förändring... och osäkerhet...
DN Debatt 2017-01-07 1 Militära hot. 2 Informations- och cybersäkerhet. Vi ska utveckla vår kapacitet att minska sårbarheter, motstå försök till påverkan, och stärka vår informations- och cybersäkerhet. 3 Terrorism och våldsbejakande extremism. 4 Organiserad brottslighet. 5 Hot mot energiförsörjning. 6 Hot mot transporter och infrastruktur. Vitala delar av transportinfrastrukturen i Sverige ska få ett bättre skalskydd. 7 Hälsohot. 8 Klimatförändringar. 5
Totalförsvaret är under uppbyggnad 6
Målbilden för Sverige är att år 2020 åter har ett fungerande Totalförsvar Trafikverket ska då kunna : Hantera verksamhet och stöd till Totalförsvaret med inneboende robusthet, uthållighet och förmåga att hantera komplexa händelser Skydda kritiska datasystem, transport- och kommunikationssystem Förmåga att efter störning med resurser styrbara inom Sverige kunna komma igång igen eller ha en förmåga att använda andra alternativ Säkerställa att Trafikverkets stöd till Totalförsvaret är en prioriterad uppgift Identifiera vilka privata samhällsviktiga aktörer som krävs i vår verksamhet eller stöd till Totalförsvaret och säkerställa detta stöd i avtal Identifiera vilka materiella resurser som kan behöva förhandslagras i Sverige för att säkerställa vår verksamhet eller stöd till Totalförsvaret Ref: bl.a. Skrivelse FM2016-13584:3 / MSB 2016-25 http://www.forsvarsmakten.se/sv/aktuellt/2016/06/forsvarsmakten-och-msb-lagger-grunden-for-en-sammanhangande-planering-for-totalforsvaret/ 7
8 EU NIS Direktiv
Börjar sannolikt att gälla under 2018 Utmaning nu är att anpassa föreslagen lagstiftning till Svenska NISU-utredningen och EU NIS direktiv. 9
Betänkandet om ny Säkerhetsskyddslag (1) I övrigt säkerhetskänslig verksamhet kan även omfatta ITsystem som är av central betydelse för ett fungerande samhälle. Det kan vara fråga om IT-system som styr viktiga samhällsfunktioner eller som hanterar information där informationens tillgänglighet eller riktighet är av kritisk betydelse för ett fungerande samhälle. Medför att betydligt mer inom Trafikverket kan komma att omfattas av krav på Säkerhetsskydd. 10
Betänkandet om ny Säkerhetsskyddslag (2) Utredningen har gett exempel på områden, verksamheter och funktioner som är av sådan karaktär att de skulle kunna omfattas av krav på skydd enligt säkerhetsskyddslagen. Av dessa bedöms nedanstående sektorer åtminstone ha en direkt eller indirekt påverkan på Trafikverket : Totalförsvaret Energiförsörjning Elektronisk kommunikation Skydd mot olyckor Annan livsmedelsförsörjning (b.la. Transport av livsmedel i en obruten kylkedja.) Transporter och kommunikation 11
Betänkandet om ny Säkerhetsskyddslag (3) Transporter och kommunikation Denna sektor avser transporter på land, till sjöss eller i luften som kan anses skyddsvärda. Till dessa räknas både själva färdmedlen, viktiga styrsystem och den infrastruktur som behövs för att transporterna ska fungera, t.ex. system för styrning av kritiska järnvägsväxlar. I sammanhanget bör beaktas att transporter är direkt eller indirekt beroende av el, både för själva transporten, för stödfunktioner och för transport av bränsle. 12
13 Remissvar på SOU 2015:25
NISU - Nationell Informations- SäkerhetsUtredning
15 EU NIS Direktiv
Strategi för informations- och cybersäkerhet i staten http://www.sou.gov.se/wp-content/uploads/2015/03/sou-2015_23_webb.pdf 16
Strategi för informations- och cybersäkerhet i staten http://www.sou.gov.se/wp-content/uploads/2015/03/sou-2015_23_webb.pdf 17
18 Remissvar SOU 2015:23
Försvarspolitisk inriktningsproposition
20 EU NIS Direktiv
21 Försvarspolitisk inriktningsproposition 2015
22
23 USA kan slå ut satellit och internet i ditt hus SvD 2016-07-22
EU-direktivet för nät- och informationssäkerhet
25 EU NIS Direktiv
EU-direktivet för nät- och informationssäkerhet (NIS) (1) EU parlamentet röstade 2016-07-06 igenom NIS-Direktivet och Sverige har nu lite mer än 21 månader på sig att införa reglerna i Svensk lagstiftning. (Senast klart runt April 2018) 26
EU-direktivet för nät- och informationssäkerhet (NIS) (2) Krav på säkerhet (åtgärd!) och skyldigheten för samhällsviktiga företag som levererar tjänster inom sektorer såsom energi, transport, sjukvård, ekonomi och leverans av dricksvatten att rapportera säkerhetsincidenter. Det kan till exempel vara om en tjänst är viktig för ekonomin och samhället i stort, och om en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. EU-länderna måste själva identifiera företagen. 27
EU-direktivet för nät- och informationssäkerhet (NIS) (3) De nya reglerna föreskriver dessutom en strategisk samarbetsgrupp som ska utbyta information och hjälpa EU-länderna med att bygga upp en större IT-säkerhetskapacitet. Varje land är skyldigt att anta en nationell nätoch informationssäkerhetsstrategi. EU-länderna måste nu också inrätta enheter för hantering av datasäkerhetsincidenter för att hantera incidenter och risker, diskutera gränsöverskridande säkerhetsärenden etc. 28
EU-direktivet för nät- och informationssäkerhet (NIS) (3) Regeringen bedömer att det förslag om antagande av en nationell strategi för statens informations- och cybersäkerhet som föreslås i NISU-utredningen (SOU 2015:23) bör kunna anpassas för att motsvara direktivets krav på vad en nationell strategi för säkerhet i nätverk och informationssystem ska innehålla. NISU Nationell InformationsSäkerhetsUtredning 29
Påverkan på Trafikverkets informationsflöden
Principskiss över miljöer och informationsflöde Nuläge Extern miljö Operativa miljöer Kontors nära Medborgare Företag HEMLIGmiljö Externmiljö Kontorsnära Processmiljöer Processmiljöer Operativamiljöer 31
Principskiss över miljöer och informationsflöde Nuläge Operativamiljöer Externmiljö Medborgare Företag Kontorsnära Processmiljöer HEMLIGmiljö 32
OBS! Informationsflöde Ej teknisk lösning NISU - SGSI Konsekvens på informationsflöde Operativamiljöer Extern miljö Medborgare Företag HEMLIGmiljö Kontorsnära Processmiljöer SGSI Swedish Government Secure Intranet 33
OBS! Informationsflöde Ej teknisk lösning Ny Säkerhetsskyddslag Konsekvens informationsflöde Operativamiljöer Extern miljö Medborgare Företag Processmiljöer Kontorsnära Säkerhetsskyddsklassificerad miljö SGSI Swedish Government Secure Intranet 34
OBS! Informationsflöde Ej teknisk lösning Stöd till Totalförsvaret/Försvarsmakten Primär verksamhet måste alltid fungera Operativamiljöer Extern miljö Medborgare Företag Processmiljöer Kontorsnära Säkerhetsskyddsklassificerad miljö Vi måste exempelvis kunna köra tåg utan krav på ett fungerande Internet. SGSI Swedish Government Secure Intranet 35
OBS! Informationsflöde Ej teknisk lösning Kriskommunikation Primär verksamhet måste alltid fungera Operativamiljöer Extern miljö Medborgare Företag Processmiljöer Kontorsnära + annan kriskommunikation MATS MobiSIR Säkerhetsskyddsklassificerad miljö SGSI Swedish Government Secure Intranet 36
Ny Säkerhetsskyddslag och EU NIS-direktiv Konsekvens på informationsflöde OBS! Informationsflöde Ej teknisk lösning Extern miljö Medborgare Företag Företag Processmiljöer Kontorsnära Säkerhetsskyddsklassificerad miljö Operativamiljöer SGSI? Swedish Government Secure Intranet 37
Säkerhetsskyddslag och EU-NIS direktiv (1) Ny Säkerhetsskyddslag - Skydd av transporter viktiga för Sveriges Säkerhet omfattar: Färdmedlen, viktiga styrsystem, nödvändig infrastruktur Direkt eller indirekt beroende av stödfunktioner t.ex. el, bränsle. 39
Säkerhetsskyddslag och EU-NIS direktiv (2) EU-NIS direktiv Krav på säkerhet (åtgärd!) och skyldigheten för samhällsviktiga företag (och Myndigheter/ organisationer) att rapportera säkerhetsincidenter. Ändamålsenliga åtgärder ska införas som står i proportion till hoten för att garantera nät- och informationssäkerheten. Copyrighted CS Odessa's, Covered by Creative Commons 40
41