Samhällets informationssäkerhet

Samhällets informationssäkerhet 2007 Lägesbedömning 2008 2009 2010

Sammanfattning... 3 Ord- och förkortningslista... 4 1 Inledning... 5 1.1 KBM:s årliga lägesbedömning till regeringen... 5 1.2 Vad är informationssäkerhet?... 5 1.3 Rapportens upplägg... 6 2 Uppföljning av 2007 års lägesbedömning... 7 3 Utvecklingstendenser... 9 3.1 Övergripande tendenser på samhällsnivå... 9 3.2 Utveckling på organisatorisk nivå... 10 3.3 Utveckling på individnivå... 11 4 Antagonistiska hot... 12 4.1 Blockering och klotter... 12 4.2 Den IT-relaterade brottsligheten förfinas... 13 4.3 Direkta IT-relaterade angrepp mot samhället... 15 4.3.1 Cyberkrig och terrorism... 16 4.3.2 Angrepp mot digitala kontrollsystem... 16 5 Sårbarheter och risker... 18 5.1 Administrativa sårbarheter... 18 5.1.1 Riksrevisionens granskning av regeringens styrning av informationssäkerhetsansvariga myndigheter... 18 5.1.2 Bristande förmåga att hantera storskaliga attacker... 18 5.1.3 Myndigheters bristande rutiner och arbetssätt... 19 5.1.4 Beroende av elektroniska datakommunikationer... 21 5.1.4.1 Vårdsektorn... 21 5.1.4.2 Finansiella sektorn... 22 5.1.5 Sårbarheter i nätinfrastrukturen... 24 5.1.6 Brister i myndighetsnät och webbplatser... 25 5.2 Tekniska sårbarheter... 26 5.2.1 Övergång till digital teknik... 26 5.2.1.1 IP-telefoni... 26 5.2.1.2 Digital-TV... 26 5.2.2 Beroenden mellan IT-system och fysiska försörjningssystem... 27 Vidare läsning... 29 2

Sammanfattning Med tanke på hur allvarliga konsekvenserna kan bli av potentiella angrepp eller dåliga säkerhetsrutiner är frågan om informationssäkerhet ständigt aktuell. Det är osäkert hur det svenska samhället skulle kunna hantera ett storskaligt nätangrepp och inom det offentliga råder det brister i arbetet med att förebygga IT-relaterade incidenter. Samtidigt ökar beroendet av IT, särskilt i tidskritiska verksamheter som sjukvården och finanssektorn. Händelser i vårt grannland Estland visade under våren 2007 att hela samhället kan påverkas av störningar vid storskaliga nätangrepp mot informationstillgångar. Liknande angrepp förväntas också öka och för närvarande pågår diskussioner inom flera internationella organ om hur denna nya hotbild ska hanteras. I många länder rustar man sig nu också för att kunna motstå befarade framtida attacker mot kritisk samhällsinfrastruktur som elförsörjning, vattenrening och liknande. Sådana angrepp skulle kunna få mycket drastiska konsekvenser. IT-kriminaliteten omsätter idag betydande belopp och är ett växande problem som samhället måste skydda sig mot. En utspridd IT-kriminalitet kan i förlängningen skada förtroendet för både privata och offentliga e-tjänster. De kriminella gruppernas agerande är mycket målmedvetet. De tar snabbt till sig sofistikerade metoder och det blir allt svårare att värja sig mot angreppen. Under året har vi kunnat notera två motriktade trender. Dels upptäcks allt fler små och riktade angrepp, dels skapas det mycket stora nät av kapade datorer som kan hyras kommersiellt för att genomföra angrepp. Majoriteten av de IT-relaterade incidenterna hos svenska myndigheter orsakas fortfarande av organisatoriska brister. Arbetet varierar starkt i omfattning och prioriteras alltför sällan av respektive myndighets ledning. Många myndigheter saknar fortfarande fastställd informationssäkerhetspolicy, ledningssystem för informationssäkerhet och systemsäkerhetsanalyser för verksamhetskritiska system. Majoriteten saknar även en kontinuitetsplan i händelse av avbrott eller incident. Här finns ett tydligt behov av förbättringar, såväl genom inriktning som genom kunskapshöjande åtgärder. Informationssäkerhet berör hela samhället och handlar ytterst om förtroende. Målsättningen med informationssäkerhet är att samtliga aktörer i samhället ska kunna lita på informationssystemen. Bristande informationssäkerhet kan hota effektiviteten och kvaliteten i samhällets informationshantering och förmåga att hantera allvarliga störningar och kriser. Det kan vidare inverka negativt på brottsbekämpning, näringslivets lönsamhet och tillväxt samt medborgarnas personliga integritet. För att åstadkomma en god informationssäkerhet i samhället både i normaltillstånd och i ett krisläge måste frågan därför uppmärksammas på allvar bland alla aktörer, privata som offentliga. Lägesbedömningen fokuserar i år i första hand på hot och sårbarheter. De åtgärder som behövs för att uppnå en god informationssäkerhet behandlas i den handlingsplan för genomförande och förvaltning av den nationella informationssäkerhetsstrategin som Krisberedskapsmyndigheten kommer att lämna till regeringen. 3

Ord- och förkortningslista Botnät - Nätverk av datorer som infekterats med skadlig kod som gör det möjligt för en tredje part att kontrollera och fjärrstyra datorerna samtidigt. Common Criteria - Är en standard för hur man ställer krav, deklarerar och evaluerar säkerhet i IT-produkter och system. Communities (nätmötesplatser) - Webbplatser där det ofta krävs ett medlemskap för att ta del av innehållet. Huvudsyftet är oftast att komma i kontakt med likasinnade. COTS (Commercial off-the-shelf) - Kommersiellt tillgängliga standardprodukter. Digitala kontrollsystem (SCADA) Datorbaserade system för styrning, reglering och övervakning av fysiska processer som exempelvis el-, gas- och vattenförsörjning samt spårbunden trafik. DNS (Domain Name System) - Den funktion på Internet som översätter domännamn till IP-adresser. Då det finns ett stort antal domännamn och ingen enskild server kan ha en komplett lista över dessa, finns det i stället ett nät av sammankopplade DNS-servrar som ber varandra om hjälp vid behov. IP-stamnät I Sverige finns det idag fyra större operatörer med egna rikstäckande ipstamnät för Internettrafik. Sedan finns det ett antal mindre Internetoperatörer vars nät inte täcker hela landet, men som kan erbjuda Internettjänster med hjälp av samtrafik med något av stamnäten. Man-i-mitten-attack - En utomstående som genom att koppla in sig på en förbindelse mellan två parter simulerar respektive parts identitet mot den andre och på det sättet kan avlyssna eller förändra den överförda informationen. Nätfiske - En metod som går ut på att få en person att lämna ifrån sig konfidentiell information genom att lura personen att antingen svara på ett falskt e-postmeddelande eller besöka en falsk webbsida. Peer-to-peer Ett icke-hierarkiskt datornätverk där anslutna datorer kan hitta andra datorer och utväxla information direkt med varandra. Varje dator kan på det sättet agera både server och/eller klient. Rekursiv uppslagning DNS-servern får i uppdrag att leta reda på ett domännamn eller ipadress även om den själv inte känner till det. Det går att ställa in denna funktion så att den endast svarar på frågor från det egna nätverket. I annat fall går den vidare och frågar andra namnservrar, som kan befinna sig vara var som helst, för att ta reda på svaret. SAMFI (Samverkansgruppen för Informationssäkerhet) I denna grupp som leds av KBM ingår även FRA, PTS, VERVA, FM, RPS och FMV. Script kiddies Personer som ägnar sig åt dataintrång och datasabotage, men saknar djupare kunskaper om datasystem och använder färdigskrivna program (skript). SGSI (Swedish Government Secure Intranet) - En nättjänst som inte är beroende av Internet och till vilken svenska myndigheter kan ansluta sig och kommunicera med varandra. Social manipulering Då en person använder sig av olika sociala knep för att skapa förtroende i syfte att förmå någon att lämna ut känslig eller hemlig information. Nätfiske är en form av social manipulering. SQL-injektioner - Metod som utnyttjar säkerhetshål i hanteringen av indata i vissa datorprogram som arbetar mot en databas. Problemet uppstår då indata till en sql-sats inte behandlas på rätt sätt av programmeraren, varpå en attackerare kan använda speciella tecken och kommandon för att manipulera data eller skaffa sig information. Metoden har fått sitt namn av databasfrågespråket SQL. Tillgänglighetsattacker eller DDoS-attacker - Aktiviteter som kan överbelasta eller blockera vissa IT-resurser och på det sättet förhindra behörig åtkomst till resurser i ett ITsystem eller fördröja tidskritiska operationer. 4

1 Inledning 1.1 KBM:s årliga lägesbedömning till regeringen Denna rapport utgör Krisberedskapsmyndighetens (KBM) årliga lägesbedömning av samhällets informationssäkerhet. I 5 förordningen 2007:856 med instruktion för KBM stadgas att myndigheten ska analysera omvärldsutvecklingen inom området mot bakgrund av erhållet underrättelseunderlag och årligen lämna en samlad bedömning till regeringen. Den årliga lägesbedömningen vänder sig i huvudsak till regeringen, men rapporten är även tänkt att kunna utgöra ett stöd till andra aktörer inom krishanteringssystemet. Lägesbedömningen har med tiden även kommit att utgöra ett inriktningsdokument för KBM:s arbete inom ramen för det sammanhållande ansvaret för samhällets informationssäkerhet. Bedömningen grundar sig primärt på utvecklingen under 2007. 1.2 Vad är informationssäkerhet? Med informationssäkerhet avses förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet vid hantering av information något som omfattar aspekter av såväl administrativ som teknisk karaktär. De hot och sårbarheter som tas upp i lägesbedömningen återspeglar olika händelser och tillstånd där någon eller några av dessa tre faktorer inte uppfylls i tillräcklig hög grad, vilket leder till att samhällets informationstillgångar och samhällsviktig verksamhet påverkas med varierande konsekvenser för samhällets sätt att fungera. KBM har angivit följande villkor som definition för samhällsviktig verksamhet ur ett krishanteringsperspektiv. Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället. Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad allvarlig kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt. En orsak till att informationssäkerhetsområdet har fått ökad uppmärksamhet idag är att informationsteknologin har blivit en allt viktigare komponent i för samhället viktiga verksamheter som kärnkraftverk, el, tele, betalningssystem och vattenförsörjning. Det finns emellertid ingen heltäckande förteckning idag över samhällets viktigaste informationstillgångar, varken system eller datamängder. Med tanke på samhällets föränderlighet är det heller inte ändamålsenligt att centralt försöka katalogisera varje enskild skyddsvärd faktor, utan detta måste varje aktör och organisation kontinuerligt utvärdera för sin egen räkning. I vissa fall är det uppenbart att information och system, som till exempel innehåller uppgifter av betydelse för rikets säkerhet, måste skyddas enligt särskilda regler och metoder. I andra fall kan det vara aggregerade mängder av till synes okänslig data som utgör sådan samhällsviktig information som kräver särskild hantering. Lägesbedömningen av samhällets informationssäkerhet är en kartläggning på generell nivå. I och med att informationssäkerhet är ett sektorsövergripande och tvärsektoriellt område, där händelser kan ha högst oanade effekter, har lägesbedömningen inte begränsats till att enbart omfatta förlopp som snabbt och direkt leder till eller förvärrar en allvarlig kris i samhället. 5

Detta för att lämna utrymme för diskussioner om utvecklingstrender och fenomen som även i ett längre tidsperspektiv kan hänföras till samhällets informationstillgångar eller samhällsviktig verksamhet. Effektiv krishantering bygger i hög grad på ett grundligt förebyggande arbete. Hur god informationssäkerheten är i normaltillstånd avgör också till stor del hur väl samhället klarar av att hantera allvarliga störningar och kriser operativt. De IT-relaterade hot och sårbarheter som diskuteras i den fortsatta framställningen knyter an till samhällets förmågor och brister både i normaltillstånd och i ett krisläge. 1.3 Rapportens upplägg Lägesbedömningen utgår från en modell för hotbildsanalys som kan beskrivas som en trappa. På det första steget identifieras olika typer av hot eller icke önskvärda händelser. Hoten ställs i sin tur mot identifierade sårbarheter, och resultatet blir att man kan få en bild av möjliga konsekvenser. Genom att uppskatta sannolikheten för att en hotande händelse med viss konsekvens inträffar kan man därefter ta ytterligare ett steg och fastställa en risk. Denna risk kan i sin tur vägas mot olika åtgärdsalternativ, vilket i ytterligare ett steg leder till att man skaffar sig ett underlag för beslut. Arbetet med lägesbedömningen har koncentrerats till att identifiera hot, sårbarheter och risker. Med anledning av att KBM även kommer att överlämna en handlingsplan för informationssäkerhet innehåller lägesbedömningen i år inget avsnitt om skyddsåtgärder. Handlingsplanen för genomförande och förvaltning av den nationella informationssäkerhetsstrategin innehåller såväl konkreta förslag på åtgärder för att förbättra informationssäkerheten i Sverige som mer långsiktiga åtgärdsplaner. Handlingsplanens förslag syftar till att hantera sådana risker som identifierats bland annat med utgångspunkt från denna lägesbedömning. Lägesbedömningen bygger i huvudsak på information från djupintervjuer med aktörer inom såväl offentlig som privat sektor, öppna källor, fördjupningsstudier samt en enkätundersökning riktad till statliga myndigheter. Rapporten bygger på såväl öppet som hemligt material. Det är emellertid en öppen rapport då känslig information har kunnat verifieras med öppna källor eller har lyfts upp till en generell nivå. Arbetet med att identifiera och prioritera viktiga frågor har skett i samverkan med bland andra samverkansgruppen för informationssäkerhet (SAMFI) samt KBM:s informationssäkerhetsråd och dess arbetsgrupp för näringslivsfrågor. 6

2 Uppföljning av 2007 års lägesbedömning Detta kapitel är en sammanfattande uppföljning av ett flertal av de slutsatser som presenterades i föregående års lägesbedömning. Föregående års slutsatser är kursiverade och texten som följer utgör uppföljningskommentarer. Det saknas idag en samlad inventering av hur myndigheter, kommuner och landsting anslutits till Internet. Det finns ingen direkt indikation på akuta sårbarheter hos samhällsviktiga Internetanslutningar. Däremot är det väsentligt att få en samlad bild av hur det allmänna anslutit sig. Stiftelsen för Internetinfrastruktur har tillsammans med KBM under året genomfört en undersökning avseende nåbarheten i domännamnsystemet (DNS) i.se samt viktiga parametrar för e-post och webb. Undersökningen omfattar över 800 domäner och över 1000 olika namnservrar hos bland annat kommuner, landsting, banker och finansbolag samt statliga bolag. Undersökningsresultatet utgör underlag för lägesbedömningen och behandlas särskilt under kapitel 5. KBM avser att under 2008 fortsätta kartläggningen, bland annat genom en uppföljande studie. Säker elektronisk identifiering är en grundförutsättning för fungerande e-tjänster i samhället. Det är samhället som sörjer för att alla medborgare tilldelas en unik identitet. När allt fler vardagsärenden digitaliseras faller det sig därför också naturligt att samhället åtar sig ett omfattande ansvar avseende ett ramverk för elektronisk identifiering. Det gäller här att få fram enkla metoder som når allmän spridning. Därför borde detta område prioriteras i statens satsningar på informationssäkerhetsområdet. Verva har i uppdrag av regeringen att skapa säkert elektroniskt informationsutbyte och säker hantering av elektroniska handlingar i statsförvaltningen. I juni 2007 presenterades en skiss till färdplan för hur förvaltningen ska driva utvecklingen så att e-legitimation blir en lika självklar del i människors vardag som traditionella id-kort. Regeringskansliet har tagit fram en handlingsplan för att förbättra sin egen samordning avseende det strategiska e-förvaltningsarbetet. Målet är att Sverige skall vara ledande inom e-förvaltningsområdet år 2010. Handlingsplanen syftar till att förverkliga detta genom dess fyra insatsområden; regelverk för myndighetsövergripande samverkan och informationshantering, tekniska förutsättningar och IT-standardisering, gemensamma verksamhetsstöd, kompetensförsörjning och samlad uppföljning samt förvaltningens kontakter med medborgare och företagare. Alla insatsområden ska redovisas den 31 december 2009. Regeringen föreslår i en lagrådsremiss att Sverige ska följa EU:s rambeslut om angrepp mot informationssystem. Rambeslutet innehåller bestämmelser om vilka handlingar som ska vara straffbelagda samt vilken påföljden blir. Kriminaliseringen innebär exempelvis att tillgänglighetsattacker blir straffbara. För att detta ska kunna realiseras krävs det att Sverige utvidgar bestämmelsen om dataintrång i brottsbalken. Dataintrångsbestämmelsen kommer även att straffbelägga försök, förberedelse samt medverkan till sådana typer av brott. Ändringarna i föreslås träda i kraft den 1 juni 2007. Riksdagen antog lagändringen vilket innebär att DDoS-attacker och andra så kallade tillgänglighetsattacker blev straffbara från och med den 1 juni 2007. 7

Då det är konstaterat att många sårbarheter kan kopplas till den interna organisationen är det viktigt att se till att informationssäkerhetsfrågorna lyfts upp på ledningsnivå. Det är viktigt att det ges rätt förutsättningar för att kunna upprätthålla god informationssäkerhet. LIS, är som tidigare konstaterades, ett bra ramverk som ger handledning i hur man inför ett ledningssystem för informationssäkerhet i verksamheten. KBM anser att det bör finnas en grundläggande säkerhetsnivå för informationssäkerhet i samhället. Verket för förvaltningsutveckling (Verva) föreslog mot slutet av 2007 en föreskrift för myndigheters tillämpning av informationssäkerhetsstandarder (VERVAFS 2007:2). Föreskriften innebär att tillämpning av standarderna ISO/IEC 27001 och 27002 blir obligatorisk för statliga myndigheter. Denna föreskrift gäller från och med 1 januari 2008. Det har visat sig att många myndigheter generellt välkomnar fler krav och direktiv på detta område. Standarder, metodikstöd och rådgivning har särskilt efterfrågats. I den handlingsplan som KBM presenterar senare finns förslag på olika typer av stöd för myndigheternas arbete med standarder. 8

3 Utvecklingstendenser 3.1 Övergripande tendenser på samhällsnivå Området informationssäkerhet har fått stor offentlig uppmärksamhet under det senaste året. De omfattande nätattackerna mot Estland i april-maj aktualiserade på ett mycket konkret sätt behovet av ett nationellt försvar mot liknande händelser i Sverige. Återkommande rapporter om driftstörningar och andra IT-relaterade incidenter hos offentliga organisationer har under året illustrerat hur det brister i det allmännas hantering av sin informationssäkerhet, en fråga som även Riksrevisionen lyft fram. Samtidigt fortsätter IT-kriminaliteten att utvecklas och finna nya former, vilket i sin tur ställer allt större krav på våra rättsvårdande myndigheter. 2007 får betraktas som året då begreppet cyberkrig myntades på allvar. I samband med omfattande kravaller i Estland i slutet av april utsattes informationssystem i landet för massiva tillgänglighetsattacker. Attackerna pågick under flera veckor. Fenomenet fick snabbt beteckningen Cyber Riots (cyberkravaller) och händelserna gavs uppmärksamhet i massmedia över hela världen. Några mer bestående skador på system eller infrastruktur tycks attackerna dock inte ha resulterat i. Men händelserna ger likväl en antydan om vilka nya möjligheter som nu står till buds för att i organiserad form angripa ett helt land via Internet. Hotbilden mot annan kritisk infrastruktur har också uppmärksammats. Speciellt gäller det nätangrepp mot digitala kontrollsystem kopplade till samhällsviktiga system, exempelvis energiförsörjning och vattendistribution. Här har flera svenska myndigheter och andra aktörer idag etablerat ett mycket aktivt samarbete. Nyligen bekräftades denna hotbild via amerikanska rapporter om lyckade hackarangrepp mot flera stora eldistributionsnät, där attackerna uppges ha slagit ut energiförsörjningen i hela städer. Nätangreppet mot Estland var det mest tydliga exemplet på cyberkrigföring under året. Men det sker också liknande utveckling inom traditionell terrorism. När IT-terrorism kommer att bli mer utbredd beror till stor del på angriparnas förmåga. Under året har det börjat diskuteras om martyrskapet kan vara på gång att tappa sin attraktionskraft. Många av dagens terrorister är sannolikt mer intresserade av att penetrera nätverk. Än så länge är kunskaperna om angreppsmetodik föga utbredda bland traditionella terroristgrupper, men fler och fler lär sig i takt med att den nya teknikens möjligheter blir allt tydligare. Terrorhotet mot Sverige kan dock inte betraktas som särskilt stort idag. Däremot finns det en möjlighet att personer arbetar med den sortens verksamhet i Sverige, men enbart använder landet som utgångspunkt för sina aktiviteter. Hotet kan dock snabbt växa i takt med ett ökat internationellt engagemang från svensk sida, till exempel genom medverkan i internationella militära insatser. Den kriminella Internetverksamheten omsätter mycket stora belopp idag och det finns inget som tyder på att utvecklingen kommer att stanna av. Det är emellertid svårt att bedöma hur stor andel av de svenska IT-brotten som är av allvarlig karaktär och har möjlighet att påverka samhällets funktion. Här saknas det fortfarande ordentlig genomlysning. Angreppen mot enskilda datoranvändare tycks dock inte visa tendenser att mattas av. Nätfiske riktat mot svenska Internetbankkunder inleddes redan under 2006, och skapade då stor uppmärksamhet i massmedia. Men det fortsatte även under 2007, varvid metoderna förfinades. Angreppen är idag mycket svåra att värja sig mot. Under samma period har även annan angreppsmetodik utvecklats så att skadlig kod inte längre sprids genom storskaliga attacker utan snarare i mindre skala och med riktad verkan, 9

varvid angriparen lättare undviker upptäckt. Tillverkarna av säkerhetsprogram hinner därmed inte ta fram motmedel i samma takt som angreppen skiftar skepnad. Utvecklingen går hand i hand med en mer långsiktig trend där individuella, nyfikenhetsmotiverade angrepp ersätts av alltmer organiserade angrepp med kriminella motiv. Vi kan med utgångspunkt från europeisk statistik räkna med att det numera kapas något tusental datorer dagligen i Sverige genom angrepp med skadlig kod. Aktiviteten på botnätsområdet har inte minskat. Under sommaren och hösten 2007 fick ett botnät med namnet Storm stor uppmärksamhet. Storm uppnådde ett maximum under hösten och uppgavs då globalt bestå av mellan 50 och 70 miljoner datorer i ett enda samlat botnät. Dessa botnät har potential att utvecklas till ett växande samhällsproblem. Vissa av dem har försetts med motmedel som slår tillbaka mot dem som försöker kartlägga verksamheten. Det är numera fullt möjligt att köpa botnät, få servrar hackade, skaffa sig tillgång till bankkonton och mycket mer på strikt kommersiell bas. Dessutom blir det allt lättare för kriminella att knyta till sig kompetens i takt med att hackarsektorn professionaliserats. Internationellt finns det idag en yrkeskår av hackare som på heltid förser kriminella med tekniska lösningar. År 2007 har även kännetecknats av en rad rapporter om driftsäkerhetsproblem, dator- och näthaverier som påverkat tillgången till information eller orsakat störningar i viktiga samhällsprocesser. Som exempel blockerades regeringens webbplats tillfälligt vid ett tillfälle under senvåren. Ett omfattande sändningsavbrott hos Teracom skapade störningar i TV- och radioutsändningar, och flera mer omfattande driftstörningar har under 2007 drabbat system inom bland annat domstolsväsendet och sjukvården. Offentliga organisationers IPtelefonisystem har flera gånger under året drabbats av störningar. De flesta myndigheter ser idag att deras sårbarhet ökar i takt med att utbudet av e-tjänster byggs ut. Verksamhetsexponering på Internet leder till ökad sårbarhet och frågan om säker identifiering betraktas som bekymmersam. På sistone har det skett incidenter där stora mängder stulna lösenord hamnat i omlopp. I samband med dessa incidenter har det även visat sig att många användare utnyttjar samma lösenord för olika tjänster. Detta är förstås oacceptabelt, men händelserna indikerar likväl att det kan brista i rutinerna, eller åtminstone hur lösenordsregler efterlevs. I en enkätundersökning riktad till ett antal myndigheter, uppgav drygt hälften att de råkat ut för någon typ av incident under året. Incidenterna har varit av olika karaktär, och har innefattat allt från skräppost, virusangrepp och mer avancerade, underrättelsebaserade attacker till incidenter med orsaker som den mänskliga faktorn, bristande rutiner och driftproblem. Bland de myndigheter som uppger att de inte varit utsatta kan det inte uteslutas ett större mörkertal, med tanke på att de kan ha varit utsatta utan att ha fått kännedom om det. Av de incidenter som har identifierats har de flesta varit av sådan karaktär att befintliga system klarat av att hantera dem. Det finns något undantag, där myndigheten förefaller ha varit utsatt för en mer riktad attack. 3.2 Utveckling på organisatorisk nivå Regeringskansliet har nyligen tagit fram en handlingsplan för att förbättra sin egen samordning avseende det strategiska e-förvaltningsarbetet. Hanteringen av e-fakturor har reglerats i föreskrifter som kommer att träda i kraft vid halvårsskiftet 2008. Dessutom föreskrev Verva i slutet av 2007 att statliga myndigheter måste anpassa sin 10

informationssäkerhet till det ramverk som beskrivs i standardserien ISO 27000 (Ledningssystem för informationssäkerhet, LIS). Myndigheterna ska tillämpa LIS. Ett steg på vägen för att uppfylla kraven enligt LIS kan vara att använda KBM:s råd och rekommendationer för en basnivå för informationssäkerhet (BITS och BITS Plus). På certifieringsområdet har Försvarets Materielverk och dess certifieringsenhet för Common Criteria, CSEC, under året slutfört processen för att godkännas som certifieringsorgan (Certification Body, CB) inom det multilaterala samarbetet CCRA. Sverige är nu godkänd som certifikatutgivande nation. Sättet på vilket myndigheterna går mot ett näringslivstänkande kan också innebära ökad sårbarhet. När system outsourcas eller börjar kopplas ihop för marknadsanpassning är de som står för besluten sällan medvetna om vilka risker detta medför. Internationellt går det att se en trend idag av hur information börjas delas på flera parter, rättighetshantering läggs ut och liknande. Sådana åtgärder kräver emellertid också ett genomtänkt säkerhetsarbete. Storbritannien är ett exempel på hur man löst situationen genom en uppdelning mellan sektoransvarig myndighet, leverantör och en speciell myndighet för informationssäkerhetsrelaterad tillsyn. 3.3 Utveckling på individnivå Antalet svenska Internetanvändare ökar inte längre nämnvärt enligt Statistiska centralbyrån. De befintliga användarna blir emellertid allt flitigare i sin användning av Internet. Under våren 2007 använde 71 procent en bredbandsanslutning till Internet, vilket är en markant ökning jämfört med våren 2005 då motsvarande andel var 44 procent. Internet används mest frekvent för att söka information om varor och tjänster, skicka och ta emot e-post samt för att göra bankaffärer. Cirka hälften av alla personer i åldern 16-74 år använde under första kvartalet 2007 Internet för att hämta information från myndigheters webbplatser. Drygt 10 procent av de tillfrågade har under det senaste året råkat ut för datavirus som resulterat i förlust av data eller tid. Det är fortfarande ovanligt att privatanvändare tar säkerhetskopior eller backup på materialet på datorn hemma. Sociala nätverk av olika slag tycks få en alltmer betydande roll bland Internetanvändarna. Under det senaste året har flera webbtjänster för social samverkan fått vid spridning bland svenska nätanvändare. Tyvärr innebär användningen påtagliga integritetsrisker. Användarna är ofta omedvetna om hur många som får åtkomst till deras personuppgifter. Detta kan utgöra ett hot om nätverken infiltreras och det görs sammanställningar av digitala personakter, kanske i syfte att utföra identitetsstölder eller företagsspionage. De virtuella ekonomiska marknader som uppstått kring onlinespel är inte lagreglerade vilket gör dem intressanta för kriminella. Även detta utgör ett problem. Den anonymitet som erbjuds kan utnyttjas för att tvätta pengar och användare kan bli lurade att ladda ner skadlig kod. Även fildelning kan leda till nedladdning av skadlig kod. Fler än en miljon svenska datoranvändare använder sig idag av fildelningsprogram. 11

4 Antagonistiska hot Hot mot verksamheter och tillgångar kan antingen vara antagonistiska med tydliga avsändare eller oavsiktliga som till exempel naturkatastrofer och tekniska fel. Förutsättningarna för dessa två typer av hot skiljer sig åt på en rad punkter och därför kommer de att redovisas i separata genomgångar där detta kapitel enbart fokuserar på aktörsbundna IT-relaterade hot. Sårbarheter, som fallerande skydd och bristande rutiner, bidrar till att hot realiseras. Skillnaden mellan en sårbarhet och ett icke antagonistiskt hot är ibland hårfin och dessa beskrivs följaktligen tillsammans i kapitel 5. De antagonistiska hoten, förutsätter en angripare (antagonist) och inbegriper dennes avsikt och förmåga att genomföra skadliga handlingar. Förmåga i detta sammanhang utgörs av de samlade möjligheter som antagonisten har att omsätta sina resurser (kompetens, ekonomisk styrka, insiderkunskap) i en IT-relaterad attack. När det gäller IT-relaterade hot har aktörerna traditionellt graderats enligt förmåga och motiv, från mindre avancerade script kiddies till hackare och crackare och vidare till organiserade grupper och statsaktörer. Graden av specialisering har antagits öka i takt med mer specifika motiv och ökade resurser, men på senare tid har nya utvecklingstendenser kunnat skönjas gällande både motiv och förmåga. De verktyg som de resursstarka specialisterna utvecklat finns nu tillgängliga även för mindre avancerade aktörer som använder dem i andra syften. Samtidigt har motiven skiftat i allt större utsträckning från ära till ekonomisk vinning. Det är dock viktigt att påpeka att nya hot inte nödvändigtvis ersätter gamla, utan endast kompletterar floran. De olika aktörernas samverkan och utbyte av tjänster ökar alltså gradvis. Konsekvensen blir att samma metoder utnyttjas av aktörer med olika resurser och i olika syften. Detta gör det svårt att ställa upp aktörer och metoder på ett linjärt sätt i förhållande till konsekvenserna för samhället. Visserligen varierar sannolikheten för större skada för samhället i de olika fallen, men även nyfikna script kiddies kan orsaka samhällsproblem trots att det inte var deras syfte. Kapitlet illustrerar några av de centrala företeelserna bland aktörer och metoder som i olika kombinationer utgör hot med potentiella konsekvenser för samhället. Grupperingen är en grov fördelning efter aktörernas bakomliggande motiv. 4.1 Blockering och klotter Under det gångna året har det förekommit flera uppmärksammade hackarattacker mot webbplatser både i Sverige och i utlandet. I anslutning till debatten om Lars Vilks teckning av profeten Muhammed som rondellhund noterades en ökning av överbelastningsattacker och intrång mot svenska webbplatser. Efteråt pågick också ett så kallat hackarkrig mellan svenska och turkiska hackare, där aktörerna växelvis publicerade aggressiva budskap på hackade webbplatser. I början av 2008 noterades flera intrång mot olika medlemssidor där angriparna offentliggjorde användarnas inloggningsuppgifter. Även en kvällstidning utsattes för angrepp från en hackargrupp som påstår sig ha haft tillgång till delar av tidningens system över en längre tid. Många av dessa attacker har, åtminstone till synes, haft ett enkelt syfte att demonstrera den egna makten eller målets sårbarhet. I vissa fall har politisk övertygelse framförts som orsak, men det är osäkert om det ändå inte handlat om hobbyhackare, enskilda individer eller löst sammansatta grupper med liknande intressen, som använt den 12

allmänna debatten som förevändning för sitt klotter. Det kan också röra sig om personer med insiderkunskap om målsystemen, till exempel anställda eller konsulter. De metoder och verktyg som används för att hacka in sig på webbplatser är ofta allmänt kända och sällan specialutvecklade av aktören i fråga. Som till exempel attackerna mot vissa webbplatser med personlig inloggning där angriparna använde sig av SQL-injektioner som utnyttjade kända sårbarheter i databaserna. Dylika manifesteringar har sällan som syfte att vålla någon större skada. Däremot kan röjda användaruppgifter och manipulering av webbplatser, särskilt mediernas, skapa stor oro bland allmänheten. I förlängningen kan hackarverksamheten således bli en viktig fråga om förtroendet för elektroniska tjänster. Andra följdeffekter är att känsliga data som sprids, till exempel personuppgifter, kan snappas upp av andra aktörer med mer illasinnade syften. Om demonstrationerna inbegriper blockering av tillgänglighet till system och information, försämras målets kommunikationsförmåga, det vill säga viktig information till allmänheten kan fördröjas och tjänster kan inte utnyttjas. Under 2007 har bland annat sådana centrala informationskällor som regeringens samt finska rundradions webbplatser utsatts för åtkomstattacker. Det som skedde i Estland krävde dock mer omfattande koordinering än vad några enskilda hackare kan åstadkomma. 4.2 Den IT-relaterade brottsligheten förfinas Samtidigt som gamla hot gör sig påminda sker också en förfining av metoder och skiftning av motiv. Där det förr räckte med ett erkännande för kunskaperna vill aktörerna nu tjäna pengar på dem och detta i allt större grad på brottsliga sätt. Den asymmetri som informationsteknologin erbjuder brottslingar, gör arenan till ett lockande alternativ till bankrån eller annan traditionell brottslighet. Anonymiteten, den tillgängliga tekniken och den hittills låga risken för att åka fast kan antas vara bidragande orsaker till den ökade ITrelaterade brottsligheten. Mycket tyder också på att IT-brotten i allt större utsträckning bedrivs av välorganiserade grupper med betydande resurser. De mer tekniskt specialiserade aktörernas kunskaper finns tillgängliga och till salu för kriminella grupper. IT-brottsligheten bedrivs än mer målmedvetet och mer sofistikerat. Kriminella grupper utgör omfattande nätverk med olika roller uppdelade på flera olika länder. Europeiska nät- och informationssäkerhetsbyrån, ENISA, har observerat fenomenet i bland annat Brasilien, USA, Ryssland, Östeuropa, Hong Kong och Kina. För den enskilde svenske användaren fortsätter bedrägerier att vara det vanligaste IT-brottet. Under 2007 märktes en stor ökning av nätbedrägerier, främst på så kallade auktionssajter. Nätbedragarna dras dit pengarna rör sig, vilket idag i första hand betyder Internetbanker och e-handelstjänster. Språkbarriären har tidigare isolerat Norden, vilket gjort att användarna inte varit mentalt förberedda på de senaste årens bedrägeriförsök. I Sverige drabbades ett stort antal bankkunder av en nätfiskekampanj i slutet av 2006, och verksamheten fortsatte under 2007. För den här typen av bedrägerier är det vanligt att pengarna slussas vidare via så kallade målvakter som lånar sina konton åt bedragarna, ibland till och med omedvetna om att de begår en brottslig handling. Detta gör att de egentliga gärningsmännen är svåra att spåra upp och att brottsutredarna endast kommer åt de inhemska målvakterna, som i fallet ovan där flera av dessa åtalats. Enligt en studie som Finansinspektionen gjort om brottsliga angrepp mot Internetbanker hade antalet lyckade Internetangrepp mot kunders konton i Sverige ökat från 10 till 300 från 2005 13

till 2006. Relaterat till transaktionernas enorma ökning över tid, anses omfattningen ändå vara begränsad. Det har också skett angrepp mot en svensk Internetbank, där angriparen har handlat från kundernas konton i syfte att påverka priset på värdepapper. Angreppen anses inte ha varit oerhört avancerade, vilket de med all sannolikhet kommer att bli framöver enligt bankerna, som även förväntar sig fler hot i framtiden. Man-i-mitten-attackerna ändrar skepnad kontinuerligt. Det blir också svårare för den enskilde att verifiera webbplatsernas legitimitet. Det saknas för närvarande en heltäckande bild av hur stora belopp som bankbedrägerierna omsätter i och med att bankerna inte behöver rapportera alla incidenter till Finansinspektionen. Än så länge har bedrägerierna främst riktats mot privatpersoner, men om de kriminella väljer att rikta sina angrepp mot företagskunder kan de ekonomiska konsekvenserna bli mer omfattande. En annan form av brott som det inte finns lika många anmälda fall av är utpressning av individer och organisationer. Angriparen kan till exempel hota med att sprida känsliga uppgifter och affärshemligheter eller blockera eller förstöra informationssystem och data. I grund och botten använder kriminella aktörer och organiserade grupper tidigare kända men förfinade metoder. Till exempel är det språk som använts i nätfiske mot svenska bankkunder mycket bättre än tidigare. Attackverktygen, som trojanerna, är också oftare skräddarsydda för ändamålet. Antalet trojaner fortsätter för övrigt att växa och utgör den i särklass största gruppen av skadlig kod som observeras. Förutom att trojanerna blir mer specifika, sprids de också via nya kanaler som snabbmeddelandesystem och webbaserade sociala nätverk. Social manipulering används i allt större utsträckning för att sprida trojaner och annan skadlig kod, bland annat genom de möjligheter som olika communities erbjuder. Ett allt vanligare sätt för spridning av skadlig kod, för åtkomst till individers datorer och information, är manipulering av legitima webbplatser. Angriparna riggar dessa med program som obemärkt laddas ner av besökarna. Programmen är dessutom ofta kapabla att dölja sig och använder antiforensiska metoder för att förhindra bekämparna att samla prover och analysera koden. Botnäten fortsätter att utvecklas och utgör ett vanligt verktyg som nyttjas av kriminella till allt från identitetsstölder till blockering vid utpressning. Antalet kapade datorer i världen uppskattas uppgå till tiotals miljoner. Särskilt drabbade är Kina, USA, Tyskland, Spanien och Frankrike. Även i Sverige uppskattas minst hundratusen datorer ingå i något botnät. Det ökända Stormnätet fortsätter att förbrylla forskare med sin förmåga att ändra skepnad och slå tillbaka mot inkräktare. Botnätsadministratörerna jobbar hårt på att göra näten mer osynliga och svårupptäckta, bland annat genom att spjälka upp dem i mindre enheter samt att ändra styrningen från kommandoservrar till decentraliserade mekanismer som liknar peer-to-peernät. Botnäten är effektiva spridningsverktyg och kan användas för att sprida desinformation i stor skala, till exempel i syfte att påverka marknaden för finansiella instrument. Kunskapen om botnät verkar dock inte ha ökat bland Internetanvändarna. Ofta vet människor inte om att deras datorer har blivit kapade och även om de gjorde det, vet de inte vad de kan göra åt saken. I takt med utbyggd bandbredd hos hushållen, ökar också slagstyrkan hos ett botnät av infekterade hemdatorer. Samlade i ett enda botnät skulle Sveriges 2,5 miljoner bredbandsanslutna hushåll i teorin kunna få en total kapacitet som är åtminstone 500-1000 gånger så stor som hos den största attackvåg som kunde observeras i Estland under våren 2007. 14

För att kunna tackla problemen med botnät krävs det ett nära samarbete mellan olika rättsvårdande myndigheter, Internetleverantörer och privata aktörer. Fler makthavare behöver dessutom bli medvetna om problemet och lagstiftning inom området harmoniseras för att kunna åtala cyberkriminella. Ett problem med att bedöma IT-kriminalitetens konsekvenser för samhället är det stora mörkertalet. Företag och organisationer drar sig fortfarande för att anmäla brott i rädsla för att skada sitt eget rykte. Därmed är det ytterst svårt att veta omfattningen på de olika typer av IT-brott som kan påverka samhället. Till exempel ger de svenska bankerna inga tecken på att vara särskilt oroade, medan trenden i Europa visar på fler bedrägerier vilket istället oroar Interpol. IT-brott mot banker och värdepappersinstitut skulle i förlängningen kunna hota allmänhetens förtroende för det finansiella systemet. Bedömningen är att angreppen för närvarande inte hotar stabiliteten. Mycket av IT-brottsligheten bygger på utnyttjande av olika slags personuppgifter som bankkonton, inloggningsuppgifter, personnummer och kreditkortsuppgifter. Handel med dylika uppgifter är vanligt förekommande i hela världen, något som kan ha effekt på användarnas beteende. Även för e-förvaltningen är förtroendet för tjänsterna den springande punkten och IT-kriminaliteten utgör ett av de största hoten mot att myndigheternas e-tjänster utvecklas vidare och att fler medborgare utnyttjar dem. Det har även förekommit fall där svenska myndigheter har blivit utsatta för incidenter som syftar till att påverka deras beslutsprocess. 4.3 Direkta IT-relaterade angrepp mot samhället Detta avsnitt uppmärksammar särskilt sådana fall där antagonisten har som uttalad avsikt att skada det offentliga eller producenter av sådant som kan anses vara samhällsviktiga förnödenheter och tjänster, som till exempel elbolag och transportföretag. Målet kan också vara informationshämtning, men då på en nivå som hotar rikets säkerhet. Vid IT-relaterade angrepp mot kritisk samhällsinfrastruktur eller staters informationstillgångar skiljer sig metoderna något från dem som beskrivits i tidigare avsnitt. Detta främst genom behovet av avancerad underrättelseverksamhet. Kritiska faktorer för verkställandet av hoten är aktörens resurser som tid och pengar. Terroristorganisationer och statsmakter kan givetvis samarbeta och beställa tjänster från andra aktörer också. Exempel på samarbete mellan kriminella förmågor och terrorister med religiösa motiv har förekommit. När det gäller tillgång till känslig information och känsliga system är insidern en central aktör. Organisationer med kännedom om vikten av sina informationstillgångar är benägna att skydda dem efter bästa förmåga. Externa aktörer får därmed svårare att göra intrång om de saknar insiderkunskap eller en person på insidan. Ett problem är att insiderverksamhet är svårare att upptäcka i och med att personen ofta har legitim åtkomst till kritiska informationstillgångar. Konsekvenserna kan bli särskilt allvarliga om det till exempel rör sig om företagsspionage inom verksamheter av särskild betydelse för svenska intressen. Insidern kan givetvis agera på egen hand också och med olika motiv, som till exempel sabotage i hämndsyfte. Som exempel kan nämnas skadegörelsen under året mot en myndighets ITsystem då en anställd avsiktligt flyttade och raderade filer i nätövervakningssystemet. Personen hade systemrättigheter till systemets mest kritiska delar. Den missnöjde arbetstagaren är inget nytt hot, men i de fall personen har tillgång till informationstillgångar av kritisk natur för samhället är risken givetvis stor att även konsekvenserna blir allvarliga. 15

4.3.1 Cyberkrig och terrorism Cyberkrigföring och statsmakters IT-baserade underrättelseverksamhet spås växa i omfattning framöver och under 2007 rapporterades fler fall av detta än någonsin tidigare. Bland annat har amerikanska myndighetssystem utsatts för intrångsförsök som sägs härstamma från främmande stat. I juni 2007 uppmärksammades en attack mot Pentagon och det amerikanska försvarsdepartementets e-postsystem som ledde till att över 1500 datorer fick kopplas bort från nätet. Även Tyskland och Storbritannien har uppgett att de under 2007 varit föremål för fler attacker än tidigare år mot nationella myndigheter. Som exempel drabbades den tyska premiärministerns kansli av intrång. De attacker som skett har varit mer sofistikerade och specifikt utformade för att undgå upptäckt. Allmän nyfikenhet har ersatts av specifika mål som politisk, ekonomisk och teknisk vinning. Enligt analytiker på NATO är många stater omedvetna om de hot som finns mot dem och att de är öppna för attacker. Ett flertal länder uppges utveckla teknik för att kunna angripa andra länders informationssystem. Attackerna mot Estland har ytterligare aktualiserat frågan om cyberkrigföring och den har hamnat på dagordningen i internationella fora som Nato, EU och FN. För Sveriges del bedöms hotet om externa angrepp mot nationella mål vara lågt för närvarande. Däremot kan exempelvis svensk spetsteknologi och forskning vara av intresse för statliga aktörer. Traditionellt har terrorister använt Internet för rekrytering, bred informationsinhämtning och kommunikation. Den nya cyberterrorismen visar dock samma tecken på specialisering som IT-kriminaliteten och handlar nu bland annat om kartläggning av sådana verksamheter där ett angrepp kan orsaka stor skada. Det finns bland annat indikationer på att religiösa lärosäten kan komma att utvecklas till plantskolor för cyberterrorister. I takt med ökad IT-mognad ökar också risken för att avancerade IT-attacker används i kombination med fysiska terrorhandlingar. Att terrorister har flyttat ut sin verksamhet på Internet har medfört vissa problem för flera nationer då deras lagstiftning hindrat dess rättsväsende att vidta nödvändiga åtgärder för att följa verksamheten på ett effektivt sätt. Den belgiska polisen uppger till exempel att terroristerna sedan länge upphört med att sköta sina kontakter via mobiltelefoner och numera helt gått över till att använda sig av säkra webbsidor dit den belgiska polisen inte har någon åtkomst på grund av bestämmelser i lagen. Åklagare efterfrågar därför en ändring av dessa förhållanden för att hindra terroristerna att ligga steget före. Även den tyska polisen har uppgett att en rådande brist på specialister som kan utföra Internetbaserad efterforskning leder till ett ökat terrorhot. Den tyska inrikesministern uppges efterfråga det skyndsamma införandet av en särskild lag som ger polisen möjlighet att i vissa fall genomföra hemliga efterforskningar via Internet. 4.3.2 Angrepp mot digitala kontrollsystem I dagsläget består den största delen av den öppna informationen om IT-relaterade incidenter i digitala kontrollsystem av anekdoter och övergripande beskrivningar av ett fåtal händelser. Tyvärr saknas många relevanta tekniska detaljer, även när det gäller de publikt uppmärksammade incidenterna. I de öppna incidentdatabaser som finns saknas vanligen sökbara begrepp som relaterar specifikt till digitala kontrollsystem. De databaser som endast behandlar incidenter i kontrollsystem är inte publikt tillgängliga. Vidare saknas etablerade standarder för incidentrapportering inom området, och den här informationen uppfattas ofta som mycket känslig. 16

Det kan även finnas formella skäl till varför informationen inte kan rapporteras, till exempel i de fall där informationen berör rikets säkerhet. Sammanfattningsvis är det mycket svårt att ge någon entydig bild av de antagonistiska hoten mot digitala kontrollsystem i samhällsviktiga verksamheter. Området har behandlats vid hackarkonferenser sedan många år tillbaka, och relativt detaljerade tekniska diskussioner pågår i olika forum. Under senare år verkar området även ha fått en ökad uppmärksamhet bland mindre kvalificerade hackare och begagnad utrustning som används i kontrollsystem efterfrågas, och erbjuds, i olika sammanhang på Internet. CIA presenterade för första gången någonsin sin syn på hoten mot digitala kontrollsystem vid SANS SCADA Summit i New Orleans i januari 2008. Enligt den öppna presentationen känner man till ett flertal intrång i infrastruktursystem utanför USA vilka även följts av utpressningsförsök. CIA misstänker, men kan inte bekräfta, att i några av dessa fall har angriparna haft hjälp av insiders. Vidare har IT-relaterade attacker stört utrustning i elsystem i ett flertal regioner utanför USA. I åtminstone ett fall har en IT-relaterad attack lett till ett samtidigt elavbrott i flera städer. Intrång i digitala kontrollsystem beskrivs som vanligare än vad som ansetts hittills och externa attacker via Internet har förekommit. Hittills har man inte sett några IT-relaterade attacker som gett fysiska skador eller ekonomiska förluster som följd av långa eller geografiskt utspridda störningar. CIA:s öppna presentation innehöll inte några närmare tekniska detaljer eller uppgifter om vilken typ av angripare det handlat om. Informationen är ändå betydelsefull, främst av den anledningen att ingen annan säkerhetsmyndighet hittills officiellt gått ut och bekräftat att man känner till specifika angrepp mot digitala kontrollsystem. 17

5 Sårbarheter och risker Sårbarhet betecknar säkerhetsbrister av såväl teknisk som administrativ karaktär. I detta kapitel har vi även valt att inbegripa företeelser som brukar benämnas icke antagonistiska hot, eftersom dessa är starkt sammankopplade med sårbarheter. Med icke antagonistiska hot avses exempelvis naturkatastrofer, olyckor, tekniska fel och mänskliga misstag. IT-incidenter beror i högre grad på administrativa än tekniska sårbarheter. Enligt myndigheternas egna uppskattningar har två tredjedelar av inträffade incidenter under 2007 möjliggjorts av administrativa sårbarheter samt sådana orsaker som kan kopplas till den mänskliga faktorn. 5.1 Administrativa sårbarheter 5.1.1 Riksrevisionens granskning av regeringens styrning av informationssäkerhetsansvariga myndigheter Riksrevisionen publicerade under 2007 en granskning av regeringens styrning av informationssäkerhetsarbetet inom den statliga förvaltningen. Riksrevisionens samlade bedömning är att det inte gjorts tillräckligt för att följa upp och kontrollera den interna styrningen av informationssäkerheten vid myndigheterna. Regeringens strategi inom informationssäkerhet ger inte någon tydlig vägledning till myndigheterna, utan är mer allmänt hållen. Vidare konstaterar Riksrevisionen att expertmyndigheterna inte har givits tillräckligt tydliga mandat vilket försvårat arbetet med att förmedla en samlad bild från myndigheterna. Även själva organiseringen av arbetet inom regeringskansliet bedöms av Riksrevisionen vara otillräcklig för att kunna hantera myndigheternas informationssäkerhetsfrågor. Regeringens organisering av informationssäkerhetsarbetet kan också påverka hur Sverige bedriver detta arbete inom EU. Sverige bedöms ha stora möjligheter att påverka EU:s politik på detta område. Att agera vid rätt tidpunkt är emellertid minst lika viktigt som hur och med vem det sker. Svenska representanter behöver därför vara uppdaterade på vilken övergripande informationssäkerhetspolitik som Sverige vill bedriva och dessutom vilka personer de ska samverka med samt vilka som har kunskaper i sakfrågor och processer. Idag har Sverige aktörer från departement, myndigheter, näringsliv och universitet som är engagerade i olika delar av EU:s informationssäkerhetsarbete. För att mer effektivt kunna påverka från de olika sektorerna krävs en samlad och konsekvent generell linje från svensk sida. 5.1.2 Bristande förmåga att hantera storskaliga attacker Erfarenheterna från bland annat händelserna i Estland våren 2007 visar att det vid en storskalig attack är betydelsefullt att upprätthålla en gemensam lägesbild. Det är oklart hur Sverige skulle lösa den uppgiften vid en liknande allvarlig händelse och vilka aktörer som skulle ta på sig arbetet. Under normala förhållanden förefaller Sveriges nätoperatörer samarbeta väl idag. Vad som däremot är mer osäkert är hur situationen skulle hanteras vid ett större nätangrepp mot svenska intressen. Sverige har idag inte någon effektiv mekanism för att upptäcka störningar och angrepp i nättrafiken och kan inte därför upprätthålla någon generell lägesbild. Ytterligare en försvårande faktor är att aktörerna bakom de mer kvalificerade attackerna sällan går att spåra. Många attackflöden är kortvariga till sin karaktär och kräver därför att den organisation eller aktör som ska hantera incidenter kan handla snabbt och effektivt. För detta krävs bland annat goda kontakter med nätoperatörer så att flöden kan stängas av så nära källan som 18

möjligt, ofta i nät på andra platser i världen. Den svenska staten har inte något större inflytande över dessa procedurer. De baseras på en kombination av informella kontaktnät och affärsavtal mellan operatörer där polisanmälan ofta utgör en förutsättning för att motparten ska strypa trafikflöden eller spärra enskilda användare. Hittills har detta fungerat väl. De flesta normalt förekommande incidenter är ur ett samhällsperspektiv små och berör egentligen inte staten. Men om staten står utanför det operativa informationsflödet vid normaltillstånd kommer motsvarande att gälla även i en kritisk situation. Detta är ett dilemma. Efter händelserna i Estland har frågan om hantering av storskaliga nätangrepp aktualiserats i flera internationella organ, och diskussionen om cyberförsvar har nu på flera håll börjat fokuseras på myndigheternas kontroll över tillståndet i sina egna nät. Myndighetsnäten kallas med ett samlingsnamn ofta för govnet (government network). I mindre länder med mer eller mindre samlade myndighetsnät är det relativt okomplicerat att upprätthålla kontroll över trafiken i dem. I större länder eller länder med mer spridd nätstruktur krävs det däremot särskilda åtgärder för att få en samlad lägesbild av tillståndet i myndighetsnäten. Åtgärderna kan bestå av direkt nätövervakning eller av automatiserad eller manuell avvikelserapportering från de olika myndighetsnäten. För myndigheter inom den svenska statsförvaltningen är det viktigt kunna upprätthålla ett sektorövergripande informationsutbyte mellan myndigheter i samband med en allvarlig händelse. När tillgängligheten i Internet är begränsad eller helt utslagen kan till exempel SGSI (Swedish Government Secure Intranet) utgöra en redundant kommunikationsväg. SGSI kan även nyttjas för kommunikation med EU:s organ och myndigheter. En tydlig sårbarhet i samband med nätangrepp är det begränsade antal personer i Sverige som besitter den operativa erfarenhet som krävs för att hantera omfattande och tidsmässigt utdragna händelser. Kompetensen finns idag huvudsakligen hos nätoperatörerna och det svenska knutpunktsbolaget. Situationen är liknande på andra håll i världen. Vid mycket omfattande incidenter kan det snabbt uppstå behov av ytterligare ledningsstöd, både hos de kommersiellt verksamma nätoperatörerna och i en organisation som hanterar incidenter i myndighetsnät. I det läget krävs personer med mycket speciella erfarenheter, till exempel av loggranskning och analys av trafikdata. Att se till att den kompetensen finns tillgänglig i en tillräckligt vid krets av personer skulle kunna utgöra ett bidrag från samhället till en i övrigt väl fungerande Internetinfrastruktur. 5.1.3 Myndigheters bristande rutiner och arbetssätt Ett problem med informationssäkerhet är att det skyddsvärda inte alltid är synligt. Människor kan ha svårt att uppskatta det abstrakta värdet som finns i skyddsvärd information. Dessutom kan det vara svårt att bryta mönster på en arbetsplats. Vanans makt är mycket stor när det gäller rutiner och arbetssätt. Säkerhetsanalyser och återkommande tillsynsverksamhet är därför viktiga verktyg. I början av 2008 uppmärksammades en händelse där en anställd vid försvarsmakten glömt kvar ett USB-minne i en öppen datasal i biblioteket vid Stockholms Universitet. Detta minne innehöll dokument om bland annat sprängmedel samt säkerhets- och utbildningsmaterial. Viss del av informationen kom även från USA. Ett annat fall där känsliga uppgifter kom bort inträffade i England under slutet av 2007 då två CD-skivor från det brittiska skatteverket försvann i posten. De innehöll känsliga uppgifter om 19

25 miljoner britter däribland detaljerad information om alla brittiska barnbidragstagare. Det var en anställd som kopierade uppgifter om barnbidragsmottagare och skickade två försändelser med bud till den brittiska riksrevisionen varvid den ena inte kom fram. De svenska myndigheterna förefaller arbeta på olika sätt med informationsinsamling om hotbilder och potentiella incidenter. Vissa uppger att de agerar på incidenter i takt med att de uppstår, andra förlitar sig på rapporter från sina nätleverantörer. Somliga förefaller ha goda rutiner och arbetar aktivt med hotbildsanalyser medan andra inte har några rutiner alls. Årliga risk- och sårbarhetsanalyser kan användas som ett sätt att identifiera sårbarheter inom den egna organisationen. Tyvärr verkar informationssäkerhet ännu inte ha någon naturlig plats i dessa analyser. Enbart 15 av de 103 myndigheter som upprättat risk- och sårbarhetsanalyser 2006 har analyserat området informationssäkerhet. Detta trots att det i KBM:s enkätundersökning framkommit att över hälften av de tillfrågade myndigheterna uppgett att riskanalys inom informationssäkerhet ingår i verksamhetens säkerhetsarbete. I Riksrevisionens granskning ansåg de tillfrågade myndigheterna att organisationens informationssäkerhet var tillräcklig eller i något fall behäftad med mindre brister. Det visade sig dock att myndigheterna inte arbetade tillräckligt efter de normer som finns avseende intern styrning och kontroll av informationssäkerheten. Granskningen visade på att brister i säkerhetsarbetet i flera fall lett till incidenter. Exempelvis har det förekommit att handläggare inte kunnat nå nödvändig information på grund av att man misslyckats med att avvärja virusattacker. I andra fall har samhällstjänster blivit tvungna att släckas ned i upp till två veckor och vissa brister på myndigheternas webbplatser har lett till att obehöriga fått tillgång till integritetskänsliga uppgifter. Sådana brister i säkerheten hos myndigheterna som leder till att obehöriga får tillgång till känslig information skulle i förlängningen kunna hota hela den statliga satsningen på e-förvaltning. Ledningens betydelse för informationssäkerheten är något som flera gånger påpekats i tidigare lägesbedömningar. Även Riksrevisionen har under 2007 konstaterat att bristerna bland annat finns på ledningsnivå. Ledningarna är osäkra på vilka uppgifter de själva har i informationssäkerhetsarbetet, vilket i förlängningen leder till att man inte begär tillräckliga eller tydliga underlag om de hot och risker som finns och därmed inte heller kan prioritera arbetet rätt. Ett annat problem tycks vara att de åtgärder som ledningen beslutat om inte efterföljs. Ledningen följer å andra sidan inte alltid upp om säkerheten uppfyller de krav som ställts. En tredjedel av de myndigheter som KBM tillfrågat har inte identifierat, förtecknat eller prioriterat kritiska system för verksamheten. Vidare har en fjärdedel av dem inte inbegripit IT-relaterade kriser i sin krishanteringsplan. Dessutom saknar nästan hälften av myndigheterna en fastställd informationssäkerhetspolicy och drygt hälften saknar såväl ledningssystem för informationssäkerhet som systemsäkerhetsanalyser för sina verksamhetskritiska system. När det gäller myndigheters säkerhetsarbete har det framkommit att det är i själva säkerhetsanalysen bristerna finns. Myndigheter upplever framför allt att det är svårt att definiera vilka saker som kan beröra rikets säkerhet. Svårigheten ligger i att hotbilden förändras i takt med exempelvis saker som händer runt om i världen - samt förändringar i myndighetens egen verksamhet. Detta gör att det inte går att ha någon statisk lista på vad som är skyddsvärt. 20