Remissvar Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Relevanta dokument
Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Informationssäkerhet för samhällsviktiga och digitala tjänster

Svensk författningssamling

Utredningen om genomförande av NIS-direktivet

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

- Vad du behöver veta om NIS

Svensk författningssamling

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Remissvar Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Remissvar Så stärker vi den personliga integriteten (SOU 2017:52)

NIS-direktivet. Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster.

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Yttrande över betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 28 LS

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) / av den

Myndigheten för samhällsskydd och beredskaps författningssamling

Gräns för utkontraktering av skyddsvärd information

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Synpunkter föreskrifter och allmänna råd Kapitel Punkt Synpunkter Förslag till ändring Övriga kommentarer

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

! " #$%&' ( #$!

Myndigheten för samhällsskydd och beredskaps författningssamling

TMALL 0141 Presentation v 1.0. Cybersäkerhet och ny lagstiftning

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Justitiedepartementet Stockholm

Svar på remiss, Så stärker vi den personliga integriteten, (SOU 2017:52)

Så stärker vi den personliga integriteten (SOU 2017:52)

Internetstiftelsens remissvar på betänkandet Ett säkert statligt ID-kort - med e-legitimation

Nya krav på systematiskt informationssäkerhets arbete

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Lathund. IT-säkerhet, GDPR och NIS. Version 3.0

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Informationssäkerhetspolicy inom Stockholms läns landsting

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Myndigheten för samhällsskydd och beredskaps författningssamling

NIS-DIREKTIVET SÅ PÅVERKAS DIN ORGANISATION

Det nya Internet DNSSEC

Kommittédirektiv. Genomförande av EU-direktiv om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem. Dir.

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Remissvar Datalagring brottsbekämpning och integritet (SOU 2017:75)

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Informationssäkerhet för samhällsviktiga och digitala tjänster

Ett eller flera dataskyddsombud?

Patrik Fältström Teknik- och Säkerhetsskyddschef

Informationssäkerhetspolicy för Ystads kommun F 17:01

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet för samhällsviktiga och digitala tjänster

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

F-ONS. Federated Object Naming Service. Katalogen för Internet of Things

Betänkandet SOU 2017:23 digitalforvaltning.nu (Fi2017/01289/DF) Sammanfattning 1(10) Yttrande /112. Finansdepartementet

Kommittédirektiv. Nya regler om åtgärder mot penningtvätt och finansiering av terrorism. Dir. 2014:140

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy för Ånge kommun

Förutsättningar för övningar och praktiska prov avseende drift av Internet i Sverige oberoende av funktioner utomlands

Avbrott i bredbandstelefonitjänst

Riktlinjer för dataskydd

Status för.se:s kvalitets- och säkerhetsarbete. Anne-Marie Eklund Löwinder

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Vissa frågor om sekretess med anledning av EU:s dataskyddsreform

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Yttrande över Finansdepartementets remiss av betänkande digitalförvaltning.nu, SOU 2017:23

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

STOCKHOLM. Långsiktig och strategisk styrning av informationsförsörjningen

NIS-reglering.

Föreskrifter om risk- och sårbarhetsanalyser för kommun och landsting Remiss från Myndigheten för samhällsskydd och beredskap

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Internetdagarna NIC-SE Network Information Centre Sweden AB

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Nationell risk- och förmågebedömning 2017

Remissvar reboot omstart för den digitala förvaltningen (SOU 2017:114)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Myndigheten för samhällsskydd och beredskaps författningssamling

Samhällets funktionalitet nuläge och utmaningar

Sammanställning av Datainspektionens möten med verksamheter hösten 2018

Riktlinjer för säkerhetsarbetet

Varför och hur införa IPv6 och DNSSEC?

Säkerhetspolicy för Västerviks kommunkoncern

Handlingsplan för persondataskydd

Transkript:

Justitiedepartementet Enheten för lagstiftning om allmän ordning och säkerhet och samhällets krisberedskap Stockholm den 2017-08-15 Remissvar Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Stiftelsen för Internetinfrastruktur (IIS) är en oberoende allmännyttig organisation som verkar för positiv utveckling av internet i Sverige. Vi ansvarar för internets svenska toppdomän.se, med registrering av domännamn samt administration och teknisk drift av det nationella domännamnsregistret. Sedan september 2013 sköter IIS också drift och administration för toppdomänen.nu. IIS har fått möjlighet att lämna remissvar. IIS synpunkter begränsas till området digital infrastruktur eftersom det är inom detta område IIS verkar dels som registreringsenhet (registry) för toppdomänerna.se och.nu, dels som kunskapsnav för internetutvecklingen i Sverige. IIS står redan idag under tillsyn av Post- och Telestyrelsen (PTS) enligt lag (2006:24) om nationella toppdomäner för Sverige på Internet. Allmänt IIS vill i tillägg till bakgrundsbeskrivningen och den översikt som utredningen ger inledningsvis beskriva internets domännamnssystem för att tydliggöra rollfördelningen inom domännamnssystemet och därmed IIS roll. Så fungerar internets domännamnssystem Domännamnssystemet är den funktion på internet som ser till att det sker en uppslagning från domännamn till IP-adress och vice versa. Det är också ett exempel på att det inte existerar enskilda aktörer som ansvarar för helheten, var och en ansvarar för sin del, och genom att alla gör det fullt ut får vi en robust och stabil DNS-infrastruktur. Skälet till att det ser ut på det viset är att domännamnssystemet är uppbyggt som en hierarkisk databas vilket innebär att informationen är lagrad i en trädstruktur, som gör att det går snabbt att hitta fram till den information eller tjänst som man vill nå. Tack vare den hierarkiska uppbyggnaden behöver exempelvis de utpekade auktoritativa namnservrarna för.se (som hanteras av IIS i dess egenskap av Registry) inte ha informationen om alla.se:s underdomäner. Det ansvaret delegeras till andra auktoritativa namnservrar som hanteras av domäninnehavaren eller dennes ombud (leverantör av namnservertjänst). Varje namnserver har bara komplett information om en viss del av sin domän och denna del kallas för en zon. 1

Det är på detta vis man i praktiken delar upp ansvaret för internets olika delar på flera aktörer. Var och en har ansvar för DNS-informationen för sin zon. Det för med sig att domänerna längre ned i hierarkin är beroende av att de högre nivåerna fungerar, så att delegeringen verkligen sker och det går att hitta fram till den IP-adress som är knuten till ett visst domännamn. Däremot är de högre nivåerna i hierarkin inte beroende av underdomänerna. Denna ansvarsfördelning gör infrastrukturen mindre känslig. Samtidigt blir ansvaret tyngre ju närmare man kommer roten i trädstrukturen. IIS kan till exempel bara svara för driften av innehållet i.se-zonen, men inte för driften av till exempel DNS för domännamnet regeringen.se. Det måste regeringen göra själv eller genom att anlita en tredje part som leverantör av primär namnserver. En annan typ av namnserver är de som har till uppgift att svara på frågor om domäner i domännamnssystemet, så kallade resolvrar. Dessa innehåller inte mer information om domäner än den som tillfälligt sparas av effektivitetsskäl (cachening). Definitioner Utredningens förslag tar sin utgångspunkt i NIS-direktivet. Enligt NIS-direktivet är definitionen av leverantör av DNS-tjänst en enhet som tillhandahåller DNS-tjänster på internet (artikel 4.14 och 4.15). Den definitionen är emellertid inte tillräckligt tydlig. Som framgår av beskrivningen ovan kan en DNS-leverantör vara leverantör av primär namnserver, av auktoritativ namnserver eller av resolver. Vilken eller vilka typer av namnserver som omfattas här är oklart. Enligt utredningen omfattas NIS-direktivet också av det som benämns registreringsenhet för toppdomäner. Enligt IIS är det inte tillräckligt tydligt om det begreppet enbart omfattar det som kallas Registry (toppdomännivån) eller om det också omfattar andra leverantörer av namnservertjänster till samhällsviktiga tjänster (huvuddomännivån). Tekniska och organisatoriska säkerhetsåtgärder I avsnitt 7.3.1 föreslår utredningen att leverantörer av samhällsviktiga tjänster ska: bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker vidta lämpliga åtgärder för att förebygga och minimera verkningarna av incidenter som påverkar säkerheten göra en riskanalys som ska ligga till grund för val av säkerhetsåtgärder. IIS vill betona att det vilar ett tungt ansvar på ledningar och beslutsfattare, i rollerna som beställare av it-system i både privat och offentlig sektor för att göra it- och informationssäkerhet till en integrerad del av verksamheten. Att titta på hotbilden och 2

analysera risker är naturliga inslag. Det är dock viktigt att inse att många risker inte har sitt ursprung i antagonistiska hot, utan i det faktum att lösningar är undermåliga och ibland rentav dysfunktionella. Enligt regeringen läggs årligen 45 miljarder kronor på it inom offentlig sektor 1 och det är enligt IIS mening nödvändigt att informationssäkerhetskraven är med från början i upphandlingsprocessen. Det är känt sedan många år hur goda system ska vara beskaffade, hur de bör utvecklas, och hur man väljer rätt vid upphandling. Kunskaperna har många gånger bekräftats, både av forskning och i praktiken. De viktigaste lärdomarna kan sammanfattas i tre punkter: Utgå alltid från slutanvändarna när ett system ska byggas eller köpas in. Bygg it-system i små steg, sjösätt tidigt och dra lärdom av hur systemet verkligen används. Var beredd att ändra och göra om. Och ta med kapacitets- och säkerhetsaspekterna från början. Ett första logiskt steg vore även att inrätta en it-haverikommission för att få bättre och faktabaserad kunskap om hur incidenter som drabbar kritiska funktioner, grupper av verksamheter eller stora delar av allmänheten ska kunna förhindras eller åtminstone lindras. En sådan kommission bör ha till uppgift att analysera händelseförloppet vid en incident med vissa specificerade egenskaper och kunna lämna konkreta förslag till åtgärder med målet att minska risken för att samma incident upprepas i framtiden. IIS har vid flera tillfällen efterfrågat en funktion som grundligt undersöker och går till botten med vad som hänt vid en it-incident. Vi har kallat det "IT-haverikommission" 2. En haveriutredning bör omfatta alla ingående komponenter och aktörer kring en händelse och besvara tre grundfrågor: Vad hände? Varför hände det? Hur undviker vi att det händer igen? Vi pratar om en klassisk rotorsaksanalys. Kommissionen bör inte ha till uppgift att ta ställning i ansvars- eller skadeståndsfrågor. Arbetet ska helt enkelt gå ut på att långsiktigt förbättra säkerheten i samhällets informationssystem. Utredningen beskriver i avsnitt 11.2.3 den föreslagna CSIRT-enhetens uppgifter och att CSIRT-enheten bland annat kan ålägga leverantörer att rapportera om incidenter. Dessutom får den behöriga myndigheten eller CSIRT-enheten - efter samråd med den rapporterande leverantören av samhällsviktiga tjänster - också informera allmänheten 1 http://www.regeringen.se/regeringens-politik/digitalisering/digitalforvaltning/ 2 https://www.iis.se/docs/remissvar-nisu-iis-slutlig.pdf 3

om enskilda incidenter, om allmänheten behöver känna till dem för att det ska vara möjligt att förhindra en incident eller åtgärda en pågående incident (artikel 14.6). Här är IIS av åsikten att CSIRT-enheten inte bara får utan faktiskt ska åläggas att publicera information om incidenter och tillsammans med Haverikommissionen initiera en haveriutredning som ska resultera i en rapport motsvarande den nuvarande Haverikommissionens, med beaktande av de sekretessbestämmelser som ska gälla. Leverantör av samhällsviktiga tjänster Inom vilka sektorer och delsektorer samhällsviktiga tjänster finns har redovisats i utredningen. MSB är förmodligen i nuläget den mest naturliga myndigheten att få ansvaret för att bedöma vilka tjänster som är viktiga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet för var och en av de sektorer som anges i bilaga 2 till NIS-direktivet, samt att meddela generella föreskrifter och se till att dessa uppdateras minst vartannat år. IIS instämmer i att ansvaret ska läggas på respektive verksamhet att avgöra om tillhandahållandet är beroende av nätverk eller informationssystem och om en incident skulle medföra betydande störning. IIS instämmer även i att det ska vara tillsynsmyndigheterna som har möjlighet att utfärda de närmare föreskrifter som behövs för att fastställa om en incident medför en betydande störning eller inte. Vilka föreskrifter som behövs måste beslutas i samråd mellan tillsynsmyndigheterna och MSB. Säkerhetskrav och incidentrapportering leverantörer av samhällsviktiga tjänster Enligt utredningens förslag ska MSB vid behov få utfärda generella föreskrifter om hur ett systematiskt informationssäkerhetsarbete för samtliga sektorer kan bedrivas. Det är något som MSB har gjort sedan 1990-talet, ta som exempel FA22. 3 IIS förutsätter också att MSB själva bedriver sådant arbete för sin egen verksamhet, och därmed föregår med gott exempel. MSB har vid flera tillfällen drabbats av oväntade och onödiga avbrott i sin it-verksamhet bland annat på grund av bristande redundans i infrastrukturen. IIS är positiv till utredningens förslag att tillsynsmyndigheten ska bemyndigas att meddela föreskrifter om utformningen av säkerhetsåtgärder. Det kan exempelvis göras genom definition av en grundskyddsnivå (baseline security) för samhällsviktiga tjänster och med säkerhetsprofiler som ska tillämpas där olika säkerhetsfunktioner ingår. 3 http://users.du.se/~hjo/cs/common/doc/fa-22.pdf 4

När det gäller incidentrapportering är IIS av uppfattningen att det måste finnas ett klart motiv för när, till vem och hur rapporteringen ska ske. Snabb och effektiv hantering av it-incidenter har kommit att bli allt viktigare, och rapporteringen ska ses som ett medel att arbeta med förbättringar. Det får inte uppfattas som en börda för den som ska rapportera, därför bör man undvika dubbelrapportering. IIS vill betona att gränsdragningen mellan den föreslagna lagen och redan existerande lagkrav måste bli tydligare. Om det existerar ett krav på incidentrapportering i annan lagstiftning som träffar objektet (säkerhetsskyddslagen, lagen om elektronisk kommunikation et cetera) bör enligt IIS antingen den befintliga regleringen behållas som den är, och den nya regleringen exkludera sådant som redan täcks av existerande lagar eller så måste befintliga lagar ändras så att rapporteringskravet samlas på ett ställe. Standardisering IIS är positiv till utredningens förslag om att leverantörer av samhällsviktiga tjänster vid utformning av säkerhetsåtgärder bör beakta europeiska eller internationellt accepterade standarder och specifikationer. IIS anser att det kravet borde vara ett skall-krav. I andra europeiska länder, till exempel i Nederländerna 4 och i Norge har staten tagit initiativ till att rekommendera säkerhetsstandarder som behöver vara implementerade i system, framför allt för mejl och webbplatser. IIS saknar motsvarande konkreta och praktiska insatser från svenska ansvariga myndigheter. Dessutom behöver regelbundna tester göras, enkla tester kan idag genomföras med användning av öppet tillgängliga verktyg på internet. 5 Tillsyn IIS tillstyrker att det är mest ändamålsenligt med en tillsynsmyndighet för varje sektor. IIS tillstyrker att PTS ska vara tillsynsmyndighet för digital infrastruktur. IIS tillstyrker att det ska finnas ett samarbetsforum där samtliga tillsynsmyndigheter ingår samt delar samlade bedömningar av brister i informationssäkerhet i nätverk och informationssystem och andra resultat som kan vara av intresse av tillämpningen av NIS-direktivet. Ingripanden och sanktioner IIS tillstyrker i huvudsak de föreslagna ingripanden och sanktioner som är föreslagna. IIS saknar ett resonemang om möjligheten till reella ekonomiska incitament för genomlysning av säkerhetsbrister och till exempel offentlig redovisning av incidenter, 4 https://www.ncsc.nl/binaries/content/documents/ncsc-en/current-topics/factsheets/factsheet-secure-theconnections-of-mail-servers/1/factsheet%2bsecure%2bthe%2bconnections%2bof%2bmail%2bservers.pdf 5 https://zonemaster.se, https://www.hardenize.com 5

vilket skulle kunna skapa ett förtroendekapital hos de som ska använda tjänsterna. Sådana ekonomiska incitament kan skapas både i form av ett finansiellt stöd för leverantörer av samhällsviktiga tjänster för att nå upp till en specificerad säkerhetsnivå och som sanktion med vite för den som inte har förmågan att uppfylla de krav som ställs. Som exempel kan nämnas PTS arbete med finansiellt stöd till robusthetshöjande åtgärder i internetoperatörernas infrastruktur. Sekretess IIS instämmer i att sekretessfrågan kan komma att utgöra ett problem vid rapportering. Det finns en problematik särskilt för privata aktörer att känsliga uppgifter kan komma att lämnas ut och avsaknaden av en garanti att så inte kommer att ske kan innebära ett starkt hinder mot att rapportera incidenter. Det bör enligt IIS uppfattning utredas om det krävs en lagreglerad generell tystnadsplikt för privata leverantörer av samhällsviktiga tjänster. Där ställer IIS sig bakom Datainspektionens skrivelse 2017-07-07 (Dnr 1704-2017), Vissa frågor om sekretess med anledning av EU:s dataskyddsreform 6. IIS anser att frågan om sekretess behöver hanteras samordnat med ikraftträdandet med det nya dataskyddsdirektivet i maj 2018. Stiftelsen för Internetinfrastruktur Dennis Aerts, vd 6 http://www.datainspektionen.se/documents/2017-07-13-skrivelse-sekretess.pdf 6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss