Vem tar ansvar för Sveriges informationssäkerhet?



Relevanta dokument
ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Kommittédirektiv. Viss översyn av ansvarsfördelning och organisation när det gäller samhällets informationssäkerhet. Dir. 2009:110

Försvarsdepartementet

IT-säkerhetspolicy. Antagen av kommunfullmäktige

IT-säkerhetspolicy för Landstinget Sörmland

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy

Strategi Program Plan Policy» Riktlinjer Regler

Informationssäkerhetspolicy

Nationell risk- och förmågebedömning 2017

Informationssäkerhetspolicy inom Stockholms läns landsting

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Riktlinjer vid hot och våld mot förtroendevalda i Danderyds kommun

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Internetdagarna Staffan Karlsson. Informationssäkerhetsenheten. Enhetschef

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Remissvar över rapporten Utveckling av Sitic, Sveriges IT-incidentcentrum

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Resiliens i en förändrad omvärld

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

IT-säkerhet Internt intrångstest

Säkerhetspolicy för Västerviks kommunkoncern

Håbo kommuns förtroendevalda revisorer

Informationssäkerhetspolicy för Ånge kommun

Svensk författningssamling

SITIC. Sveriges ITincidentcentrum

Policy och strategi för informationssäkerhet

Informationssäkerhetspolicy

Kommunens författningssamling

Ny samverkan till stöd vid upphandling av kryptolösningar

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Föreskrifter om risk- och sårbarhetsanalyser för kommun och landsting Remiss från Myndigheten för samhällsskydd och beredskap

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Informationssäkerhetspolicy

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Kryptosamverkan. Träffpunkt CC Försvarets Materielverk/CSEC 2008 Document ID CB-039 Issue 0.4 SWEDISH CERTIFICATION BODY IT SECURITY

Samhällets informationssäkerhet

Tal till Kungl. Krigsvetenskapsakademien

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Granskning av IT-säkerhet - svar

Gräns för utkontraktering av skyddsvärd information

Bilaga 3 Säkerhet Dnr: /

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

- Vad du behöver veta om NIS

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

Civilt försvar Elförsörjningens beredskapsplanering påbörjas. Magnus Lommerdal

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Informationssäkerhetspolicy för Ystads kommun F 17:01

FRA:s överdirektör Charlotta Gustafsson: FRA:s roll i Sveriges cybersäkerhetsarbete

FÖRFATTNINGSSAMLING Flik Säkerhetspolicy för Vingåkers kommun

Informationssäkerheten i den civila statsförvaltningen

Vårt samhälle behöver ett civilt försvar för en bättre krisberedskap både till vardags och vid hot mot rikets säkerhet

MSB för ett säkrare samhälle i en föränderlig värld

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

IT-säkerhetspolicy för Åtvidabergs kommun

Informationssäkerhetspolicy IT (0:0:0)

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

MSB:s arbete med samhällets information- och cybersäkerhet. Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Riktlinjer för säkerhetsarbetet

Säkerhet, krisberedskap och höjd beredskap. Christina Goede Programansvarig Skydd av samhällsviktig verksamhet och kritisk infrastruktur, MSB

Räkna med risk! Anne-Marie Eklund Löwinder

Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser;

Krisledningsplan. Österåkers Kommun. Beslutad av Kommunfullmäktige

Beredskap för att möta katastrofer, attentat och sabotage i kollektivtrafiken

10. Säkerhetspolicy och riktlinjer för säkerhetsarbetet i Västerviks kommunkoncern Dnr 2016/

IT-säkerhetspolicy. Fastställd av KF

Stadsrevisionen. Projektplan. Hanteringen av personuppgifter i skolans it-system. goteborg.se/stadsrevisionen

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Säkerhetspolicy för Kristianstad kommun

Remiss angående säkerhetspolicy med tillhörande riktlinjer

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Informationssäkerhet för samhällsviktiga och digitala tjänster

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Svensk författningssamling

Legala aspekter - dispostion

IT-säkerhet Externt och internt intrångstest

Så är vi redo om krisen kommer

FSPOS & SOES - Beskrivning för att tydliggöra gränsdragning

Plan för ökad civilförsvarsberedskap KS

Om krisen eller kriget kommer Samhällsviktig verksamhet och nya lagar

Informationssäkerhet, Linköpings kommun

IT-verksamheten, organisation och styrning

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Målet för samhällets krisberedskap är att minska risken för, och konsekvenserna av, kriser och allvarliga olyckor

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Transkript:

Vem tar ansvar för Sveriges informationssäkerhet? 6 åtgärder för förbättrad informationssäkerhet Sälen 2008-01-14

Vem har ansvaret vid en storskalig it-attack? Vem skulle vara ansvarig om Sverige utsattes för en it-attack liknande den som förlamade Estlands infrastruktur 2007? Är det infrastrukturminister Åsa Torstensson, näringslivsminister Maud Olofsson, försvarsminister Sten Tolgfors eller statsminister Fredrik Reinfeldt själv? Sverige saknar idag en informationssäkerhetsminister. Det är även oklart vilken organisatorisk struktur som skulle få det övergripande ansvaret för att hantera en sådan storskalig attack. Är det Statsrådsberedningens krisledningskansli, Krisberedskapsmyndigheten, eller drabbade myndigheter? Vi socialdemokrater föreslår här sex åtgärder för att öka informationssäkerheten i Sverige. Sex åtgärder för förbättrad informationssäkerhet 1. Utse en informationssäkerhetsminister En informationssäkerhetsminister bör utpekas omgående. Hon/han får i uppgift att ta ett samlat grepp om informationssäkerheten, vidta åtgärder för att minska sårbarheten och öka beredskapen. Det blir dennes ansvar att se till att följande punkter genomförs. Vid en it-kris finns därmed en tydligt utpekad minister i regeringen med ansvar för frågorna. 2. En myndighet ges ansvar för informationssäkerhet Idag har fyra departement (Försvars-, Utrikes-, Justitie- och Näringsdepartementet) och sju myndigheter (Säpo, KBM, FRA, PTS, FMV, FM, Verva) ansvar för informationssäkerhet i Sverige. Detta ger en oklar ansvarsfördelning och otydlig ledning. Säkerhetsarbetet borde organiseras så att en myndighet ges ett övergripande strategiskt ansvar utifrån samhällets breda perspektiv. Denna myndighet får identifiera vilka myndigheter och företag som är samhällsviktigt betydande och därmed bör stå under regelbunden informationssäkerhets-tillsyn. Myndighetens fokus bör ligga på långsiktiga aktiviteter inklusive forskning och utveckling. En andra myndighet agerar operativt för att skydda nationella värden och funktioner.

3. Tala om vilken informationssäkerhet som myndigheterna ska ha Idag finns det inte reglerat vilken informationssäkerhet som landets myndigheter bör ha. Grundförutsättningarna för ett lyckat informationssäkerhetsarbete saknas därmed. Otydliga uppdrag förvirrar och bidrar till att det blir enklare att nedprioritera arbetet med informationssäkerheten. Regeringen bör tydligt redogöra och reglera vilken informationssäkerhet som landets myndigheter behöver uppnå. 4. Skapa en lägesbildsfunktion mot cyberattacker på myndighetsnivå Idag har ingen myndighet i uppdrag att i realtid följa utvecklingen på internet. Detta innebär att om det som hände i Estland skulle hända i Sverige så finns det ingen som skulle kunna presentera en samlad lägesbild och föreslå motåtgärder för att minimera skadorna av en attack. Detta kunde man i Estland. Sverige bör genast upprätta en sådan lägesbildsfunktion mot cyberattacker på myndighetsnivå. 5. Förebyggande arbete Idag kan inte landsting, kommuner och företag i förebyggande syfte rådfråga eller begära hjälp från Försvarets Radioanstalt (FRA). Ett landsting som misstänker att någon hämtar hemlig patientinformation ur landstingets datasystem skulle nekades hjälp till dess att det blir ett polisärende, då FRA via polisen kan ge stöd. Det är dock oacceptabelt att landsting och kommuner ska behöva vänta tills hemlig information stulits. Därför bör landsting, kommuner och samhällsviktiga företag kunna rådfråga kunniga myndigheter för att kunna minska sin sårbarhet. 6. Nordiskt samarbete för samlad syn på hotbilder Det finns ett stort behov av att i större utsträckning än vad som är fallet i dag skapa en samlad syn på såväl hotbilder som effekter och konsekvenser av illegitima cyberaktiviteter. Detta är en säkerhetsfråga som lämpar sig mycket väl för nordiskt samarbete, där våra länders högteknologiska kompetens, särskilt inom telekomområdet är en oerhörd resurs.

Sverige står och faller med internet Mer än 99 procent av det svenska samhällets kritiska infrastruktur är beroende av internet som den stora bäraren av information. Informationstekniken har brutit staters tidigare maktmonopol och underlättar för en resurssvag angripare. En cyberattack mot vital infrastruktur skulle lamslå i stort sett hela landet på några få timmar. Fientliga krafter, med oklart eller dolt motiv, kan utnyttja nätet för att rikta en strategisk sabotageattack. Estland utsattes våren 2007 för en mailbombning som paralyserade landets infrastruktur. En sådan attack mot Sverige skulle kunna orsaka en nationell kris, av en omfattning vi aldrig sett i vårt land. Svenska servrar kan bli föremål för sådana attacker men kan även användas som verktyg vid en mailbombning, utan vår vetskap. Dagens system är som olåsta kassaskåp Redan nu sker dagliga cyberattacker mot svensk kritisk infrastruktur och i likhet med många andra länder har Sverige under senare år blivit utsatt för stundtals mycket omfattande datavirusspridning. Dessa angrepp har dock varit mer slumpartade än riktade. Vid angreppen har de uppkomna skadorna i form av avbrott och stillestånd blivit relativt begränsade vad gäller samhällsviktiga infrastrukturer, men har icke desto mindre medfört stora kostnader för de drabbade. Viktiga samhällsfunktioner inom vård och omsorg, handel och kreditväsende har ett starkt ökande beroende av informations- och telekommunikationstjänster. Intrång och manipulation av informationssystem är ett allvarligt hot. Utvecklingen av internet har gjort dess standard för datakommunikation global. Det medför en ökad risk för att obehöriga kan ta sig in i dåligt skyddade IT-system och hämta känslig information. Våra system är så dåligt skyddade att de i praktiken är som olåsta kassaskåp. Krisberedskapsmyndigheten konstaterar i flera rapporter att rutiner, beredskap, kunskap och till och med intresset för it-säkerhet hos myndighetsledningarna uppvisar stora brister. En bred it-attack kan inte överblickas på central nivå. Det är få som kan möta ett angrepp och svenskens bredband kan användas för att skapa kaos.

Sverige är världsledande men kunskapen användas inte Sverige är världsledande på signalspaningsområdet. Sverige ingår som ett av fem länder i det internationella samarbetet G5 som har i uppdrag att förbättra EU-ländernas informationssäkerhet. Sverige representeras av Försvarets Radioanstalt. Det är direkt dumdristigt att inte använda Sveriges kompetens på området för att skydda känslig information och minska risken för sabotage. Hög tid att vidta åtgärder Intresset för krigföring med hjälp av it-attacker är stort. Över 120 länder utvecklar teknik för spioneri och anfall med hjälp av internet. Det finns tre aktuella svenska utredningar som berör informationssäkerhet: Mats Sjöstrands Alltid redo, Anders Svärds Informationssäkerhetsutredning och Åke Petterssons Riks och Sårbarhetsutredning. Vi socialdemokrater vill se breda politiska lösningar på säkerhets- och försvarsområdet. Mona Sahlin har öppnat upp för partiledaröverläggningar men försvarsministern har meddelat att detta inte är aktuellt. Det är beklagligt att partiprestige får gå före värnandet av svensk säkerhets- och försvarspolitik. Exempel på it-attacker i Sverige Aftonbladet utsattes senast 2 januari 2008 när lösenord till emailadresser lades ut på Internet. Därmed kunde obehöriga gå in och läsa e-posten, däribland källskyddade uppgifter. Estland mailbombades våren 2007 så att infrastrukturen bröt samman. McAfee konstaterade att 20 000 nätverk av kapade datorer runt om i världen användes vid attacken. Natten mellan 3-4 juni 2006 kunde samhällsviktig information inte hämtas från Regeringskansliets hemsida. Anledning var en riktad distribueringsattack en s.k. ddos-attack genomfördes. Sammanställd av: Socialdemokraterna i Riksdagen

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss