Riskanalys för myndigheterna inom SOES

Relevanta dokument
SOES samverkansövning 2014: Övningsrapport

FSPOS & SOES - Beskrivning för att tydliggöra gränsdragning

Robusthetshöjande åtgärder 2015

SOES övningsplan

Myndigheten för samhällsskydd och beredskap 1 (39) Datum Diarienr Utgåva. Gemensamma rutiner.

FSPOS Strategisk plan

Samhällskonsekvensanalys för myndigheterna inom SOES

Spridnings- och hämtningssystemet (SHS)

Synergier mellan kontinuitetsplaner

- Potentiella robusthetshöjande åtgärder till följd av SEPA

SOES samverkansövning 2015: Övningsrapport

Strategi för förstärkningsresurser

Samhällskonsekvensanalys för myndigheterna inom SOES

Svensk Betalningskalender AG KON Fokusgrupp Finansiella Tjänster

Finansinspektionens författningssamling

Frågeställningar inför workshop Nationell strategi för skydd av samhällsviktig verksamhet den 28 oktober 2010

Internkontrollplan 2016 Nämnden för personer med funktionsnedsättning

Utlysning av forskningsmedel: Ett resilient betalningssystem

Svensk Betalningskalender AG KON Fokusgruppen för Finansiella Tjänster

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

Kontinuitetshantering i samhällsviktig verksamhet

Folkbokföringsregistret med personuppgifter

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Riktlinjer för IT-säkerhet i Halmstads kommun

Kontinuitetshantering ur ett samhällsperspektiv SIS Clas Herbring: MSB Enheten för skydd av samhällsviktig verksamhet

SOES Vägledning för Kontinuitetshantering

Risk- och sårbarhetsanalys samt elberedskapsåtgärder, SvK. EI Seminarium om risk- och sårbarhetsanalys 26/11

Myndigheten för samhällsskydd och beredskaps författningssamling

RUTIN FÖR RISKANALYS

Finansiella sektorns privat offentliga samverkan (FSPOS) Genomfört arbete

Insättningsuppgift via Internet Användarmanual

Myndigheten för samhällsskydd och beredskap 1 (10) Anvisningar om hur statlig ersättning för kommunernas krisberedskap får användas

Plan för att förebygga och hantera extraordinära händelser. Beslutad av kommunfullmäktige 25 september 2017, 102/17, Dnr KS2017.

Myndigheten för samhällsskydd och beredskaps författningssamling

Sårbarheter i det moderna betalningsväsendet

Anna Rinne Enheten för skydd av samhällsviktig verksamhet. Skydd av samhällsviktig verksamhet

Angående remissen om Kvalificerad välfärdsbrottslighet förebygga, förhindra, upptäcka, beivra (SOU 2017:37)

Utvärdering Projekt Vägen

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

Finansinspektionens författningssamling

Systematiskt arbete med skydd av samhällsviktig verksamhet

Promemoria. Krisberedskapsmyndigheten skall därefter lämna ett förslag till överenskommelse till regeringen senast den 1 september 2003.

Swedish Government Secure Intranet (SGSI) för robust kommunikation

REGLEMENTE FÖR. Intern kontroll. Antaget Tillsvidare, dock längst fyra år från antagande

Anslag 2:4 Krisberedskap, inriktning 2016

Säkerhetspolicy för Tibro kommun

Samordnade brukarundersökningar en väg framåt?

Utbildning. Det nya Ramavtalet avseende betalningstjänster m.m.

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

8 Plan för förhindrad spridning av

Stöd för arbetet med regleringsbrevsuppdrag Informationssäkerhet i RSA

Styrdokument för kommunens krisberedskap

Nationell risk- och förmågebedömning 2017

Nationell strategi för skydd av samhällsviktig verksamhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Redovisning över Försäkringskassans planering inom ramen för det civila försvaret

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Kartläggning av SAMHÄLLSVIKTIGA VERKSAMHETERS BEROENDE AV ELEKTRONISK KOMMUNIKATION - EN FÖRSTUDIE

Överenskommelse om myndighetssamverkan

Beroendeanalys för ökad robusthet i samhällsviktiga transporter

Bilaga 1. Definitioner

BILAGA 3 Tillitsramverk Version: 1.2

Informationssäkerhetspolicy för Ånge kommun

Produktrelease för Bankgirosystemet. April Utgåva våren 2015

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Kommittédirektiv. Samordning av statliga utbetalningar från välfärdssystemen. Dir. 2018:50. Beslut vid regeringssammanträde den 14 juni 2018

Dokumenttyp: Projekt: Projektnummer: Utfärdat av: Utf datum: Godkänt av : Godk datum:

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Finansinspektionens författningssamling

Mina meddelanden. säker digital post från myndigheter och kommuner

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

Reglemente för internkontroll

Bilaga Från standard till komponent

Anmälan om. schablonmetoden, operativ risk

Revisionsplan för Linnéuniversitetet 2015

Riktlinjer för hantering av intressekonflikter

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Grundsyn - gemensamma grunder för en sammanhängande planering för totalförsvaret (10 juni 2016) Version juni 2018

Outsourcing av it-tjänster i kommuner

Kontinuitetshantering IT-avbrott - hur beroende är ditt företag?

Våga se framåt, där har du framtiden!

Vägledning för kommunens utbildnings- och övningsplan

Vägledning för identifiering av samhällsviktig verksamhet

Verksamhetsplan SOGO. Verksamhetsplan 2015 för samverkansområdet Geografiskt områdesansvar

Handlingsprogram om ökad sysselsättningsgrad. sysselsättningsgrad för ungdomar

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Öppna jämförelser i socialtjänsten. Handlingsplan för ekonomiskt bistånd

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Produktrelease för Bankgirosystemet och tillhörande tjänster

Skattefullmakt Användarmanual

Informationssäkerhetspolicy för Ystads kommun F 17:01

Bilaga 1 Projektplan för avtal kring projekt Sign IN

Finansinspektionens författningssamling

Hjälpmedelstjänsten. - Beskrivning och tjänstespecifika villkor

Förmåga att motstå svåra påfrestningar genom alternativa lösningar

Kommittédirektiv. En delegation mot överutnyttjande av och felaktiga utbetalningar från välfärdssystemen. Dir. 2016:60

Remiss förslag till tydligare krav på clearingorganisationers hantering av operativa risker

Transkript:

Samverkansområdet Ekonomisk säkerhet Sida 1(6) Dokumentklass: Öppen Datum: 2014-10-30 Version: 1.0 Sammanfattning av projektet: Riskanalys för myndigheterna inom SOES Rapporten finns att ladda ner på: www.msb.se/soes Representanter för kommuner

Sida 2(6) SOES ska verka för att enskilda individer, företag och det allmänna ska ha tillgång till och förtroende för att: samhällets betalningar * fungerar och systemen för att betala varor och tjänster fungerar Syftet är att förebygga allvarliga störningar för att minska konsekvenser av händelser som kan få allvarliga samhällspåverkande effekter. Detta sker genom att ur ett samhällsperspektiv analysera risk och sårbarhet för kritiska resurser samt beroenden, dokumentera dessa, ta fram förslag för åtgärder, och tillställa ansvariga aktörer. * Med samhällets betalningar menas hela kedjan från generering av underlag för utbetalning till att mottagaren kan använda medlen. I målet ingår delar som de olika aktörerna inte har ett direkt ansvar för, men där avbrott påverkar mottagaren menligt. Exempel på detta är aktörer inom finansiella sektorn, för dessa gäller att SOES analyserar och informerar om risker.

3(6) 1 Inledning SOES ska verka för att enskilda individer, företag och det allmänna ska ha tillgång till och förtroende för att samhällets betalningar 1 fungerar och för att systemen för att betala varor och tjänster fungerar. En stor andel av de statliga myndigheternas betalningar riktar sig till utsatta samhällsgrupper som många gånger är helt beroende av ekonomiskt stöd för sin försörjning. Dessa grupper har ofta inga eller mycket begränsade egna tillgångar, och får redan vid mindre förseningar i myndigheternas utbetalningar svårt att finansiera nödvändiga utgifter. Många av de risker som är relevanta för myndigheterna inom SOES utgår därför från avbrott och störningar i myndigheternas utbetalningar vilket leder till uteblivna, försenade eller felaktiga betalningar. Gemensamt för sådana risker är att förödande konsekvenser kan uppstå för enskilda individer, men även att förtroendet för SOESmyndigheterna och det finansiella systemet påverkas negativt. En stor del av statens betalningar betraktas som samhällsviktiga, och det är således av stor vikt att dessa kan genomföras utan störningar och avbrott. Det operativa arbetet inom SOES bedrivs i ett antal arbetsgrupper (AG) som formerats med utgångspunkt i SOES fastställda inriktning och fokusområden. Arbetsgrupp Riskanalyser har under 2014 fått i uppdrag att ur ett samhällsperspektiv analysera risker, med utgångspunkt i SOES syfte och mål, samt ta fram förslag på åtgärder. Detta dokument utgör en sammanfattning av projektet Riskanalys för myndigheterna inom SOES. En mer utförlig redogörelse återfinns i en slutrapport för projektet. Sammanfattningen riktar sig till en bredare målgrupp, medan slutrapporten har SOESmyndigheterna som huvudsaklig målgrupp. Den senare innehåller bl.a. förslag på framtida aktiviteter inom SOES. 1.1 Ingångsvärden och avgränsningar Arbetet med riskerna har utgått från kunskapen hos arbetsgruppens medlemmar, vilka utgjorts av representanter från Försäkringskassan, Riksgälden, Arbetsförmedlingen och Skatteverket. Även en representant från Finansinspektionen har deltagit i arbetsgruppens arbete. Rapporten utgår i första hand från de SOES-myndigheterna som deltagit i arbetsgruppen. Detta utesluter emellertid inte att bilden som beskrivs även är relevant för Pensionsmyndigheten, som inte haft möjlighet att delta. De risker som framgår av denna rapport har delvis utgått från de risker som konstaterats inom myndigheternas egna risk- och sårbarhetsanalyser. Inspiration har även hämtats från tidigare utfört arbete inom SOES Arbetsgrupp Kritiska Resurser. Vidare har en avgränsning gjorts vid prioritering av vilka risker som ingår i denna rapport. Ett stort antal risker har identifierats av arbetsgruppen, varav ett urval har prioriterats för att ingå i rapporten. Följande perspektiv har varit vägledande vid identifieringen: Riskerna ska vara gemensamma för SOES-myndigheterna 1 Med samhällets betalningar menas hela kedjan från generering av underlag för utbetalning till att mottagaren kan använda medlen. I målet ingår delar som de olika aktörerna inte har ett direkt ansvar för, men där avbrott påverkar mottagaren menligt. Exempel på detta är aktörer inom finansiella sektorn, för dessa gäller att SOES analyserar och informerar om risker.

4(6) Riskerna ska vara kopplade till gränsytor mellan SOES-myndigheterna Riskerna ska ej endast vara relevanta för en enskild aktör Totalt identifierades drygt 20 enskilda risker. Prioriteringen av risker genomfördes under samma inledande workshoptillfälle, där arbetsgruppen valde ut risker för vidare analys under efterföljande workshoptillfälle. Totalt prioriterades 13 risker för vidare analys. Prioriteringen genomfördes företrädelsevis för risker som: Är relevanta för en stor del av SOES-myndigheterna Kan leda till stora konsekvenser för samhället Kan påverka en kritisk del av den gemensamma infrastrukturen Kan ha stor påverkan på förtroendet för SOES-myndigheterna Ej har analyserats eller kartlagts tidigare (i helhet) De prioriterade riskerna analyserades även av arbetsgruppen, genom att utvärdera och beskriva effekten av riskerna beskrevs i termer av konsekvenser för SOESmyndigheternas funktionalitet och förtroendet för SOES-myndigheterna. Syftet med detta steg var bland annat att ge inspiration och ingångvärden till utvecklingen av förslag till åtgärder och framtida aktiviteter inom SOES. Utöver identifiering av risker relevanta för myndigheterna inom SOES låg avslutningsvis fokus på att identifiera förslag till riskreducerande åtgärder och förslag på framtida aktiviteter inom SOES. 2 Identifierade risker och förslag till fortsatt arbete Nedan redovisas kortfattat de risker som identifierats under projektet och som prioriterats av arbetsgruppen. Avbrott hos Bankgirot Bankgirot är clearingorganisation för massbetalningar i Sverige och har därigenom en central roll i betalningsinfrastrukturen. Ett avbrott i Bankgirots clearingverksamhet skulle därför kunna resultera i allvarliga konsekvenser när det kommer till SOESmyndigheternas möjligheter till att genomföra utbetalningar. Haveri hos gemensam IT-leverantör En stor del av SOES myndigheternas IT-drift är förlagd till externa IT-leverantörer, varför dessa kan sägas vara av ansenlig betydelse för att upprätthålla myndigheternas funktionalitet. Externt angrepp, exempelvis spridning av skadlig kod Med externa IT-angrepp avses den typ av cyberbrottslighet som leder till att SOESmyndigheternas tillgänglighet och funktionalitet skadas. För framtida arbete inom SOES är bedömningen att externa IT-angrepp är en fråga som bör ges utökat fokus.

5(6) Avbrott i Folkbokföringsregistret SOES-myndigheterna nyttjar Folkbokföringsregistret för att komma åt information för att kunna genomföra korrekta utbetalningar. Folkbokföringsregistret drivs av Skatteverket och utgör den grundläggande registreringen av befolkningen i Sverige. Uppgifter från Folkbokföringsregistret hämtas regelbundet in av de olika SOES myndigheterna. Avbrott i Spridnings- och hämtningssystemet (SHS) Liksom Folkbokföringsregistret nyttjar SOES-myndigheterna Spridnings- och hämtningssystemet (SHS) för att komma åt aktuell information för att kunna genomföra korrekta utbetalningar. SHS är ett kommunikationsprotokoll som används av myndigheter och andra organisationer för säker kommunikation och filöverföring över internet. Internetstörningar Myndigheterna inom SOES, liksom övriga sektorer i samhället, uppvisar ett starkt internetberoende, varför störningar och avbrott i internetåtkomsten har bedömts vara en prioriterad risk. Enskild utbetalande ramavtalsbank står stilla Myndigheterna inom SOES genomför sina utbetalningar via ramavtalsbanker, vilket är banker som staten genom Riksgälden tecknat ramavtal med. Val av ramavtalsbank kan skilja sig från myndighet till myndighet. Innan utbetalning sker även en överföring från Riksgäldens toppkonto i ramavtalsbanken till myndighetens konto i ramavtalsbanken. Myndigheten bemyndigar även överföringen till mottagare genom att logga in på ramavtalsbankens internetbank. Enskild myndighet inte kan framställa utbetalningsunderlag En förutsättning för att utbetalningar ska kunna genomföras är att myndigheter kan framställa utbetalningsunderlag, som sedan kan skickas vidare till ramavtalsbanken. Händelser där underlag inte kan framställas hos en myndighet har därför prioriterats vid dessa riskanalyser. Avbrott i linjen mellan enskild myndighet och dess ramavtalsbank Avbrott kan försvåra eller omöjliggöra myndigheternas utbetalningar. Liksom kommunikationen mellan SOES myndigheterna baseras kommunikationen mellan enskilda myndigheter och dess ramavtalsbanker på att det finns en underliggande informationsinfrastruktur. Avbrott i korthanterings- eller uttagsautomatsystem Tillgängligheten till korthanterings- och uttagsautomatssystem är av fundamental betydelse för att allmänheten ska kunna utföra betalningar. Risken är vidare relevant för SOES då fungerande korthanterings- och uttagsautomatsystem är av stor betydelse för att mottagare av statliga utbetalningar ska kunna lyfta utbetalade medel.

6(6) Verksamhetsledningar har ett stuprörsperspektiv Arbetet inom SOES utgår från att helikopterperspektiv över SOES-myndigheternas verksamheter och gemensamma beroenden ska ligga till grund för arbetet. Händelser där verksamhetsledningar inom enskilda SOES-myndigheter utvecklar stuprörsperspektiv, har prioriterats vid arbetet inom AG Riskanalyser, då risken kan medföra att man bortser från SOES-kollektivet och därigenom medborgarperspektivet. Beroende till nyckelpersoner Flera processer hos SOES-myndigheterna är beroende av personer med särskild kompetens och/eller behörighet, vilka följaktligen kan beskrivas som nyckelpersoner. Följaktligen skulle avbrott och förseningar i verksamheten eventuellt kunna uppstå, ifall den typen av individer av någon anledning skulle utebli från arbetet. Påverkan mot nyckelpersoner att utföra otillbörlig handling Nyckelpersoner med särskild kompetens och/eller behörighet kan åsamka påtagbar skada ifall dessa, exempelvis genom utpressning, skulle fås till att utföra otillbörliga handlingar. 3 Avslutande kommentarer Vid utvecklingen av denna rapport har drygt 20 risker identifierats, varav 13 valts ut till redovisning i denna rapport. Det kan konstateras att riskerna i mer eller mindre stor utsträckning berör gränserna mellan SOES-myndigheter, men i flera fall även gränsen mot externa aktörer såsom Bankgirot, leverantörer av IT, eller banker. Rapporten påvisar en mångfacetterad riskbild för myndigheterna och implicerar ett fortsatt gemensamt arbete inom ett flertal områden. Det komplexa och breda risklandskapet medför ett behov att utgå från ett allriskperspektiv som stärker förmågan att hantera ett brett spektrum av händelser. Detta understryks inte minst av ett identifierat behov att ytterligare förstå myndigheternas beroenden, bland annat genom arbete med kontinuitetshantering men även genom gemensamma övningar och fortsatt stärkt dialog inom SOES och med andra relevanta aktörer. Ett genomgående tema för riskerna i denna rapport är att de berör påverkan på myndigheternas möjlighet att genomföra utbetalningar eller att genomföra korrekta utbetalningar till mottagare som är beroende av stödet från SOES-myndigheterna. En ytterligare gemensam nämnare är behovet att utreda befintliga reservrutiner och kontinuitetsplaner, samt behovet att utveckla sådana i de fall de saknas. Därutöver impliceras ett behov att öva rutiner och planer, såväl för enskilda myndigheter som gemensamt för myndigheterna som kollektiv. Det kan med andra ord konstateras att en stor del av det kommande förbättringsarbetet kopplat till riskerna kan och bör ligga hos SOES-myndigheterna. Därutöver kan ett antal åtgärder föreslås kopplat till aktörer utanför SOES.