Remissvar över rapporten Utveckling av Sitic, Sveriges IT-incidentcentrum



Relevanta dokument
Remissvar förutsättningar för att inrätta en särskild funktion för IT-incidenthantering

Kommittédirektiv. Viss översyn av ansvarsfördelning och organisation när det gäller samhällets informationssäkerhet. Dir. 2009:110

Sitic Sveriges IT-incidentcentrum

SITIC. Sveriges ITincidentcentrum

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Samhällets informationssäkerhet

Internetdagarna Staffan Karlsson. Informationssäkerhetsenheten. Enhetschef

Vem tar ansvar för Sveriges informationssäkerhet?

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Klicka här för att ändra

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

Betänkandet SOU 2015:31 Datalagring och integritet

Svensk författningssamling

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Strategi för samhällets informationssäkerhet

Gräns för utkontraktering av skyddsvärd information

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Betänkandet SOU 2017:23 digitalforvaltning.nu (Fi2017/01289/DF) Sammanfattning 1(10) Yttrande /112. Finansdepartementet

Frågeställningar inför workshop Nationell strategi för skydd av samhällsviktig verksamhet den 28 oktober 2010

STOCKHOLM. Långsiktig och strategisk styrning av informationsförsörjningen

Myndigheten för samhällsskydd och beredskaps författningssamling

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Betänkandet SOU 2017:23 digital forvaltning.nu

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Säkerhet bygger man in, man skruvar inte dit den efteråt - eller?

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

YTTRANDE Näringsdepartementet Stockholm. Ändrade regler för tillstånd att använda radiosändare, m.m. (dnr: N2008/4773/ITP)

(5)

Våld i nära relationer en folkhälsofråga SOU 2014:49

Organisation för samordning av informationssäkerhet IT (0:1:0)

Datum Vår referens Sida Dnr: /60 1(5)

RAPPORTNUMMER 6 februari 2008 PTS-ER-2008:3 ISSN DIARIENR eförvaltning

Förvaltningspolitiken BP2015 Välkommen till ESV

Så stärker vi den personliga integriteten (SOU 2017:52)

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Christina Goede, Peter Jonegård, Cecilia Laurén, Svante Nygren

Remissvar Så stärker vi den personliga integriteten (SOU 2017:52)

I föreliggande promemoria redovisar Post- och telestyrelsen det arbete som bedrivits med anledning av handlingsplanen för ett säkrare Internet 1.

IT-säkerhet Externt och internt intrångstest

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Tal till Kungl. Krigsvetenskapsakademien

Borås Stads remissyttrande över Remiss av slutbetänkandet reboot - omstart för den digitala förvaltningen

PTS synpunkter på remissen av digitalforvaltning.nu (SOU 2017:23) Delbetänkande av Utredningen om effektiv styrning av nationella digitala tjänster

Metodstöd 2

Remiss av slutbetänkandet reboot - omstart för den digitala förvaltningen (SOU 2017:114)

Sveriges IT-incidentcentrum

Stockholm den 12 februari 2014

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

Yttrande över delbetänkandet Digitalforvaltning.nu (SOU 2017:23)

Remiss: Nya regler om upphandling SOU 2014:51 och Ds 2014:25

Bättre juridiska förutsättningar för samverkan och service (SOU 2014:39) Yttrande till Näringsdepartementet

Handlägges.Q"(4.e...

Strategi för myndigheternas arbete med e-förvaltning

Service management Samverkan och rapportering

Civilrättsliga sanktioner på immaterialrättens område - genomförande av direktiv 2004/48/EG (Ds 2007:19)

Yttrande över slutbetänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Rätt säkerhet Kris

Tillsyn över Polisen (SOU 2013:42)

Policy för hantering av privata leverantörer

Ett minskat och förenklat uppgiftslämnande (SOU 2013:80)

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Myndigheten för samhällsskydd och beredskaps författningssamling

Remissvar Ett nationellt centrum för kunskap om och utvärdering av arbetsmiljö (SOU 2017:28)

Polismyndigheten

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Remissvar Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Dnr: (7)

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

MSB:s arbete med samhällets information- och cybersäkerhet. Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic

BESLUT. Datum Dnr Förändring av krisberedskaps- och säkerhetsråd samt krisberedskaps- och säkerhetsforum

Svenska e-legitimationer och certifikat. Wiggo Öberg, Verva

Kommittédirektiv. Samordning av statliga utbetalningar från välfärdssystemen. Dir. 2018:50. Beslut vid regeringssammanträde den 14 juni 2018

Post- och telestyrelsen avskriver ärendet från vidare handläggning.

(5) Minnesanteckningar från Nummerforum. Datum: Torsdagen den 14 april 2011, kl. 09: Plats: PTS lokaler, Valhallavägen 117

Betänkandet SOU 2014:39 Så enkelt som möjligt för så många som möjligt Bättre juridiska förutsättningar för samverkan och service

Förslag till föreskrifter om fördelning (delegering) av arbetsuppgifter och beslutsbefogenheter gällande säkerhetsarbetet vid Lunds universitet

Kryptosamverkan. Träffpunkt CC Försvarets Materielverk/CSEC 2008 Document ID CB-039 Issue 0.4 SWEDISH CERTIFICATION BODY IT SECURITY

KUNSKAPSHUS FÖR ATT VÄRNA DEMOKRATIN MOT VÅLDSBEJAKANDE MILJÖER. Strategisk handlingsplan för inrättande av Kunskapshus

ISA Informationssäkerhetsavdelningen

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST Mia Gombor Rättsavdelningen

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Vägledning för kanalstrategi

Myndigheten för digital förvaltning

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Digital strategi för Uppsala kommun

FSPOS & SOES - Beskrivning för att tydliggöra gränsdragning

Kommittédirektiv. Genomförande av EU-direktiv om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem. Dir.

Transkript:

Datum 2007-02-05 Er ref: N2006/6947/ITFoU Sida 1(5) Näringsdepartementet Enheten för IT, forskning och utveckling 103 33 STOCKHOLM Remissvar över rapporten Utveckling av Sitic, Sveriges IT-incidentcentrum.SE har bjudits in att lämna synpunkter på ovanstående remiss. Generella synpunkter.se anser att Sitic utför en viktig uppgift genom att sprida information om aktuella och akuta säkerhetsproblem till framför allt myndigheter och deras lokala säkerhetsansvariga. Verksamheten är än så länge mindre känd inom näringslivet och bland allmänheten. Relevanta och aktuella rapporter om incidenter och sårbarheter är viktiga och centrala verktyg för alla som arbetar operativt med säkerhetsfrågor. Sitic behöver organiseras på ett sådant sätt att enskilda organisationer på ett enkelt sätt kan samverka med ITincidenthanteringsfunktionen. Något som många tidigare utredningar pekat på är vikten av att få till stånd en funktion där ITsäkerhetsarbetet kan koordineras. Området är under snabb utveckling och är för de allra flesta verksamheter alltför resurskrävande att bevaka helt på egen hand. För att få en överblick som kan ge underlag för säkerhetshöjande åtgärder eller för att kunna se trender, finns det behov av en möjlighet att rapportera incidenter till en central instans som har till uppgift att göra sammanställning och analys. I rapporten om utveckling av Sitic saknar.se en redovisning av hur Sitic samverkar med andra myndigheter som har ansvar på området, och förslag till tydliga åtgärder i syfte att öka samverkan med andra ansvariga myndigheter för att förbättra funktionen som helhet. Sitics uppdrag En CERT (Computer Emergency Response Team) som Sitic ska ha till uppgift att koordinera säkerhetsproblem. En lämplig form är som "help desk" som via olika kanaler och distributionsformer sprider information och koordinerar insatser vid händelser som till exempel: Stiftelsen för Internetinfrastruktur (.SE) Postadress Besöksadress Telefon Internet Org. Nr Box 7399 Ringvägen 100A, 9 tr 08-452 35 00 info@iis.se 802405-0190 103 91 STOCKHOLM STOCKHOLM Telefax www.se 08-452 35 02

2(5) - intrångsförsök, intrång - brister i programvaror och andra produkter - problem med skadlig kod - serverattacker mot till exempel webbservrar m.m. Rapporteringen från Sitic sker idag per elektronisk post och på webbplatsen genom särskilda råd, blixtmeddelanden och kungörelser. Informationen har också kunnat göras avsevärt mer tillgänglig genom att man använder fler distributionsformer som t.ex. RSS..SE delar i stort bedömningen att Sitics roll beträffande inhämtning, behandling och spridning av tidskritisk säkerhetsrelaterad information kan behöva stärkas för att den ska fylla sin funktion. Samtidigt vill.se erinra om att sådan information också kan köpas i form av kommersiella tjänster eller erhållas gratis genom öppna källor. I avsaknad av ett författningsmässigt stöd för att ålägga statliga myndigheter skyldighet att rapportera incidenter så är det inte självklart att en sådan funktion läggs inom myndighetssfären. Enligt.SE kan det kan trots detta ur ett samhällsperspektiv vara angeläget att en statlig myndighet som inte styrs av kommersiella intressen har ett utpekat ansvar att tillhandahålla sådan information alternativt peka ut andra källor till sådan information..se saknar i förslagen en uppgift för Sitic att samla information om och hänvisa till ett nätverk av konsulter och produkter. Sitic bör enligt.se även ha beredskap för att samverka inte bara med IP-operatörer utan även med organisationer som utvecklar och distribuerar säkerhetslösningar i Sverige, och virtuella organisationer som exempelvis Ubuntu/Debian. En central funktion för hantering av IT-incidenter i Sverige bör långsiktigt kunna tjäna användarintressen hos stora, små och medelstora företag, offentlig förvaltning, utbildningsväsende, Internetleverantörer, andra organisationer och privatpersoner. Genom att samla resurserna kring dessa frågor minskar förhoppningsvis kostnader och problem med kompetensbrist i enskilda organisationer. Sitic kan bidra med kompetenshöjning i form av vägledning och rådgivning. För att en central funktion för IT-incidenter ska ha förutsättningar att lyckas måste emellertid också varje organisation etablera egna interna incidenthanteringsfunktioner. En viktig uppgift för Sitic blir då enligt.se att ge råd och vägledning om hur sådana interna funktioner kan organiseras inom en verksamhet. Gränsdragning till andra myndigheter ansvarsområden Det finns idag fyra myndigheter som har ett utpekat ansvar för att stödja samhällets arbete med informationssäkerhet. Dessa myndigheter är Försvarets radioanstalt (FRA), Krisberedskapsmyndigheten (KBM-SEMA), Försvarets Materielverk (FMV) samt Post- och Telestyrelsen (PTS) som driver Sitic. Det faktum att flera aktörer är involverade i arbetet innebär både fördelar och nackdelar. Fördelen som.se ser är att de sammanlagda resurserna för arbetet är relativt omfattande, och att myndigheternas olika roller och inbördes konkurrens tvingar fram kontinuerliga förbättringar i utbudet av service och tjänster. Nackdelen är att man med ett uppdelat ansvar riskerar att skapa en otydlig organisationsstruktur och bristande helhetssyn.

3(5) Enligt.SE:s uppfattning finns det en uppenbar risk för gränsdragningsproblem mot andra myndigheters uppgifter både när det gäller ansvarsfördelningen inom myndigheter med uppgifter inom informationssäkerhetsområdet och kanske framför allt mot brottsutredande myndigheter..se saknar i rapporten en långsiktig strategi för Sitic, där man beskriver vägen fram till en nationell, sektorsövergripande funktion för IT-incidenthantering som bygger på lämplig ansvarsfördelning mellan aktörerna, på klarläggande av behovet av samarbete och kanaler för informationsutbyte samt på samverkan mellan ansvariga myndigheter och samverkan med aktörer inom den privata sektorn. Enligt.SE kan Sitic utforma strategin för och påverka de olika aktörerna inom området att ansluta sig till strategin för att eliminera eventuella svagheter och bygga upp en stark incidentberedskap hos myndigheter, företag och inom infrastrukturer för elektronisk kommunikation. En viktig samverkanspartner i det sammanhanget är Verva. Omvärldsbevakning, forskning och utveckling Sitics uppdrag bör enligt.se även omfatta att hantera omvärldsbevakning i samarbete med de forskare och de företag som arbetar med säkerhet och incidentområdet. Sitic kan samtidigt initiera forskning inom området på universitet och högskolor. Sitic kan också vara den som initierar utbildning på området inom gymnasieskolan, högskolan, universiteten samt forskarutbildningen. Ett tidigare medvetandegörande hos medborgarna kommer sannolikt att innebära att antalet incidenter och följderna av varje incident kan komma att minska. Såvitt.SE känner till medverkar Sitic inte i arbetet med öppna standarder inom säkerhetsområdet eller inom utveckling respektive granskning av fri programvara vilket också skulle kunna ingå i Sitics uppdrag..se har inga synpunkter på förslag om Sitics internationella engagemang. Det förefaller lämpligt att Sitic är den myndighet som har kontakt med andra liknande myndigheter och organisationer internationellt för att utbyta information om händelser eller möjliga hot som konstateras i rapporten. Sitics tjänster I rapporten föreslås en ny verksamhetsstruktur för Sitic baserad på ett antal tjänster. Inom området reaktiva tjänster föreslås bl.a. objektanalys som innebär undersökning av ett objekt funnet på en dator som kan ha varit inblandad i en incident eller som använts för att kringgå säkerhetsanordningar. Beträffande den typen av analys är det enligt.se:s bedömning viktigt att det finns en mycket tydlig gräns för när analys inte ska genomföras av Sitic utan överlämnas till polisen för brottsutredning. Inom området Proaktiva tjänster anges bl.a. intrångsdetekteringstjänster som innefattar analys av data från intrångsdetekteringssystem. Vid sådan verksamhet finns det enligt.se:s bedömning risk för gränsdragningsproblem gentemot polisens brottsutredande verksamhet. Inom området föreslås bland annat säkerhetsgranskningar eller bedömningar och intrångsdetekteringstjänster. Det föreslaget innebär enligt.se:s bedömning inte bara en risk för gränsdragningsproblem gentemot Försvarets radioanstalt och dess ansvar för att tillhandahålla teknisk informa-

4(5) tionssäkerhetskompetens och stödja statliga myndigheter t.ex. med IT-säkerhetsanalyser och annat tekniskt stöd, utan också en uppenbar risk för att Sitics verksamhet kommer i konflikt med kommersiella aktörer och deras intressen. Sitic skulle enligt.se också kunna vara den myndighet som påpekar behovet av regler för incidentområdet och i viss mån övervakar att dessa regler följs. Till stöd för detta kan Sitic samverka med Verva vars föreskriftsrätt ger ett instrument att påverka införandet av åtgärder inom den offentliga förvaltningen..se menar att förebyggande skyddsåtgärder är det mest effektiva skyddet mot IT-incidenter, och att incidenthantering inte kan ersätta utan bara komplettera sådana skyddsåtgärder. Det innebär dock inte självklart att det är Sitics uppgift att ge kvalificerat stöd vid utformningen av myndigheternas skyddsåtgärder. Även här riskerar man att komma i konflikt med kommersiella aktörer och deras intressen. Förebyggande skyddsåtgärder är en utmärkt uppgift för den privata marknaden i avtal med statliga myndigheter, efter väl specificerade krav och offentlig upphandling. En sådan uppgift faller däremot väl inom Verva:s uppgift att bidra till en effektiv e-förvaltning som i sin helhet kännetecknas av hög produktivitet, god kvalitet och bra service till nytta för beslutsfattare, medborgare och näringsliv. Inom området säkerhets- och kvalitetsstyrningstjänster nämns säkerhetskonsulttjänster som omfattar rådgivning beträffande informationssäkerhet till t.ex. myndigheter. Även vid utövande av den här typen av tjänst kan det enligt.se:s bedömning finnas en risk för gränsdragningsproblem gentemot såväl FRA som KBM. FMV bedriver dessutom verksamhet kring evaluering och certifiering av IT-säkerhetsprodukter. Incidenthantering utanför kontorstid.se har svårt att bedöma behovet av en utökad roll för Sitic som innebär bemanning 24/7/365. En utveckling i flera steg kan enligt.se behöva anges. Att befinna sig i händelsernas centrum är något som främst operatörerna har möjlighet till..se föreställer sig dock att det kan finnas behov av en jourkontakt på Sitic till vilken man kan vända sig. Att inrätta en fullständig skiftgång i verksamheten förefaller i.se:s ögon vara ett mycket stort steg för vilket det krävs ett utförligare beslutsunderlag. Frekvensen blixtmeddelanden och särskilda råd ger t.ex. i sig inte några indikationer för att utöka verksamheten på ett sådant sätt. Sitics hantering av personuppgifter Uppgift om IP-adress kan utgöra personuppgift och.se anser att en utredning bör företas innan man fastställer i vilken utsträckning Sitic kan behandla personuppgifter i sin verksamhet. Konsekvensanalys.SE har ingenting att invända mot att Sitic även i fortsättningen är en del av PTS verksamhet. När det gäller förslag till en ökad budget med fem miljoner mer än för nuvarande verksamhet så framgår inte vad den bedömningen baserar sig på. Det gör det svårt för.se att bedöma rele-

5(5) vansen i den delen av förslaget. Samtidigt innebär förslagen i rapporten en viss omprioritering av verksamheten, vilket tyder på att verksamheten skulle kunna utvecklas inom ramen för den befintliga anslagsnivån. Danny Aerts VD

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss