Förslag på arbetssätt för informations­­säkerhet i Försvarsmakten

I ett projekt har jag tagit fram en modell över tänkt arbetssätt för informations­säkerhets­arbete i Försvarsmakten. Modellen består av tre delar; förebygga, hantera och förbättra. Varje del är i sin tur indelad i fyra områden. Modellen som är anpassad för Försvarsmakten är baserad på SS-ISO/IEC 27001:2014 och Natos modell för indelning av IT-säkerhetsförmågor. I modellen används verb för att uttrycka att den uppmuntrar mänskliga handlingar i arbetet.

Klicka på bilden för att se den i full storlek.

Förebygga

Det förebyggande arbetet syftar till att ta reda på vilket skydd som behövs och få det på plats. Skyddet består av tekniska och administrativa skyddsåtgärder. Efter­som människors kunskaper och attityder är av stor betydelse för informations­­säkerheten är utbildning och övning en viktig del i det förebyggande arbetet, även för tekniska skyddsåtgärder.

• I området Planera ingår aktiviteter för att analysera och avgöra vilka skydds­åtgärder som ska skydda informations­tillgångar i fråga om konfidentialitet, tillgänglighet och riktighet. Normalt sker en sådan analys i form av en säkerhets­analys där informations­­tillgångar identifieras och prioriteras. I säkerhetsanalysen bedöms säkerhetshot, sårbarheter och risker där de senare prioriteras och ligger till grund för beslut om hur riskerna ska hanteras. För riskhanterings­beslut används Försvarsmaktens kriterier för riskacceptans (som ännu inte existerar). En säkerhetsplan omsätter riskhanterings­besluten i en konkret handlingsplan som ska säkerställa att besluten om skyddsåtgärder verkligen genomförs.

För att avgöra vilket skydd informations­tillgångar ska omfattas av måste även analys av författningskrav eller krav i avtal och överenskommelser genomföras. Även om det finns många bestämmelser om informations­säkerhet är skyddet inte statiskt. Skyddet behöver ofta anpassas för att möta en specifik hotbild. Hotbilden varierar beroende på bl a vilken information som kommer att behandlas, hotaktörernas förmåga, kapacitet och intention samt var informations­­tillgångarna finns.

Planering av vilka åtgärder som ska vidtas vid avbrott eller störningar i ett IT-systems funktion (kontinuitetsplan) är exempel på hur området Planera används för tillgänglighetsaspekten. Att analysera och avgöra vilka skyddsåtgärder som ska skydda informations­­till­gångar är sällan aktiviteter som endast genomförs en gång för en viss informat­ions­tillgång. Planeringen kan ske iterativt och kan även behöva genomföras på nytt då riskerna eller skyddsåtgärdernas skyddsegenskaper har ändrats.

• Syftet med området Etablera är att skapa det skydd för informationstillgångar som behövs så att tillgångarna kan hanteras med en av Försvarsmakten accepterad risk (okänd eftersom det saknas beslutade riskacceptans­­villkor). Det kan vara fråga om att återanvända befintliga skyddsåtgärder eller anskaffa varor och tjänster för skyddsåtgärder som inte finns. Aktiviteter för att verifiera att skyddsåtgärderna har rätt skydds­egenskaper ingår i området. De skyddsåtgärder som etableras är tekniska och administrativa. Normalt behövs en kombination för att uppnå säkerhetseffekt, t ex låssystem med nycklar tillsammans med rutiner för tilldelning och återlämning av nycklar.

Skyddsåtgärder för IT-säkerhet består inte endast av de sju säkerhetsfunktionerna behörighetskontroll, säkerhetsloggning, skydd mot röjande signaler, skydd mot obehörig avlyssning, intrångsskydd, intrångsdetektering och skydd mot skadlig kod. Andra skyddsåtgärder kan t ex vara sekretessmarkeringar på elektroniska handlingar, säkerhetskopiering samt organisation och teknisk lösning för distribution av programuppdateringar. KSF är inte allt!

Skyddsåtgärder för administrativ informations­­säker­het kan t ex bestå av beslut om vem som är behörig att ta del av hemliga handlingar, rutiner för delgivning, inventering och återlämning av handlingarna.

• Aktiviteter i området Utbilda ger Försvarsmaktens personal kunskap om hoten mot informations­tillgångarna och hur man ska skydda tillgångarna. Sådan kunskap är väsentligt för Försvarsmaktens informations­säkerhet. Utbildningar måste anpassas för målgrupper, t ex behöver IT-driftpersonal annan utbildning än vad människor som använder IT-systemen behöver. Stöd för utbildning finns i Handbok Utbildningsmetodik (H FM UtbM) (PDF) och Pedagogiska grunder (PDF).

• Genom att öva kan en individ öka sin förmåga att lösa en viss uppgift i skyddet av informations­tillgångar. Även funktioner eller organisationsdelar kan övas i att skydda informations­tillgångar eller hantera informations­säkerhets­incidenter, t ex åtgärder för att återställa kontinuitet efter att en datorhall brunnit upp eller ett intrång i ett IT-system. Aktiviteterna i områdena Planera och Utbilda är sällan tillräckliga för att människor ska vara kompetenta för att hantera informations­tillgångar på ett säkert sätt. Övning ger färdighet!

Hantera

Oavsett hur väl man förbereder sig för att skydda informationen kommer det att inträffa händelser som medför ett sämre skydd av informationen eller att inform­ationen förloras, förstörs eller ändras på ett sätt som inte är önskvärt. I informations­säkerhets­arbetet ingår att hantera sådana incidenter och avvikelser. Hanter­ingen syftar inte endast till att upptäcka och rapportera händelser utan även till att återställa skyddet till en tillräcklig nivå.

• Området Övervaka syftar till att övervaka hanteringen av informationstillgång­arna så att det är möjligt att upptäcka informations­säkerhets­incidenter och avvik­elser. I IT-system ska säkerhetsfunktionen säkerhetsloggning bland annat ge möjlighet att upptäcka hot från behöriga användare eller obehöriga personer som har tillgång till någon av systemets gränsytor. Säkerhetsfunktionen intrångs­­detektering ska detektera intrång, eller försök till intrång eller förberedelse till intrång i IT-system. Övervakning av kapacitetsutnyttjade är relevant för tillgänglighetsaspekten. Över­vakningen behöver även omfatta stödjande infrastrukturer som IT-system är beroende av, t ex klimat­­anläggningar och elförsörjning, då fel där kan påverka informations­säkerheten negativt.

I IT-system måste övervakningen ske kontinuer­ligt för att man snabbt ska kunna agera för att återställa informations­säkerheten. I hantering av information i analog form kan övervakningen genomföras med stöd i rutiner som ger spårbarhet, t ex kvittering vid mottagande av en hemlig pappershand­ling. Omvärldsbevakning för att uppmärksamma sårbarheter i mjuk- och hårdvaror eller för att uppmärksamma att leverantörer slutar att tillhandahålla säkerhets­­uppdateringar hör också till området Övervaka.

• Området Upptäcka syftar till att informations­säkerhets­incidenter och avvikelser detekteras och uppmärksammas så att någon kan agera för att återställa informations­­säker­heten. En informations­säkerhets­incident eller avvikelse kan ha sin grund i såväl en avsiktligt orsakad händelse (t ex tillgänglighetsattack mot IT-system och stöld av hemliga handlingar) som en oavsiktligt orsakad händelse (t ex naturfenomen, materialfel, olyckor och slarv).

I IT-system sker upptäckt främst med automatisk och manuell logganalys men även med driftlarm för stödjande infrastrukturer. Att upptäcka informations­­säkerhets­incidenter och avvikelser kräver också analysförmåga och en organisation som kan agera på larm. Upptäckt av ett angrepp på ett IT-system medför att angreppet kan behöva avbrytas med aktiva åtgärder i systemet. Att en hemlig handling saknas vid inventering av hemliga pappershandlingar är ett exempel på upptäckt av en informations­säkerhets­incident i hanteringen av information i analog form.

Säkerhetsrapportering, när en människa rapporterar en säkerhetshotande verksamhet eller en sårbarhet, är en del av området Upptäcka.

• Området Agera syftar till att efter upptäckt av en informations­säkerhets­incident eller avvikelse eliminera eller begränsa fortsatta negativa effekter av incidenten eller avvikelsen. Att på ett kontrollerat sätt ta bort hemliga uppgifter ur ett IT-system som inte är godkänt för hantering av sådana uppgifter är ett exempel. Ett annat exempel är de fall där pågående angrepp på ett IT-system avbryts.

Till området Agera hör även utredning efter att en informations­säker­hets­incident eller avvikelse ägt rum, t ex forensisk analys för att fastställa orsaken till en informations­säkerhets­incident.

• Området Återställa syftar till att efter en informations­säker­hets­incident eller avvikelse vidta åtgärder så att den önskade nivån av informations­­säker­het åter­ställs. Detta kan ske genom att påverka den sårbarhet som utnyttjats, t ex genom att komplettera med ny skyddsåtgärd eller ersätta en skyddsåtgärd. Till området Återställa hör även att återställa information som av misstag har förstörts eller ändrats, t ex genom återläsning av en säkerhetskopia.

Förbättra

Även om informations­­säker­heten vid ett tillfälle bedöms vara tillräcklig kan den vid ett senare tillfälle vara otillräcklig på grund av förhållanden som inte var kända, t ex nya sårbarheter. I arbetet att förbättra informations­­säker­heten ingår att informera om sådana förhållanden så att även andra kan vidta korrigerande åtgärder. För att kunna vidta åtgärder så att en informations­säker­hets­incident eller avvikelse inte inträffar igen måste kunskaper om inträffade händelser spridas inom Försvars­makten. Att förbättra informations­­säker­heten handlar om att vi lär oss av varandra och korrigerar skyddsåtgärderna med det gemensamma målet att skydda informationen, oavsett var den hanteras.

• Området Kontrollera syftar till att granska om planeringen i området Planera samt etablerade säkerhetsåtgärder (från området Etablera) är tillräckliga för att skydda de berörda informat­ions­tillgångarna. Granskningen ska med grund i Försvarsmaktens kriterier för riskacceptans (Surprise! De finns inte…) avgöra om informationstillgångar ges nödvändigt skydd mot säkerhetshot och att kvarvarande risker är acceptabla. Granskningen behöver ta hänsyn till författningskrav eller krav i avtal och överenskommelser.

Exempel på aktiviteter inom området är säkerhetsskydds­kontroller och intern­kontroller.

• Det kan vara en enskild eller flera skyddsåtgärders sammantagna effekt som i området Utvärdera undersöks för att se om de är lämpliga och effektiva eller om de behöver förändras. I utvärderingarna ingår även att bedöma om inträffade informations­säkerhets­­incidenter och av­vik­elser kan inträffa på nytt och i så fall vad man behöver göra för att minska sanno­likheten för det. I området ingår att även undersöka effekten av tidigare genom­förda aktiviteter i området Korrigera. Orsaker till inträffade informations­­säker­hets­­­incidenter och avvikelser, resultat av kontroller, identifierade sårbarheter samt genomförda korrigeringar är underlag för utvärderingar. Utvärdering sker utifrån bl a författningskrav och Försvarsmaktens kriterier för riskacceptans, som ännu inte existerar. Utvärderingar kan genomföras på olika nivåer, t ex på ett krigsförband. Utvärdering av Försvarsmaktens totala informations­­säker­hetsarbete genomförs på Högkvarteret.

• En utvärdering av informations­­säker­hets­arbetet kan leda till att korrigerande åtgärder behöver genomföras. Korrigeringen kan bestå av att skapa en ny säkerhetsåtgärd, förändra en befintlig säkerhetsåtgärd eller vidta någon annan åtgärd för att förbättra arbetet. Korrigeringen kan avse såväl tekniska som administrativa skyddsåtgärder.

• Syftet med området Informera är att information delges till andra individer och organisationsdelar så att Försvarsmaktens informations­­säker­hets­arbete förbättras. I en stor organisation där informations­­säkerhets­­arbetet genomförs av flera individer vid många organisatoriska enheter är det nödvändigt att information om arbetet sprids i den omfattning som är nödvändig för att informations­­säkerhets­­arbetets syfte ska uppnås – att skydda informationen, oavsett var den hanteras i Försvars­makten. Delgivning av information sker därför enligt principen att information aktivt ska delges den organisationsdel och befattning som har behov av den för att kunna förbättra informations­­­säkerhet­­sarbetet. För att kunna informera om t ex komplicerade händelseförlopp är det nödvändigt att förloppen dokumenteras.

Delgivning av information ska ske i den omfattning som är nödvändig för att en organisationsdel eller individ ska kunna förbättra informations­­säkerhets­­arbetet. Den information som delges behöver inte vara fullständig, den kan istället bestå av utdrag eller omskrivningar. Huvudsaken är att tillgänglig information i myndigheten ger effekt så att informations­­säkerhets­­­arbetet konkret förbättras. Den fråga man ska ställa sig är vem som kan ha nytta av information som man själv besitter? Mottagarna kan finnas såväl inom som utanför den organisationsdel som man själv tillhör.

I området Informera ingår även den genomgång som, enligt avsnitt 9.3 i SS-ISO/IEC 27001:2014, ska ske för en organisations högsta ledning. Den informations­delgivningen går inte att delegera.

≈ ≈ ≈

Modellen är egentligen inte begränsad till informations­­säkerhet, den kan lika bra vara en modell över säkerhets­­skyddsarbete. Sedan några år har det då och då slagit mig att det i såväl Försvarsmakten som i andra organisationer saknas en helhetssyn på säkerhetsskydds­­arbetet. Det finns många anställda som är duktiga på sina smala områden och gör ett fantastiskt arbete. Samordnade kontinuerliga aktiviteter över interna organisations­­gränser och som bidrar till ständig förbättring är sällsynta. Modellen ovan, som jag varit huvudförfattare till, försöker komma till rätta med det och adresserar flera delar som är bristfälliga eller som inte alls genomförs i dag.

Jag fick mycket positiv återkoppling i arbetet att ta fram modellen. Det visar att den har substans. Nu har jag lämnat Försvarsmakten. Men vem vet, något av modellen kommer kanske att återfinnas i det framtida arbetssättet?

≈ ≈ ≈

Modellen är dokumenterad i bilaga 2 till FM2016-20202:2. Den allmänna handlingen har tidigare begärts ut och sekretessgranskats. Den har då inte bedömts innehålla några uppgifter som omfattas av sekretess enligt OSL.

/Kim Hakkarainen