Den nya statliga IT-incidentrapporteringen är bra för Sverige
Från och med den 1 april ska IT-incidenter hos statliga myndigheter rapporteras. Det är en helt ny ordning som innebär att de flesta myndigheter ska rapportera till MSB, Säkerhetspolisen eller Försvarsmakten, beroende på vad incidenterna handlar om. Häng med ner i paragrafträsket för att se vad som gäller.
20 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.
Det är MSB som ska ta emot rapporter om IT-incidenter. Hur rapporteringen ska gå till kommer MSB att meddela föreskrifter om. I MSB förslag till föreskrifter står att rapporteringspliktiga incidenter kan bestå av störning i mjuk- eller hårdvara, störning i driftmiljö eller dataförlust eller dataläckage. Incidenterna kan ha orsakats av säkerhetsbrist i en produkt, extern attack, mänskligt fel vid användning, intern händelse (t ex elfel, vattenskada, störning i säkerhetskopiering etc) eller extern händelse (t ex avbrott i elektronisk kommunikation, strömavbrott eller naturhändelse). Till externa attacker räknas, enligt MSB, även attacker av egen eller inhyrd personal (insider). Korta beskrivningar av de rapporteringspliktiga incidenterna finns i MSB förslag till allmänna råd till föreskrifterna.
Det är endast sådana incidenter som allvarligt kan påverka säkerheten som ska rapporteras. Här finns ett tolkningsutrymme för den rapporteringsskyldiga myndigheten. MSB hänvisar myndigheterna till Sveriges nationella CSIRT (Computer Security Incident Response Team) (www.cert.se) som stöd för att bedöma en IT-incidents allvarlighetsgrad. Otydligt, tycker jag.
Rapporteringen ska, enligt MSB förslag till föreskrifter, ha rapporterats senast 24 timmar efter att man upptäckt incidenten. Den korta tiden motiveras med att MSB på ett tidigt skede kan få indikationer på om flera myndigheter samtidigt har drabbats. Sådana incidenter kan kräva omedelbara åtgärder på en samhällsnivå. MSB har också till uppgift att agera skyndsamt vid IT-incidenter, bl a genom att sprida information och samordna åtgärder och för att avhjälpa eller lindra effekter av en inträffad händelse.
3 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap</a>.
Det är inte alla myndigheter som ska rapportera till MSB. Till de undantagna myndigheterna hör bl a Regeringskansliet, Säkerhetspolisen, Försvarsmakten, FMV, FRA och FOI. En konstig ordning med tanke på att det därmed kommer att uppstå luckor i rapporteringen, och därmed luckor i lägesbilden över samhällets informationssäkerhet. Jag hade hellre sett att FMV, FRA och FOI hade rapporterat incidenterna till Försvarsmakten. Även om en IT-säkerhetsincident inte rör något som omfattas av ett säkerhetsskydd, kan de bakomliggande orsakerna även vara giltiga för myndighetens säkerhetsskyddsarbete.
10 a § säkerhetsskyddsförordningen (1996:633). Bestämmelsen träder i kraft den 1 april 2016.
Försvarsmakten och Säkerhetspolisen har sedan låg tid arbetat med tillsyn av myndigheternas säkerhetsskydd. Det är därför naturligt att IT-incidenter i IT-system som är avsedda för uppgifter som omfattas av sekretess, och som rör rikets säkerhet, ska rapporteras till dessa två myndigheter. Rapporteringen kan vara ett sätt att få underlag inför tillsynen. ”Ni har rapporterat om incidenterna X, Y och Z. Hur har ni arbetat med incidenterna och säkerställt att de inte inträffar på nytt?” Incidentrapporteringen kan därför bidra till en ständig förbättring av myndighetens ledningssystem för informationssäkerhet. Något som finns i standarden SS-ISO/IEC 27001:2014, men som tyvärr saknas i dagens säkerhetsskyddsregelverk.
Genom 3 § säkerhetsskyddsförordningen kommer rapporteringsskyldigheten även att gälla för kommuner och landsting.
Ett av villkoren i första punkten är att hemliga uppgifter ska behandlas i ”en omfattning som inte är ringa”. Om en IT-incident inträffar för en fristående dator som bara innehåller en kvalificerat hemlig uppgift borde villkoret inte vara uppfyllt. Om inte något av villkoren i 10 a § säkerhetsskyddsförordningen är uppfyllt ska rapporteringen ske enligt förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap, dvs till MSB. Undrar om det verkligen var tänkt att fungera på det sättet eftersom MSB ännu inte har några uppgifter enligt säkerhetsskyddslagstiftningen, förutom vad gäller myndighetens interna säkerhetsskydd?
Säkerhetsskydd för IT-system som särskilt behöver skyddas mot terrorism tas upp i Säkerhetspolisens föreskrifter (PMFS 2015:3) och allmänna råd om säkerhetsskydd. Då Försvarsmakten inte har några krav på sådana IT-system är den rapporteringen sannolikt endast relevant för myndigheter som omfattas av Säkerhetspolisens föreskrifter.
FRA ger stöd inom den tekniska informationssäkerheten till statliga myndigheter och statligt ägda bolag. En incident hos en myndighet som upptäcks genom stödet ska rapporteras till Säkerhetspolisen eller Försvarsmakten, oavsett om incidenten rör hantering av uppgifter som rör rikets säkerhet eller ej.
Om FMV, FRA, Försvarsunderrättelsedomstolen, Statens inspektion för försvarsunderrättelseverksamheten, FOI, Rekryteringsmyndigheten, Försvarshögskolan eller Fortifikationsverket rapporterar en IT-incident till Försvarsmakten ska dessa myndigheter även informera Säkerhetspolisen. Skrivningen här är annorlunda jämfört med de incidenter som ska rapporteras till MSB. Dels är myndigheterna skyldiga att informera Säkerhetspolisen, och dels finns det inte något krav på att incidenten ska ha sin grund i någon brottslig gärning.
Vad gäller då för Försvarsmakten? Försvarsmakten ska utöva tillsyn av säkerhetsskyddet vid myndigheter under Försvarsdepartementet (31 § säkerhetsskyddslagen och 39 § säkerhetsskyddsförordningen). Försvarsmakten utövar tillsyn av säkerhetsskyddet i Försvarsmakten. Detta innebär att Försvarsmakten omfattas av rapporteringsskyldigheten – att rapportera till sig själv. Nu finns det redan en långtgående säkerhetsrapportering i Försvarsmakten, som även omfattar andra händelser än IT-incidenter. Det nya är att Försvarsmakten ska informera Säkerhetspolisen om vissa IT-incidenter.
Formerna för hur myndigheter ska rapportera IT-incidenter till Försvarsmakten och Säkerhetspolisen måste regleras genom föreskrifter. Vi kommer därför sannolikt se att Försvarsmaktens föreskrifter (FFS 2015:2) om säkerhetsskydd och Säkerhetspolisens föreskrifter (PMFS 2015:3) och allmänna råd om säkerhetsskydd kommer att uppdateras i närtid. Min erfarenhet är att det i Försvarsmakten tar ett års kalendertid att ta fram en författning. Det är därför bråttom eftersom rapporteringsskyldigheten gäller från den 1 april. Rimligen kommer formerna för rapporteringen vara lika de som MSB har.
11 a § förordningen (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap. Den ändrade bestämmelsen träder i kraft den 1 april 2016.
De IT-incidenter som rapporterats till MSB är underlag för en rapport som en gång per år ska lämnas till regeringen. Upplysningarna från Säkerhetspolisen och Försvarsmakten är uppgifter i aggregerad form, t ex uppgift om antal incidenter och vilka slag av händelser som har inträffat. Avsikten här är att MSB inte ska ges någon detaljerad insyn i IT-system som används i t ex mycket säkerhetskänsliga verksamheter.
Sekretessen och offentlighetsinsynen
Den obligatoriska IT-incidentrapporteringen innebär att myndigheterna måste rapportera incidenterna. Rapporter kommer att upprättas och överföras mellan myndigheter. Det kommer därför vara lätt för allmänheten att begära ut rapporterna. Uppgifter i rapporterna som handlar om säkerhetsåtgärder i IT-system kan sekretessbeläggs med stöd i 18 kap 8 § OSL. För IT-system som innehåller hemliga uppgifter (rikets säkerhet) kommer även 15 kap 2 § OSL (försvarssekretess) vara aktuell. Uppgifter om säkerhetsåtgärder i IT-system som inte innehåller hemliga uppgifter men som ändå är avsedda för verksamhet som behövs för att förberedda Sverige för krig, borde också kunna omfattas av försvarssekretessen. Att en IT-incident som är medvetet orsakad av en mänsklig aktör, i syfte att förorsaka en önskad händelse med negativa konsekvenser, har upptäckts behöver oftast döljas för aktören och kan därför inte offentliggöras. Det ska bli intressant att se vilken praxis som kommer att utvecklas på området.
Grunden är att sekretess gäller mellan myndigheter (8 kap 1 § OSL). Då det finns en skyldighet att rapportera IT-säkerhetsincidenter kommer den sekretessbrytande bestämmelsen i 10 kap 28 § OSL medge att en rapporterande myndighet lämnar över uppgifter som omfattas av sekretess till den mottagande myndigheten. Det ställer också krav på att såväl den rapporterande och mottagande myndigheten förstår och har samsyn kring vilka uppgifter i rapporteringen som omfattas av sekretess och vilken sekretess det är fråga om.
Vad ska vi ha det till?
IT-incidentrapporteringen har kritiserats. Men man måste komma ihåg att den inte är ett universalmedel för informationssäkerheten. Rapporteringen till MSB, Försvarsmakten och Säkerhetspolisen tillsammans med de sammanställningar som kommer att göras kommer ge en bild över händelser som allvarligt kan påverka säkerheten i IT-systemen. Någon sådan bild finns inte i dag. Bilden kommer också vara ett underlag för att uppmärksamma de bakomliggande bristerna och arbeta för att motverka dessa. Kanske kan det också användas för att motivera förändringar i krav på myndigheternas informationssäkerhetsarbete?
Samverkan i all ära. Myndigheter delar sällan med sig av dåliga erfarenheter som myndigheten själva har orsakat eller är ansvariga för. Det enda sättet att få en sammanställd bild över när något allvarlig har inträffat är att genom uppgiftsskyldighet i förordning tvinga myndigheterna att rapportera IT-säkerhetsincidenter. Rapporteringen kommer inte vara enkelriktad. MSB får nu till uppgift att återrapportera till berörda aktörer när en incident har rapporterats till MSB.
Även samverkansforumet NSIT (Nationell samverkan mot allvarliga IT-hot) mellan Försvarsmakten, FRA, Säkerhetspolisen och MSB kommer ha nytta av rapporteringen. NSIT analyserar och bedömer hot och sårbarheter när det gäller allvarliga eller kvalificerade IT-angrepp mot våra mest skyddsvärda nationella intressen.
Den obligatoriska IT-incidentrapporteringen kommer därför att bidra till ett förbättrat kunskapsläge om händelser, såväl på myndighets- som på samhällsnivå. En myndighet som inte har interna rutiner för IT-incidentrapportering och inte har pekat ut vem som är ansvarig måste nu göra det. Sådana rutiner och ansvar finns med i de säkerhetsåtgärder som anges i A.16.1.1-7 i bilaga A till SS-ISO/IEC 27001:2014. En vägledning för införandet av åtgärderna finns i avsnitt 16 i SS-ISO/IEC 27002:2014. Men visst har ni sådana rutiner redan?
≈ ≈ ≈
Läs mer om IT-incidentrapportering i MSB matiga rapport från 2012 till regeringen: ”MSB uppdragsredovisning om nationellt system för it-incidentrapportering” (2012-11-30 2012-2637) (PDF).
Förslag till IT-incidentrapportering togs upp i betänkandet ”Informations- och cybersäkerhet i Sverige – Strategi och åtgärder för säker information i staten” (SOU 2015:23) (PDF).
Uppdaterad 2016-01-21
Uppdaterat blogginlägget med att MSB inkluderar attacker av insider till externa attacker.
/Kim Hakkarainen
Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.