Reflektioner om informationssäkerhetsarbetet på nio myndigheter och cybersäkerhet i Försvarsmakten

Informationssäkerheten på nio myndigheter har granskats av Riksrevisionen. Resultatet? Den samlade slutsatsen är att arbetet ligger på en nivå som är märkbart under vad som är tillräckligt. Många myndigheter har svårt att få till ett ändamålsenligt informationssäkerhetsarbete och den bild som framträder bedöms, enligt Riksrevisionen, gälla för flertalet myndigheter i statsförvaltningen.

Riksrevisionen har granskat Arbetsförmedlingen, Bolagsverket, Försäkringskassan, Lantmäteriet, Migrationsverket, Post- och telestyrelsen, Sjöfartsverket och Statens tjänstepensionsverk och Svenska kraftnät. I granskningen undersöktes om myndigheterna utifrån dagens krav och förutsättningar bedriver ett informationssäkerhetsarbete på ett sådant sätt att de uppnår ett ändamålsenligt skydd av sina informationstillgångar. Under och efter granskningen har två seminarier genomförts med experter från FHS, FRA, FOI, MSB och Örebro universitet för att säkerställa hållbarheten i iakttagelserna och slutsatserna.

Av de granskade myndigheterna har Arbetsförmedlingen, Försäkringskassan och Migrationsverket granskats djupare. Hos dessa myndigheter har granskningen genomförts med stöd av verktyget Veriscan Rating, som i huvudsak bygger på standarderna i ISO 27000-serien. Ca 30 personer på varje myndighet har intervjuats, alltifrån styrelseledamöter, myndighetschefer, linjechefer, enskilda handläggare och nyckelpersoner som arbetar med informationssäkerhet. Ca 550 dokument från de tre myndigheterna har granskats. Ett gediget arbete.

Ett axplock av Riksrevisionens iakttagelser vid de tre djupt granskade myndigheterna:

  • Ingen når upp till godkänd nivå när det gäller ledningens styrande dokumentation på en övergripande nivå.
  • Ingen når upp till godkänd nivå när det gäller att hantera sina informationstillgångar, t ex att klassificera information. Personalen har låg medvetenhet om informationsklassificering och hur den tillämpas i praktiken.
  • Ingen når upp till godkänd nivå när det gäller analys och kontroll av informationssäkerhet på övergripande nivå. Exempelvis genomförs inte några övergripande riskanalyser med fokus på informationssäkerhet. De analyser som genomförs gäller endast enskilda IT-system.
  • Alla saknar underlag för att kunna bedöma om deras ledningssystem för informationssäkerhet fungerar eller inte.
  • Ingen har genomfört någon genomgång med högsta ledningen de senaste två åren. En sådan genomgång är väsentlig för att säkerställa ledningssystemens lämplighet, tillräcklighet och verkan samt för att kunna besluta om förbättringar.
  • Ingen når upp till godkänd nivå när det gäller reglering av spårbarhet i loggar.

Till de positiva iakttagelser som Riksrevisionen lyfter fram hör:

  • Samtliga har ett skalskydd som bedöms vara tillräckligt.
  • Alla har en policy för informationssäkerhet. Efterlevnaden varierar dock mellan myndigheterna.
  • Tydligheten i säkerhetsarbetet har ökat. Detta förklaras av att nomenklaturen för ansvar och roller i säkerhetsarbetet har utvecklats sedan 2005-2007, då Riksrevisionen granskade samma myndigheter.
  • Alla tre myndigheter har regler för hur säker utveckling ska ske.

Riksrevisionens granskning visar att myndigheternas ledningar har delegerat ansvaret för informationssäkerhet, utan att se till att de ansvariga har ett tillräckligt mandat och tillräckligt med resurser. Ansvaret för informationssäkerheten anses av kärnverksamheten i huvudsak ligga på säkerhets- eller IT-funktionerna. Kärnverksamheten tenderar att se kraven på informationssäkerhet som hinder, vilket leder till att verksamhetens krav på funktionalitet går före kraven på säkerhet.

≈ ≈ ≈

På ledningssystemchefens informationsdagar berättade en mångårigt erfaren sektionschef på MUST om hur det stod till med Försvarsmaktens IT-säkerhet. Presentationen var inte märkt med någon sekretessmarkering eller informationssäkerhetsklass och ägde rum för en stor skara anställda i en lokal som sannolikt inte är lämplig för information placerad i informationssäkerhetsklass. Längst fram i lokalen satt dessutom en engelsman, inbjuden av MUST säkerhetskontors IT-säkerhetsstrateg, som senare skulle hålla en presentation om sociala medier. Presentationen och det muntliga framförandet kan därför inte ha bedömts ha omfattats av någon sekretess.

Enligt sektionschefen är den största säkerhetsbristen i Försvarsmakten att det råder generell brist på ordning och reda. Ordning och reda är, som bekant, grundfundament för såväl informationssäkerheten för hemliga pappershandlingar och informationssäkerheten i IT-system. Vidare berättade sektionschefen att det saknas ett strategiskt ansvar för ”cyberarenan” varför anarki råder. Andra exempel från presentationen är att det överlag saknas en helhetsbild över hur det hänger ihop. Att kunskaper om  IT-säkerhet är en bristvara. MUST ställer krav på IT-säkerhet men de som arbetar för att uppfylla kraven präglas, enligt sektionschefen, mer av ”gör-dem-nöjda-uppfattning” än att se till den IT-säkerhet som verkligen behövs. Presentationen innehöll många andra delar, men jag nöjer mig med att förmedla några.

Det var uppfriskande ärligt och kan ha uppfattats provocerande av några. Jag tror inte att det hade varit möjligt för ett par år sedan att berätta om bristerna för en så stor skara anställda, även om det nu var beskrivningar på en övergripande nivå och som inte pekade ut systemspecifika sårbarheter. Information om de senare omfattas vanligtvis av sekretess enligt 15 kap 2 § eller 18 kap 8 § OSL och är viktiga att skydda så att en angripare inte får kunskap om sårbarheterna. Att öppnare kunna diskutera problem i informationssäkerhetsarbetet välkomnar jag. Det borde leda till en ökad förståelse i Försvarsmaktens verksamheter för hur verksamheterna kan påverkas negativt till följd av otillräcklig informationssäkerhet.

≈ ≈ ≈

På ledningssystemschefens informationsdagar visades också den tempelbild som använts för att beskriva cybersäkerhet i Försvarsmakten. Bilden visar fyra pelare där varje pelare har texten kunniga medarbetare, aktiv drift och förvaltning, aktiv övervakning respektive robust infrastruktur. Första gången jag hörde talas om pelarna var i ett reklamblad (text) i en dagstidning. Innehållet i pelarna finns även återgivna i Försvarsmaktens strategiska inriktning (FM SI).

Cybersäkerhet (dvs IT-säkerheten) i Försvarsmakten vilar på fyra pelare som i sin tur är beroende av personal och resurser.

Cybersäkerhet (dvs IT-säkerheten) i Försvarsmaktens ledningssystem vilar på fyra pelare som i sin tur är beroende av personal och resurser, åtminstone enligt tempelbilden. De författningar som styr säger annat. Jag har tidigare bloggat om cybersäkerhetsordet i Försvarsmakten.

Under informationsdagarna började jag fundera på budskapet i pelarna. Många säkerhetsorganisationer ger ut beskrivningar över vilka säkerhetsåtgärder som ger effekt. Ett exempel är SANS 20 mest avgörande säkerhetsåtgärder för effektiv it-säkerhet (PDF). Ett annat exempel är kanadensiska Communications Security Establishment som har gett ut top-tio it-säkerhetsåtgärder (PDF). Ett tredje är Australian Signals Directorate  som har gett ut strategier för att motverka riktade it-attacker (PDF).

Säkerhetsåtgärder som ger effekt enligt Australian Signals Directorate, kanadensiska Communications Security Establishment och SANS Institute.

Säkerhetsåtgärder som ger effekt enligt Australian Signals Directorate, kanadensiska Communications Security Establishment och SANS Institute.

Det beskrivningarna över säkerhetsåtgärder har gemensamt är att de är erfarenhetsbaserade, t ex från incidenter och säkerhetsgranskningar. Om man inte har de beskrivna säkerhetsåtgärderna på plats saknar man något väsentligt i sitt skydd och får problem. Med ett sådant synsätt blir budskapet i Försvarsmaktens cybersäkerhetspelare att Försvarsmaktens medarbetare inte är kunniga, saknar aktiv drift och förvaltning samt aktiv övervakning respektive inte har någon robust infrastruktur. Är kejsaren naken?

Alla organisationer har i olika utsträckning problem med sitt informationssäkerhetsarbete. Försvarsmaktens informationssäkerhet har kanske likheter med Arbetsförmedlingens, Försäkringskassans och Migrationsverkets? Det har vad jag kommer ihåg inte genomförts någon jämförande granskning. Riksrevisionens rapport (PDF) är hur som helst mycket läsvärd, även för oss som arbetar med informationssäkerhet i Försvarsmakten.

Källor:

/Kim Hakkarainen

6 kommentarer

Publicerad i IT-säkerhet, Säkerhetskultur, Säkerhetsledning, Utredningar

6 kommentarer till Reflektioner om informationssäkerhetsarbetet på nio myndigheter och cybersäkerhet i Försvarsmakten

  1. Pingback: Kommentar på Riksrevisionens rapport om informationssäkerhet i staten | Kryptering och IT-säkerhet

  2. Lars Söderlund

    Totalt sett är jag inte alls förvånad. Många offentliga verksamheter har haft svårt att ”komma till skott” med det praktiska arbetet och effekten blir då ungefär som det beskrivs i rapporten. Jag tycker man också kan skönja i Riksrevisionens rapport att den tekniska säkerheten verkar ligga bättre till än den allmänna säkerhetsstyrningen inom respektive organisation. IT-sidan tuffar på ändå även om det kan vara rörigt och saknas saker i organisationen på lednings- eller verksamhetssidan. Man kan ju dock undra mot vilken nivå man implementerat den tekniska säkerheten då inputen för detta ju ska komma från verksamhetssidan.

    När det gäller FM så har jag viss förståelse för att det finns problem. FM är ju en väldigt stor och komplex organisation med synnerligen komplex verksamhet. Historiskt sett har det alltid varit ett stort fokus på den tekniska säkerheten, i synnerhet då systemcentriskt. Däremot har nog FM alltid varit lite svagare på verksamhetssidan. Detta kan garanterat uppfattas som brist på ”ordning och reda”. Kanske skulle FM vara betjänt av att lägga lite mer krut på verksamhetssidan så att man får en bättre balans mellan den tekniska säkerheten och administrativ säkerhet? Oavsett kommer det dock alltid vara knöligt att få till en bra informationssäkerhet i en så stor och komplex verksamhet med många tunga och specifika krav inom helt olika områden. Då blir behovet av enkla och tydliga principer än större för att man ska lyckas med att få ett genomslag i hela organisationen.

  3. Pierre Anderberg

    De fyra pelarna har en annan målgrupp och syfte än säkorganisationernas diton. Du kommer inte kunna ge de fyra pelarna till någon annan organisation och säga att här är lösningen på alla era utmaningar inom IT-säkerhet. Pelarna syftar till att på ett enkelt sätt förklara att IT-säkerhet kräver att FM gör satsningar (prioriterar resurser till tekniska åtgärder i systemen, till erforderlig drift- och förvaltning, till övervakning och analys och till att frigöra tid för personalen att fortbilda sig inom IT-hot och IT-säkerhet) på mer än tekniska åtgärder. De handlar om att nå acceptans inom organisationen för varför användarna behöver ytterligare utbildning, varför förvaltnings- och driftorganisationerna behöver vara erforderligt resursatta. Det handlar också om att förklara att ett starkt tekniskt skydd inte räcker utan övervakning och analys av vad som händer i systemen krävs.

    Vill du ha en bucket list med erfarenhetsbaserade åtgärder så är det FM IT-säkerhetsstrategi som ska utarbetas vid MUST som bör vara det dokument som du efterfrågar. På det hela taget anser jag att pelarna tillfört en ny dimension på diskussionerna om IT-säkerhet till att inte bara vara ”gör-dem-nöjda/uppfyll regelverket”.

    • Idéen med blogginlägget var att knyta ihop Riksrevisionens rapport, MUST-presentationen på ledningssystemchefens informationsdagar och de fyra pelarna. Jag har inte påstått att de fyra pelarna går att ge till någon annan organisation. Säkerhetsorganisationernas diton är hämtade från erfarenheter av faktiska sårbarheter i IT-system. I blogginlägget lanserar jag idén att de fyra pelarna skulle kunna vara ett resultat av faktiska sårbarheter i Försvarsmakten. Något som Försvarsmakten, vad jag känner till, inte har uttryckt offentligt.

      Jag har i blogginlägget inte frågat efter en bucketlist med erfarenhetsbaserade åtgärder.

      Jag förstår att en förenklad bild i form av de fyra pelarna kan användas för att nå acceptans, men pelarna kan också riskera att missuppfattas vara uttömmande. Informationssäkerheten rymmer fler dimensioner. Jag håller helt med dig om att pelarna tillfört en ny förståelig dimension som inte är regelverksdriven. Det är mycket bra! Jag tycker att MUST behöver utveckla sin kommunikation av budskap som inte förmedlas i form av paragrafer.

      • Pierre Anderberg

        Nemas problemas! Kejsaren är kanske naken om inte syftet med pelarna förklaras och därmed mitt svar. Idén med att utgå från kända sårbaheter och brister är självklart klokt och borde inarbetas, men jag tror att IT-säkerhetsstrategin kanske är en bättre plats (dels baserat på syftet med pelarna, dels i och med att det ofta inte är bra att förändra ett redan inarbetat koncept) – pelarna är inte heltäckande, jag vet i och med att jag var med och försökte bryta ner dem i konkreta åtgärder, men jag finner de tillräckligt bra givet syftet.

  4. Pingback: Förslag på arbetssätt för informationssäkerhet i Försvarsmakten | /Kim Hakkarainen

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *