Tre utredningar som påverkar samhällets informationssäkerhetsarbete

I dag startar den årliga konferensen om informationssäkerhet för offentlig sektor. 450 personer deltar under två dagar för att bl a lyssna på företrädare för Försvarsmakten, Försvarets radioanstalt, Post och telestyrelsen, Försvarets materielverk, Försvarets forskningsinstitut, Rikskriminalpolisen, Säkerhetspolisen, Regeringskansliet och Myndigheten för samhällsskydd och beredskap. Målet med konferensen är att bredda kunskapen inom området och bidra till att stärka samhällets informationssäkerhet genom att belysa viktiga frågor.

Konferensen är ett bra tillfälle att påminnas om tre statliga utredningar som ska presenteras före årsskiftet. Resultaten från dessa kommer under lång tid framöver att påverka informationssäkerhetsarbetet i offentlig sektor.

En modern säkerhetsskyddslag

Just nu utreds säkerhetsskyddslagen. Det är under den lagen som informationssäkerhet för uppgifter som omfattas av sekretess och som rör rikets säkerhet hör hemma. Den nuvarande lagen är från 1996 och i stort behov av modernisering. Jämfört med i dag användes datorer då mestadels som avancerade skrivmaskiner för att producera dokument som skrevs ut på papper. Dagens och morgondagens informationshantering där information hanteras elektroniskt i olika nätverk, hos flera aktörer i och utanför Sverige är helt nya förutsättningar för hur IT-systemen och informationen ska skyddas.

Säkerhetspolisen har i en PM 2009 bl a tagit upp flera problemområden, bl a vad säkerhetsskyddet ska skydda. Rikets säkerhet har traditionellt förknippats med militära förhållanden. Främmande staters underrättelseverksamhet har de senaste decennierna breddats mot forskning och utveckling inom civila områden, mot politiska frågor och information som rör Sveriges samhällsviktiga system. Ett av de allvarligaste hoten, enligt Säkerhetspolisen är elektroniska angrepp i olika former.

Den nuvarande säkerhetsskyddslagstiftningen är fokuserat på skyddet mot att hemliga uppgifter röjs. Det saknas regler för tillgänglighet och riktighet. Ett IT-systems funktion kan vara av stor betydelse för rikets säkerhet, även om IT-systemet inte innehåller några uppgifter som omfattas av sekretess och som rör rikets säkerhet. Det kan vara komplexa och centrala IT-system som måste vara tillgängliga och innehålla riktig information för att det svenska samhället ska fungera. IT-systemen är samhällsviktiga och av stor betydelse för rikets säkerhet. Enligt Säkerhetspolisen finns sådana IT-system för produktion och distribution av dricksvatten och el, men även i finanssektorn och myndigheter som Skatteverket, Försäkringskassan och Riksgälden.

Enligt regeringens direktiv för utredningen är den nuvarande avgränsningen av informationssäkerhet i säkerhetsskyddslagen, att skydda uppgifter som omfattas av sekretess och som rör rikets säkerhet, inte längre ändamålsenlig. Det ska bli intressant att se hur utredningens förslag om regler om informationssäkerhet, som en del av säkerhetsskyddet, kommer omhänderta tillgänglighetsaspekten. Begreppet rikets säkerhet håller för övrigt på att ersättas av Sveriges säkerhet, vilket säkert underlättar en ny syn på det område som ska omfattas av ett säkerhetsskydd.

Avregleringen av el- och telekommunikationsmarknaderna har enligt Säkerhetspolisen medfört att säkerhetskänsliga IT-system genom outsourcing och offshoring kan hanteras av utländska företag. Enligt Säkerhetspolisen försvåras säkerhetsskyddsarbetet eftersom endast vissa delar av säkerhetsskyddslagstiftningen då gäller. Andra länder reagerar när kinesiska företag ska bygga teleinfrastruktur, i Sverige säger vissa att det inte något problem. Det kanske är ett stort misstag, just vad gäller den potentiella möjligheten att en annan stat skulle kunna påverka tillgängligheten negativt eller dolt använda teleinfrastrukturen som en gigantisk inhämtningsplattform?

Försvarsmakten var 2004 först i Sverige att indela säkerhetsskyddet i fyra nivåer som följer den indelning som nästintill alla andra länder har. De fyra informationssäkerhetsklasserna motsvarar de fyra nivåer som EU och NATO har för information som ska ges ett särskilt skydd. Informationssäkerhetsklasserna används inte enbart i Försvarsmakten utan även i myndigheter som Försvarsmakten har föreskriftsrätt över vad gäller säkerhetsskydd, t ex Försvarets materielverk och Försvarets radioanstalt.

Då utredningen ska undersöka hur säkerhetsskyddslagstiftningen kan anpassas till det internationella samarbetet, är det rimligt att anta att utredningen kommer föreslå en indelning av säkerhetsskyddet i fyra nivåer. Genom entydiga definitioner skulle Sverige få en gemensam nationell begreppsapparat för informationsklassificering. Det saknas i dag.

Utredningen har fått förlängd utredningstid och ska redovisas senast den 30 november 2014.

Strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och IT-system

Maken till ett allomfattande kommittédirektiv får man leta efter. Utredaren ska på ett år ta fram förslag på:

  • Nationell strategi för hantering och överföring av information i elektroniska kommunikationsnät och IT-system. Syftet med strategin ska vara att uppnå ett effektivare och mer samordnat arbete med informationssäkerhet i samhället.
  • Övergripande mål för samhällets informationssäkerhetsarbete, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig IT-infrastruktur.

Utredningen ska även klargöra begrepp som används inom informationssäkerhetsområdet och redovisa statliga myndigheters ansvar och roller på informationssäkerhetsområdet. Begrepp som används inom säkerhetsskyddslagstiftningen ska dock inte tas upp då de redan utreds i översynen av säkerhetsskyddslagstiftningen. Frågan är om vi genom den här utredningen kommer att börja med cyberorden, såsom cybersäkerhet och cyberförsvar?

Utredningen är bred då informationssäkerhet konstateras röra handel, immaterialrätt, tekniköverföring, nätsäkerhet, frågor om kritisk infrastruktur, demokrati, mänskliga rättigheter, bistånd och brottsbekämpning. Ett exempel vad gäller demokrati och mänskliga rättigheter är att begreppet informationssäkerhet av vissa länder kopplas till censur och statlig kontroll av medborgarna.

Rimligen kommer de utredningar som olika expertmyndigheter har genomfört de senaste åren att tas upp i utredningen, t ex nationell hanterandeplan för allvarliga IT-incidenter, obligatorisk IT-incidentsrapportering för statliga myndigheter, nationellt tekniskt IT-intrångsdetekterings- och varningssystem (TDV), tillgänglig och skyddad kommunikationsinfrastruktur för offentlig sektor samt åtgärder för att förbättra samhällets samlade förmåga att förebygga och hantera IT-incidenter. Är det inte dags att på stor bredd genomföra utredningarnas förslag?

En mycket viktig uppmaning i regeringens styrning av utredningen är att ”de statliga myndigheterna bör utveckla sin förmåga att samverka inom informationssäkerhetsområdet”. Jag kan inte läsa detta på något annat sätt än att regeringen inte är helt nöjd med hur myndigheterna hittills har samverkat.

Enligt regeringen är nationell och internationell samverkan mellan olika aktörer nödvändiga för att kunna förebygga, förhindra och hantera allvarliga IT-incidenter som drabbar samhällsviktig verksamhet. Militära och civila statliga myndigheter räknas upp tillsammans med kommuner och landsting som sådana aktörer. Regeringen pekar särskilt ut försvarsunderrättelseverksamheten. Förmodligen för att det där borde finnas spetsig information om sårbarheter, förmåga att upptäcka angrepp och kunskap om såväl modus operandi som bakomliggande orsakssammanhang. Hur denna samverkan ska sys ihop är en stor utmaning, jämfört med att förverkliga expertmyndigheternas olika utredningar.

Försvarsunderrättelseverksamheten nämns särskilt igen när det gäller hur en nationell strategi för hantering och överföring av information i elektroniska kommunikationsnät och IT-system ska brytas ner i detaljerade riktlinjer. Sådana detaljerade riktlinjer förutsätts, enligt regeringen, skapas för olika sektorer i samhället inklusive det militära försvaret och försvarsunderrättelseverksamheten.

En läsning av kommittédirektivet rekommenderas om du är det minsta intresserad av samhällets informationssäkerhet.

Utredningen ska redovisas senast den 1 december 2014.

Informationssäkerheten i den civila statsförvaltningen

Riksrevisionen genomför en granskning av informationssäkerheten i den civila statsförvaltningen. Syftet är att följa upp om regeringens styrning av statens informationssäkerhet och expertmyndigheternas stöd och tillsyn på detta område är ändamålsenlig.

Riksrevisionens bedömning 2007 var att det fanns brister i myndigheternas arbete och att regeringen inte följt upp om den interna styrningen och att kontrollen varit tillfredsställande. Enligt Riksrevisionen finns det tecken på att dessa brister, trots att IT-hoten ökat, inte är åtgärdade. Jag tror inte det kommer vara svårt att finna brister på området.

En rapport från Riksrevisionen planeras publiceras i november 2014.

/Kim Hakkarainen

 

1 kommentar

Publicerad i Internationella samarbeten, Säkerhetsskydd, Utredningar

En kommentar till Tre utredningar som påverkar samhällets informationssäkerhetsarbete

  1. Andreas Häglund

    Yes, flera mycket intressanta utredningar som förhoppningsvis kommer leda till konkreta, och nödvändiga, förändringar.

    Bra sammanställning ovan!

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *