Regeringskansliets rättsdatabaser

Regeringens skrivelse 2016/17:42 Riksrevisionens rapport om informationssäkerhetsarbete på nio myndigheter Skr. 2016/17:42 Regeringen överlämnar denna skrivelse till riksdagen. Stockholm den 10 november 2016 Stefan Löfven Anders Ygeman (Justitiedepartementet) Skrivelsens huvudsakliga innehåll Riksrevisionen har granskat hur nio myndigheter arbetar med sin informationssäkerhet och om regeringen säkerställer att de granskade myndigheterna har en effektiv intern styrning och kontroll av sin informationssäkerhet. Riksrevisionens samlade slutsats är att arbetet med informationssäkerhet på de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt. Regeringen instämmer i huvudsak i Riksrevisionens samlade slutsats om de myndigheter som granskats. Riksrevisionen har bl.a. identifierat ett behov av bättre stöd till myndigheterna i informationssäkerhetsarbetet och ett behov av en starkare styrning från regeringen gentemot myndigheterna. Regeringen har genom olika initiativ och åtgärder ökat kraven på myndigheternas informationssäkerhetsarbete, bl.a. genom att införa obligatorisk it-incidentrapportering för statliga myndigheter. För att samhället ska lyckas med utmaningarna inom informations- och cybersäkerhetsområdet behöver arbetet stärkas genom en förbättrad samordning och samverkan, vilket i sin tur kräver gemensamma färdriktningar och målsättningar för alla aktörer i samhället. Regeringen avser därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet. Regeringen instämmer i huvudsak i Riksrevisionens iakttagelser och kommer mot den bakgrunden att överväga hur den nationella strategin bör utformas för att hantera iakttagelserna. Regeringen anser att Riksrevisionens rapport är slutbehandlad i och med denna skrivelse. Innehållsförteckning 1 Ärendet och dess beredning 3 2 Riksrevisionens iakttagelser och rekommendationer 3 2.1 Riksrevisionens slutsatser 3 2.2 Riksrevisionens rekommendationer till regeringen 4 3 Regeringens bedömning av Riksrevisionens iakttagelser och rekommendationer 5 3.1 Regeringens bedömning av Riksrevisionens övergripande slutsats 5 3.2 Regeringens bedömning av Riksrevisionens rekommendationer till regeringen 6 3.2.1 Öka tydligheten i myndighetsstyrningen 6 3.2.2 Ta fram en modell eller ett metodstöd för hur myndigheterna på ett effektivt sätt kan samordna resultat och processer 7 3.2.3 Utreda förutsättningarna för att visa samtliga kostnader förenade med informationssäkerhet för verksamheten i staten 7 3.2.4 Utreda behovet av att inrätta en central funktion som skulle kunna få i uppdrag att lämna operativt stöd till myndigheterna 8 4 Regeringens åtgärder med anledning av Riksrevisionens iakttagelser 9 Bilaga 1 Informationssäkerhetsarbete på nio myndigheter - En andra granskning av informationssäkerhet i staten (RiR 2016:8) 10 Utdrag ur protokoll vid regeringssammanträde den 10 november 2016 68 1 Ärendet och dess beredning Riksrevisionen har granskat hur följande myndigheter arbetar med sin informationssäkerhet: Arbetsförmedlingen, Affärsverket svenska kraftnät, Bolagsverket, Försäkringskassan, Lantmäteriet, Migrationsverket, Post- och telestyrelsen, Sjöfartsverket samt Statens tjänstepensionsverk. Regeringen, Regeringskansliet och Ekonomistyrningsverket har också ingått i granskningen. Granskningen har resulterat i rapporten Informationssäkerhetsarbete på nio myndigheter - En andra granskning av informationssäkerheten i staten. Rapporten överlämnades av riksdagen till regeringen den 26 maj 2016, se bilaga. 2 Riksrevisionens iakttagelser och rekommendationer 2.1 Riksrevisionens slutsatser Riksrevisionen har undersökt hur nio myndigheter arbetar med sin informationssäkerhet. Riksrevisionen har granskat om myndigheterna utifrån dagens krav och förutsättningar bedriver ett informationssäkerhetsarbete så att de uppnår ett ändamålsenligt skydd av sina informationstillgångar, och om regeringen säkerställer att de granskade myndigheterna har en effektiv intern styrning och kontroll av informationssäkerheten. Riksrevisionen har även låtit undersöka kostnadsbilden för informationssäkerhetsarbete. Riksrevisionens samlade slutsats är att arbetet med informationssäkerhet på de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt. Riksrevisionen menar att en viktig förklaring till det är att förståelsen för vikten av en god informationssäkerhet överlag är alltför liten och att detta får till följd att arbetet med informationssäkerhet inte blir tillräckligt prioriterat i förhållande till de risker som finns. Granskningen av Arbetsförmedlingen, Försäkringskassan och Migrationsverket har varit särskilt djupgående. Riksrevisionen konstaterar att ingen av dessa myndigheter kan sägas bedriva ett systematiskt informationssäkerhetsarbete som motsvarar kraven i Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1). Situationen på de sex andra granskade myndigheterna - Affärsverket svenska kraftnät, Bolagsverket, Lantmäteriet, Post- och tele- styrelsen, Sjöfartsverket samt Statens tjänstepensionsverk - varierar enligt Riksrevisionen, men sammanfaller i stora delar med hur det ser ut på de tre särskilt djupt granskade myndigheterna. Riksrevisionen anser att regeringen inte har sett till att de nödvändiga förutsättningarna finns för myndigheternas informationssäkerhetsarbete. Riksrevisionens bedömning är att ett övergripande regelverk inte är tillräckligt, utan att det behövs en starkare styrning från regeringen gentemot myndigheterna för att ledningen på respektive myndighet ska prioritera frågan. Vidare konstaterar Riksrevisionen att det i dag saknas uppgifter om myndigheternas kostnader för informationssäkerhet, både när det gäller enskilda myndigheter och för statsförvaltningen i stort. Därmed anser Riksrevisionen att det inte går att uttala sig om kostnadseffektiviteten av hanteringen av informationssäkerheten, och att det är en påtaglig brist att regeringen inte efterfrågar dessa uppgifter. Riksrevisionen pekar på att den svenska statsförvaltningen fungerar på det sättet att myndigheterna själva ombesörjer sin egen informationssäkerhet. Riksrevisionen konstaterar att förutsättningarna för att bygga upp och upprätthålla en god informationssäkerhet är bättre hos de största myndigheterna som kan dra nytta av skalfördelar. Förutsättningarna hos det stora flertalet myndigheter bedöms dock inte som lika goda. Granskningen pekar på att det är en tung uppgift även för tämligen stora myndigheter att bedriva ett framgångsrikt informationssäkerhetsarbete. Riksrevisionen konstaterar att MSB bistår med bra vägledning men att flera av de granskade myndigheterna lider brist på operativt bistånd. Mot den bakgrunden menar Riksrevisionen att informationssäkerhetsarbetet på aggregerad nivå sannolikt inte är kostnadseffektivt. 2.2 Riksrevisionens rekommendationer till regeringen Riksrevisionen har lämnat följande rekommendationer till regeringen. 1. De myndigheter som granskats särskilt djupgående har inte lyckats med att skapa ett informationssäkerhetsarbete som uppfyller kraven i MSB:s föreskrifter och därmed i den standard som ligger till grund för arbetet (ISO 27000). För att öka förutsättningarna att klara kraven rekommenderar Riksrevisionen regeringen att öka tydligheten i sin myndighetsstyrning, så att var och en av myndigheterna i statsförvaltningen uppnår god informationssäkerhet inom rimlig tid. 2. Det finns ett behov av att komplettera MSB:s metodstöd vid riskanalyser för att bättre kunna ta till vara resultaten av de olika processerna och ställa samman dem till en övergripande enhet, så att allt nedlagt riskhanteringsarbete kommer till bästa nytta. Regeringen bör därför överväga att ge MSB i uppdrag att ta fram en modell eller ett metodstöd för hur myndigheterna på ett effektivt sätt kan samordna resultat och processer. Denna modell bör så långt det är möjligt stödja myndigheternas arbete med risker och med att ställa samman dem på ett hanterbart sätt. Det är också viktigt att regeringen genom sin myndighetsstyrning ser till att myndigheterna också tillämpar modellen. 3. För att få ett effektivt skydd av informationstillgångarna i staten är det väsentligt att kunna göra avvägningar mellan kostnader och nytta. Det är inte möjligt i dag, eftersom kostnaderna för myndigheternas insatser för informationssäkerhet är okända. Det vore även angeläget att undersöka hur beslut om investeringar i informationssäkerhet sker i praktiken och vilka organisatoriska faktorer som påverkar synen på investeringar i informationssäkerhet. Regeringen bör därför låta utreda förutsättningarna för att visa samtliga kostnader förenade med informationssäkerhet för verksamheten i staten. 4. Var och en av myndigheterna har att på egen hand pröva sig fram till hur de ska bedriva sitt informationssäkerhetsarbete. MSB:s vägledningar är bra, men det som fattas myndigheterna är ett operativt stöd. Riksrevisionen rekommenderar därför regeringen att överväga att låta utreda behovet av att inrätta en central funktion som skulle kunna få i uppdrag att lämna operativt stöd till myndigheterna. 3 Regeringens bedömning av Riksrevisionens iakttagelser och rekommendationer 3.1 Regeringens bedömning av Riksrevisionens övergripande slutsats Riksrevisionens samlade slutsats är att arbetet med informationssäkerhet på de granskade myndigheterna ligger på en nivå som är märkbart under vad som är tillräckligt. Riksrevisionen har inte haft någon anledning att anta att den bild som framträder vid de granskade myndigheterna inte skulle gälla även för flertalet andra myndigheter i statsförvaltningen. Regeringen instämmer i huvudsak i Riksrevisionens samlade slutsats om de myndigheter som granskats. Som framgår av Riksrevisionens rapport varierar dock de granskade myndigheternas arbete med informationssäkerhet, och regeringen delar Riksrevisionens syn att de myndigheter som inte har omfattats av den djupgående granskningen har kommit olika långt i sitt arbete. Regeringen anser att det utifrån Riksrevisionens rapport är svårt att bedöma om arbetet med informationssäkerhet på flertalet myndigheter ligger på en nivå som är märkbart under vad som är tillräckligt. Samhällets informationssäkerhet är en prioriterad fråga för regeringen och det är viktigt att svenska myndigheter håller en tillräckligt hög nivå i sitt informationssäkerhetsarbete. Omfattningen av hanteringen av information i elektroniska kommunikationsnät och it-system ökar i alla delar av samhället och brister i hanteringen av och säkerheten för informationen riskerar att få omfattande säkerhets- och integritetsmässiga konsekvenser såväl för samhället i stort som för enskilda. Under senare tid har regeringen vidtagit ett antal åtgärder som ytterligare tydliggör vikten av en god informationssäkerhet och som kommer att förbättra förutsättningarna för myndigheterna att bedriva ett ändamålsenligt informationssäkerhetsarbete. Regeringen konstaterar att alla aktörer i samhället måste arbeta systematiskt för att reducera sårbarheter inom sina verksamhetsområden, samt planera för vilka åtgärder som kan vidtas och hur dessa ska vidtas innan händelser inträffar. Ur det hänseendet är det viktigt att staten föregår med gott exempel och lever upp till befintliga krav. Arbetet för att stärka informationssäkerheten i samhället måste bedrivas långsiktigt, kontinuerligt och i takt med digitaliseringen av samhället. Regeringen avser att fortsatt prioritera arbetet med att stärka samhällets informations- och cybersäkerhet. 3.2 Regeringens bedömning av Riksrevisionens rekommendationer till regeringen 3.2.1 Öka tydligheten i myndighetsstyrningen I Riksrevisionens granskning har det framkommit att de myndigheter som granskats mer fördjupat inte har lyckats med att skapa ett informationssäkerhetsarbete som uppfyller kraven i MSB:s föreskrifter och därmed inte heller i den standard som ligger till grund för arbetet. För att öka förutsättningarna att klara kraven rekommenderar Riksrevisionen regeringen att öka tydligheten i sin myndighetsstyrning, så att var och en av myndigheterna i statsförvaltningen uppnår en god informationssäkerhet inom en rimlig tid. Regeringen delar Riksrevisionens bedömning att myndigheternas arbete behöver utvecklas och att regeringens styrning av myndigheterna spelar en viktig roll. Regeringen har under senare tid genom flera initiativ och åtgärder gett myndigheternas informationssäkerhetsarbete ökat fokus. Regeringen beslutade i december 2015 att införa ett system för obligatorisk rapportering av it-incidenter för statliga myndigheter. Bestämmelsen började tillämpas den 1 april 2016. Syftet med systemet är att möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning och stimulera myndigheternas förmåga att förebygga, upptäcka och hantera it-incidenter. Den 31 mars 2016 beslutade regeringen att ge en utredare i uppdrag att föreslå hur EU-direktivet om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem (NIS-direktivet) ska genomföras i svensk rätt. NIS-direktivet kommer bl.a. att innebära att en eller flera myndigheter får ett utpekat ansvar för särskilda funktioner som direktivet reglerar, samt att det kommer ställas särskilda krav på säkerheten i nätverk och informationssystem hos myndigheter inom de sektorer som direktivet reglerar. Uppdraget ska redovisas senast den 1 maj 2017 (dir. 2016:29). För att samhället ska lyckas med utmaningarna inom informations- och cybersäkerhetsområdet behöver arbetet även stärkas genom en förbättrad samordning och samverkan, vilket i sin tur kräver gemensamma färdriktningar och målsättningar för alla aktörer i samhället. Regeringen avser därför ta fram en nationell strategi för samhällets informations- och cybersäkerhet. 3.2.2 Ta fram en modell eller ett metodstöd för hur myndigheterna på ett effektivt sätt kan samordna resultat och processer Riksrevisionen har identifierat ett behov av att komplettera MSB:s metodstöd vid riskanalyser för att bättre kunna ta till vara resultaten av de olika processerna och ställa samman dem till en övergripande enhet, så att allt arbete som lagts ned på riskhantering kommer till bästa nytta. Riksrevisionen rekommenderar mot denna bakgrund att regeringen överväger att ge MSB i uppdrag att ta fram en modell eller ett metodstöd för hur myndigheterna på ett effektivt sätt kan samordna resultat och processer. Regeringen instämmer i Riksrevisionens bedömning att myndigheterna i dag genomför flera riskanalyser med olika syften för skilda delar av organisationen, och att arbetet med myndighetsövergripande riskanalyser med tydligt fokus på informationssäkerheten behöver utvecklas. Regeringens bedömning är att stödet till myndigheter i att göra riskbedömningar, kartlägga skyddsvärda tillgångar och bestämma skyddsnivå kan utvecklas ur flera olika perspektiv. Regeringen kommer därför att överväga hur stödet till myndigheterna ska kunna vidareutvecklas. 3.2.3 Utreda förutsättningarna för att visa samtliga kostnader förenade med informationssäkerhet för verksamheten i staten Riksrevisionen har även rekommenderat att regeringen bör låta utreda förutsättningarna för att visa samtliga kostnader som är förenade med informationssäkerhet för verksamheten i staten. Riksrevisionen anser inte att det är möjligt att göra en sådan kostnadssammanställning idag, eftersom kostnaderna för myndigheternas insatser för informationssäkerhet är okända. Vidare är det enligt Riksrevisionen angeläget att undersöka hur beslut om investeringar i informationssäkerhet sker i praktiken och vilka organisatoriska faktorer som påverkar synen på investeringar i informationssäkerhet. Regeringen instämmer delvis i Riksrevisionens iakttagelser. Det är myndigheternas ansvar att ha kontroll över sina resurser och investeringar, att kunna verifiera effektiviteten i verksamheten och bedöma och motivera sin resursanvändning. Samtidigt är det av naturliga skäl svårt att beräkna resursåtgången för informationssäkerhetsarbete. Ett seriöst arbete med informationssäkerhet ska genomsyra hela organisationen, inte enbart bedrivas vid en enskild enhet. Regeringen anser att det finns skäl att stärka kunskapen kring samhällsekonomiska kalkyler och värderingar avseende informationssäkerhetsincidenter. För att uppnå ett fullgott underlag i riskhanteringsprocessen är det inte alltid tillräckligt med en god bild av myndigheternas interna kostnader. Bedömningen av vilka investeringar som behöver göras för att öka informationssäkerheten blir mer tillförlitlig om de kostnader som åtgärden är förknippade med kan ställas mot de kostnader som samhället riskerar om incidenter inträffar. Däremot kan aggregerade sammanställningar över samtliga kostnader förenade med informationssäkerhet för all verksamhet i staten inte användas som underlag för att bedöma vilka säkerhetshöjande åtgärder som bör vidtas. Därmed bör det primära syftet med att stärka kunskapen om kostnader inte vara att visa samtliga kostnader förenade med informationssäkerhet för verksamheten i staten. 3.2.4 Utreda behovet av att inrätta en central funktion som skulle kunna få i uppdrag att lämna operativt stöd till myndigheterna Slutligen har Riksrevisionen rekommenderat att regeringen överväger att låta utreda behovet av att inrätta en central funktion som skulle kunna få i uppdrag att lämna operativt stöd till myndigheterna. Riksrevisionen konstaterar att MSB:s vägledningar är bra, men har ändå identifierat detta behov då Riksrevisionen anser att var och en av myndigheterna i dag på egen hand har att pröva sig fram till hur de ska bedriva sitt informationssäkerhetsarbete. Regeringen anser att stödet till myndigheterna behöver utvecklas men instämmer inte i Riksrevisionens rekommendation att en central funktion bör få i uppdrag att lämna operativt stöd till myndigheterna. Informationssäkerhetsområdet befinner sig i ständig utveckling som en följd av att ny teknik och nya innovationer kontinuerligt utvecklas. Därför är det viktigt att vägledningar och utbildningar hålls uppdaterade. Vidare ser regeringen, se 3.2.2, ett behov av att stödet till myndigheter i att göra riskbedömningar, kartlägga skyddsvärda tillgångar och bestämma skyddsnivå utvecklas, vilket i sin tur också bör resultera i nya och uppdaterade vägledningar. Det behövs bl.a. i syfte att underlätta för mindre myndigheter som inte har så goda förutsättningar att på egen hand utforma sitt informationssäkerhetsarbete. Alla myndigheter måste arbeta systematiskt för att reducera sårbarheter inom sina verksamhetsområden samt planera för vilka åtgärder som kan vidtas och hur dessa ska vidtas innan händelser inträffar. Problem bör inte ses som enbart tekniska - lämpligt utformade rutiner och regelverk och iakttagandet av dessa är lika viktigt. För att uppnå detta behöver informationssäkerhetsfrågorna genomsyra hela organisationen och prioriteras av myndighetsledningen. Det finns en risk att möjligheten till ett operativt stöd till myndigheternas informationssäkerhetsarbete skulle kunna få en hämmande effekt på myndigheternas strävan att bygga upp en tillfredställande intern kompetens, vilket krävs för att arbetet ska kunna bedrivas effektivt och kontinuerligt. Det är myndigheten själv som har bäst kännedom om och ansvar för sin egen information, och därför bör vara bäst lämpad att fortlöpande kartlägga och värdera informationen. Bedömningen är att man behöver bygga upp en kompetens för detta arbete på respektive myndighet för att uppnå långsiktiga och hållbara resultat. MSB och andra aktörer bedriver redan i dag ett stödjande arbete på informationssäkerhetsområdet. Detta sker bl.a. i form av seminarier och utbildningar som syftar till att mer djupgående diskutera frågor som är kopplade till metodstöden, möjligheten att få operativt stöd vid inträffade it-incidenter eller kunskapsöverföring utifrån myndigheternas obligatoriska it-incidentrapportering. En central funktion med uppdrag att lämna operativt stöd till myndigheterna skulle kunna bli resurskrävande jämfört med det befintliga stödjande arbetet. Regeringen anser att det stödjande arbetet behöver finnas kvar i sin nuvarande form, men utvecklas med målet att på ett kostnadseffektivt sätt nå ut till så många som möjligt. 4 Regeringens åtgärder med anledning av Riksrevisionens iakttagelser Regeringen har tagit emot betänkandet Informations- och cybersäkerhet i Sverige - Strategi och åtgärder för säker information i staten (SOU 2015:23). Regeringen har även tagit emot betänkandet Utredningen om säkerhetsskyddslagen (SOU 2015:25) som innehåller förslag om hur säkerhetsskyddsregleringen bör reformeras. Vidare har regeringen tillsatt en utredning som ska lämna förslag över hur EU-direktivet om en hög gemensam nivå av säkerhet i nätverk och informationssystem (NIS-direktivet) bör genomföras i svensk rätt. Dessa underlag är viktiga i regeringens kommande arbete med att utforma en nationell strategi för samhällets informations- och cybersäkerhet. Avsikten är att strategin ska ligga till grund både för fortsatta åtgärder från regeringens sida och för åtgärder som övriga aktörer ska arbeta fram. Statliga myndigheter kommer att utgöra en central målgrupp för strategin. Regeringen instämmer i huvudsak i Riksrevisionens iakttagelser och kommer att överväga hur den nationella strategin bör utformas för att hantera iakttagelserna. Regeringen anser att Riksrevisionens rapport är slutbehandlad i och med denna skrivelse. Informationssäkerhetsarbete på nio myndigheter - En andra granskning av informationssäkerhet i staten (RiR 2016:8) Justitiedepartementet Utdrag ur protokoll vid regeringssammanträde den 10 november 2016 Närvarande: statsminister Löfven, ordförande, och statsråden Lövin, Wallström, Y Johansson, Baylan, Bucht, Hultqvist, Regnér, Andersson, Hellmark Knutsson, Ygeman, A Johansson, Bolund, Bah Kuhnke, Strandhäll, Shekarabi, Fridolin, Wikström, Eriksson, Linde, Skog, Ekström Föredragande: statsrådet Ygeman Regeringen beslutar skrivelse Riksrevisionens rapport om informationssäkerhetsarbete på nio myndigheter