Regeringskansliets rättsdatabaser

Regeringens skrivelse 2014/15:84 Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen Skr. 2014/15:84 Regeringen överlämnar denna skrivelse till riksdagen. Stockholm den 12 mars 2015 Stefan Löfven Peter Hultqvist (Justitiedepartementet) Skrivelsens huvudsakliga innehåll Riksrevisionen har, under perioden maj till november 2014, granskat arbetet med informationssäkerhet i den civila statsförvaltningen. Riksrevisionens slutsatser är att arbetet inte är ändamålsenligt. Regeringen instämmer i huvudsak i Riksrevisionens slutsatser. Sedan Riksrevisionens granskning har dock förändringar genomförts. Frågor om allmän ordning, säkerhet och krisberedskap, inklusive ansvaret för Regeringskansliets egen krisberedskap har samlats under inrikesministern i Justitiedepartementet. Regeringen har genom förändringarna skapat förutsättningar för en mer sammanhållen styrning av informationssäkerhetfrågorna. Regeringen har tagit emot ett betänkande från utredningen om strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och it-system (dir. 2013:110) och kommer inom kort att ta emot Utredningen om Säkerhetsskyddslagens förslag om hur säkerhetsskyddslagsregleringen bör reformeras. Regeringen har beslutat att myndigheter som har särskilt ansvar för krisberedskap och höjd beredskap ska redovisa sitt arbete med informationssäkerhet, Myndigheten för samhällsskydd och beredskap ska genomföra en undersökning av hur kommunerna arbetar med informationssäkerhet. Regeringen avser också att tillsätta en utredning med uppdrag att utreda hur EU-direktivet om en hög gemensam nivå av nät- och informationssäkerhet i hela unionen kan genomföras i svensk rätt. Regeringen anser att Riksrevisionens rapport är slutbehandlad i och med skrivelsen. Innehållsförteckning 1 Ärendet och dess beredning 3 2 Riksrevisionens iakttagelser och rekommendationer 3 2.1 Riksrevisionens slutsatser 3 2.2 Riksrevisionens rekommendationer till regeringen och myndigheterna 4 3 Regeringens bedömning av Riksrevisionens iakttagelser 5 3.1 Regeringens bedömning av Riksrevisionens övergripande slutsats 5 3.2 Regeringens bedömning av Riksrevisionens iakttagelser och rekommendationer 6 3.2.1 Allmänt 6 3.2.2 Utökad tillsyn och mandat att utfärda sanktioner 7 3.2.3 Regelverk 9 3.2.4 Obligatorisk it-incidentrapportering 9 3.2.5 Hantering av informationssäkerhetsfrågor i Regeringskansliet 10 4 Pågående arbete vid myndigheterna 10 5 Regeringens åtgärder med anledning av Riksrevisionens iakttagelser 14 Bilaga Rapport från Riksrevisionen Informationssäkerhet i den civila statsförvaltningen Utdrag ur protokoll vid regeringssammanträde den 12 mars 2015 1 Ärendet och dess beredning Riksrevisionen lämnar löpande granskningsrapporter från effektivitetsrevisionen. Syftet med den rapport som behandlas i denna skrivelse har varit att granska om arbetet med informationssäkerhet i den civila statsförvaltningen är ändamålsenlig utifrån ökande hot och risker (RiR 2014:23). Riksrevisionens rapport överlämnades av riksdagen till regeringen den 20 november 2014. 2 Riksrevisionens iakttagelser och rekommendationer 2.1 Riksrevisionens slutsatser Riksrevisionen har, under perioden maj till november 2014, granskat om arbetet med informationssäkerhet i den civila statsförvaltningen är ändamålsenligt utifrån ökande hot och risker. I det arbetet har Riksrevisionen bedömt om regeringen och ansvariga myndigheter för stöd och tillsyn har tillräcklig kunskap om de skyddsåtgärder som har vidtagits av myndigheter inom den civila statsförvaltningen. Granskningen omfattar alltså inte informationssäkerhet i samhället i stort. Granskningen är inriktad på den kunskap och information som samlats in om vilka hot som realiseras samt om hot och risker på en systematisk och övergripande nivå för den civila statsförvaltningen. Riksrevisionens övergripande slutsats är att arbetet med informationssäkerhet inte är ändamålsenligt, sett till de hot och risker som finns. Riksrevisionen konstaterar att det finns flera riskområden inom statsförvaltningen när det gäller informationssäkerheten, såsom kompetensbrist, upphandling, tillsyn, uppföljning, återrapportering, samt styrning, reglering och samordning. Riksrevisionens bedömning är att en stor andel myndigheter inte har centrala delar av ett systematiskt informationssäkerhetsarbete på plats. Riksrevisionen menar att regeringen inte har någon samlad lägesbild som inkluderar hot, i vilken omfattning och mot vilka hoten realiseras samt vilka skyddsåtgärder myndigheterna vidtar. En sådan lägesbild har inte heller någon av regeringens stöd- och tillsynsmyndigheter Försvarets radioanstalt (FRA), Säkerhetspolisen, Myndigheten för samhällsskydd och beredskap (MSB) eller Post- och telestyrelsen (PTS). Riksrevisionen menar att regeringen inte har utövat en effektiv styrning av informationssäkerheten i den civila statsförvaltningen. Regeringens stöd- och tillsynsmyndigheter har endast delvis vidtagit nödvändiga åtgärder för att informera sig och regeringen om vilka hot som finns mot den civila statsförvaltningen, i viken omfattning de realiseras och vilka skyddsåtgärder som vidtagits. Regelsystemet för informationssäkerhet ser i huvudsak likadant ut i dag som det gjorde 2007 när Riksrevisionen senast granskade området. Riksrevisionen menar att de brister som påpekades då kvarstår i stora drag även idag och att det regelverk som styr myndigheternas arbete med informationssäkerhet kan behöva anpassas bättre till olika typer av verksamhet för att kunna nå önskvärda mål. Vidare anser Riksrevisionen att det saknas en samlad avvägning för staten av hur mycket resurser som behöver satsas på skyddsåtgärder sett till de risker som finns. Risker för informationssäkerhet kan således potentiellt leda till omfattande skada, inte minst i form av extra kostnader och minskat förtroende för statsförvaltningen. Riksrevisionen noterar att de stödmyndigheter som regeringen pekat ut har begränsade resurser och saknar möjlighet att lämna operativt stöd till enskilda myndigheter i någon större utsträckning. Det finns ett behov av ett bättre utbyggt stöd som riktar sig till hela statsförvaltningen, och som kompletterar de enskilda myndigheternas egen kompetens. Det skulle leda till en bättre säkerhet totalt i statsförvaltningen, samtidigt som den totala kostnaden för informationssäkerhet borde bli väsentligt lägre än om varje myndighet håller sig med specialistkompetens. 2.2 Riksrevisionens rekommendationer till regeringen och myndigheterna Riksrevisionen har lämnat följande rekommendationer till regeringen. * Utöka tillsynen av informationssäkerheten i den civila statsförvaltningen, så att den omfattar mer än de allra mest skyddsvärda delarna. * Låt utreda om regelverket som styr arbetet med informationssäkerheten är ändamålsenligt i sin nuvarande utformning och om ansvaret för att utöva tillsyn över informationssäkerheten i den civila statsförvaltingen kan samlas och koordineras på ett bättre sätt än idag. Dessa brister konstaterade Riksrevisionen redan 2007, och då bristerna fortfarande inte är åtgärdade är det angeläget med en mer skyndsam hantering. * Överväg att låta tillsynsmyndigheten få mandat att utfärda sanktioner mot myndigheter som inte vidtar nödvändiga åtgärder efter en tillsyn som visat på brister. * Inför snarast en obligatorisk incidentrapportering för samtliga myndigheter. Ge en myndighet i uppdrag att hantera denna rapportering. * Se till att det finns en funktion och process i Regeringskansliet med syfte att samlat kunna hantera informationssäkerhet. Denna funktion och process ska kunna bereda alla de ärenden regeringen måste besluta om för att öka informationssäkerheten i statsförvaltningen. Funktionen ska också vara mottagare av MSB:s information om en samlad lägesbild och annan nödvändig information om läget för informationssäkerhet i statsförvaltningen. Riksrevisionen rekommenderar att stöd- och tillsynsmyndigheterna ges följande uppgifter för att förbättra statens informationssäkerhet. * MSB bör fortsätta och även intensifiera sitt arbete med att söka skapa en gemensam lägesbild för informationssäkerhet i statsförvaltningen. * MSB har enligt 9 § andra stycket förordningen (2006:942) om krisberedskap och höjd beredskap möjlighet att begära att fler myndigheter än idag lämnar en redovisning av sin risk- och sårbarhetsanalys till Regeringskansliet och MSB. MSB bör utnyttja denna möjlighet för att därigenom öka den samlade kunskapen om informationssäkerhetsläget och därigenom kunna bidra till en förbättring. * MSB bör lämna de myndigheter som inte uppfyller kraven i föreskrifterna om statliga myndigheters informationssäkerhet (MSBFS 2009:10) det stöd som är nödvändigt, så att de uppnår efterlevnad inom rimlig tid. * Såväl Säkerhetspolisen som FRA genererar viktig kunskap om säkerhetsläget inom den mest skyddsvärda delen av statsförvaltningen. Säkerhetspolisen och FRA bör därför var för sig systematiskt avge aggregerade rapporter om säkerhetsläget till Regeringskansliet och MSB. 3 Regeringens bedömning av Riksrevisionens iakttagelser 3.1 Regeringens bedömning av Riksrevisionens övergripande slutsats Riksrevisionen har genom sin granskning identifierat flera områden där den civila statsförvaltningens arbete med informationssäkerhet kan utvecklas. Regeringen instämmer därför i huvudsak i Riksrevisionens slutsats att delar av arbetet med informationssäkerhet i den civila statsförvaltningen inte är ändamålsenligt. Sedan Riksrevisionens granskning har dock förändringar genomförts i förhållande till de förutsättningar som gällde under den förra mandatperioden. Under denna mandatperiod har bl.a. frågor om allmän ordning, säkerhet och krisberedskap, inklusive ansvaret för Regeringskansliets egen krisberedskap, samlats under inrikesministerns ansvar. Inrikesministern ansvarar också för styrningen av bl.a. MSB, Polismyndigheten och Säkerhetspolisen. Regeringen har genom förändringarna skapat bättre förutsättningar för en mer sammanhållen styrning av informationssäkerhetsfrågorna. Arbetet med att stärka krisberedskapen och att skapa ett effektivt krishanteringssystem i Sverige har pågått under flera år. Målet är att minska riskerna för och konsekvenserna av allvarliga händelser och kriser i samhället. Arbetet spänner över hela hotskalan, allt från händelser och olyckor i vardagen till höjd beredskap, kris och krig. En stärkt krisberedskap är en prioriterad fråga för regeringen. Samhällets krisberedskap ska vila på ansvarsprincipen som innebär att den som ansvarar för en verksamhet under normala förhållanden har motsvarande verksamhetsansvar under allvarliga händelser, kris- och krigssituationer. Dessutom ingår samverkan och samordning med andra aktörer i den omfattning som krävs för att effektivt förebygga och hantera en allvarlig händelse eller kris. 3.2 Regeringens bedömning av Riksrevisionens iakttagelser och rekommendationer 3.2.1 Allmänt Ett fungerande digitalt samhälle ligger högt på regeringens agenda och informationssäkerhet är en fråga för hela regeringen. Den digitala utvecklingen ger inte bara nya möjligheter att förbättra och effektivisera medborgarnas vardag samt myndigheters och organisationers verksamhet utan skapar också nya risker och utmaningar. Bristande informationssäkerhet ställer ökade krav på samhällets förmåga att hantera allvarliga störningar och kriser. Målet med samhällets informationssäkerhet handlar om att skapa säkra it-system som säkerställer att obehöriga inte kan få åtkomst till eller möjlighet att förvanska innehållet i systemen. För att den digitala utvecklingen ska gå framåt och för att kunna uppnå god informationssäkerhet i hela samhället måste alla; privata och offentliga aktörer, enskilda medborgare och företag arbetar aktivt med informationssäkerhet. Det måste också finnas en tilltro från medborgare och företag att det offentliga kan hantera information på rätt sätt. Brister i informationshanteringen kan få konsekvenser för skyddet av den personliga integriteten. Privat- och offentlig samverkan och internationell samverkan är en grundläggande förutsättning för att öka samhällets informationssäkerhet. Hoten och riskerna inom det informationsteknologiska området är mångfacetterade, komplexa, svårdefinierade och föränderliga. Hot utgörs av allt ifrån tekniska fel till den mänskliga faktorn och medvetna handlingar. Utöver detta är det inte ovanligt att t.ex. väderfenomen, naturkatastrofer och olyckor orsakar incidenter med it-inslag. Konsekvenserna innefattar spridningseffekter som kan drabba samhällsviktig verksamhet i flera sektorer. För att möta bl.a. dessa hot har två särskilda utredare haft i uppdrag ett se över frågor som rör informationssäkerhet. Såsom Riksrevisionen lyfter fram har dessa utredningar direkt bäring på kravställning och styrning av informationssäkerheten i statsförvaltningen. Utredningen om strategi och mål för överföring av information i elektroniska kommunikationsnät och it-system Regeringen beslutade den 28 november 2013 kommittédirektiv (dir. 2013:110) om strategi och mål för hantering och överföring av information i elektroniska kommunikationsnät och it-system. Utredningen, som har tagit namnet NISU 2014, har haft i uppdrag att föreslå en nationell strategi för hantering och överföring av information i elektroniska kommunikationsnät och it-system. Syftet med att ta fram en strategi är att uppnå ett effektivare och mer samordnat arbete med informationssäkerhet i samhället. Strategin ska vara ett stöd för myndigheternas arbete och kopplas till styrmedel och åtgärder för att åstadkomma ett operativt och effektivt arbete med informationssäkerhet i hela samhället. I utredningens uppdrag har ingått att föreslå övergripande mål för samhällets informationssäkerhetsarbete, hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur, och med utgångspunkt i uppdraget redovisa statliga myndigheters ansvar och roller utifrån de uppgifter och uppdrag på informationssäkerhetsområdet som de har i dag. Utredningen redovisade sitt betänkande Informations- och cybersäkerhet i Sverige - strategi och åtgärder för säker information i staten (SOU 2015:23) den 10 mars 2015. Utöver förslaget till en ny strategi för informationssäkerhet har utredningen bl.a. pekat på vikten av att inrätta ett statligt myndighetsråd för informations- och cybersäkerhet och att förstärka tillsynen över den statliga sektorns informations- och cybersäkerhet. Utredningen om säkerhetsskyddslagen För verksamheter som har betydelse för rikets säkerhet finns det regler om informationssäkerhet i säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633). Sedan säkerhetsskyddsregleringen trädde i kraft 1996 har informationstekniken och användningen av den genomgått en betydande utveckling. En särskild utredare har bl.a. mot den bakgrunden haft i uppdrag att göra en översyn av säkerhetsskyddslagstiftningen (dir. 2011:94). En del av utredningens uppdrag har varit att föreslå hur reglerna om informationssäkerhet, som en del av säkerhetsskyddet, bör vara utformade. Utredningen har också haft i uppdrag att se över hur tillsynen över säkerhetsskyddet bör vara utformat och att ta ställning till om ett system med sanktionsåtgärder bör införas. Utredningen kommer att överlämna sitt betänkande den 17 mars 2015. 3.2.2 Utökad tillsyn och mandat att utfärda sanktioner Riksrevisionen rekommenderar att regeringen utökar tillsynen av informationssäkerheten i den civila statsförvaltningen så att den omfattar mer än de mest skyddsvärda delarna. Som Riksrevisionen beskriver i sin rapport finns det ett antal myndigheter med tillsynsansvar på informationssäkerhetsområdet. PTS, Datainspektionen, Riksarkivet, MSB och Säkerhetspolisen har alla på olika sätt ansvar för arbetet med samhällets informationssäkerhet. PTS utövar tillsyn enligt lagen (2003:389) om elektronisk kommunikation. Datainspektionens uppgift är att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. I uppgiften ingår tillsyn av informationssäkerhet. Riksarkivet utformar föreskrifter och allmänna råd för arkivhantering och följer upp hur dessa följs, bl.a. genom att utföra inspektioner vid statliga myndigheter. MSB stödjer och samordnar arbetet med samhällets informationssäkerhet samt analyserar och bedömer omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd avseende förebyggande arbete till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. MSB har dock inget tillsynsansvar när det gäller informationssäkerhet. Säkerhetspolisen har ansvaret för att utöva tillsyn av säkerhetsskyddet, innefattande informationssäkerhet, i de civila delarna av statsförvaltningen. Säkerhetsskyddsregleringen och därmed tillsynsansvaret omfattar bara de mest skyddsvärda verksamheterna. Om brister som upptäcks vid tillsynen inte rättas till ska Säkerhetspolisen under vissa förutsättningar anmäla detta till regeringen. Några sanktionsmöjligheter finns emellertid inte. En säkerhetsincident ska skyndsamt anmälas till Säkerhetspolisen i fall där en hemlig uppgift kan ha röjts, om röjandet kan antas medföra men för rikets säkerhet som inte endast är ringa. Hur tillsynsarbetet har utvecklats och kommer att utvecklas vid Säkerhetspolisen beskrivs under avsnitt 5. Regeringen delar Riksrevisionens bedömning att en effektiv tillsyn är en viktig del i informationssäkerhetsarbetet. Regeringen anser därför att det finns skäl att överväga tillsynsbehovet för andra delar i den centrala statsförvaltningen än de som är mest skyddsvärda. Regeringen har också nyligen tagit emot ett förslag från NISU 2014 som till viss del behandlar frågan om tillsyn. Regeringen kommer efter remissbehandling att ta ställning till vilka åtgärder som bör vidtas. Det är givetvis även angeläget att den tillsyn som sker med stöd av säkerhetsskyddslagstiftningen är effektiv och ändamålsenlig. Riksrevisionen konstaterar att Säkerhetspolisen genom sin tillsynsverksamhet funnit systematiska brister när det gäller informationssäkerhet hos de mest skyddsvärda verksamheterna. I bl.a. det perspektivet pekar Riksrevisionen på möjligheten att utfärda sanktioner som ett möjligt verktyg för att förmå olika verksamheter att trygga sin informationssäkerhet och trygga sina skyddsvärden. Utredningen om säkerhetsskyddslagen har haft att överväga frågor om tillsyn och sanktioner, bl.a. mot bakgrund av den ökade internationaliseringen, informationsteknikens utveckling och avregleringen av offentlig verksamhet. Regeringen kommer inom kort att ta emot utredningens betänkande och efter remissbehandlingen ta ställning till hur förslagen bör tas om hand. Ett annat viktigt arbete i detta sammanhang är det EU-direktiv om nät- och informationssäkerhet (NIS-direktivet) som nu förhandlas (direktivet beskrivs mer ingående senare i skrivelsen). Direktivet, som bl.a. gäller struktur för incidentrapportering på informationssäkerhetsområdet, innehåller krav på tillsyn och sanktioner. Ambitionen är att direktivet ska kunna antas under våren 2015. Regeringen avser att ge en utredning i uppdrag att överväga och föreslå hur direktivet ska genomföras i svensk rätt. 3.2.3 Regelverk Riksrevisionen har också rekommenderat regeringen att skyndsamt utreda om det regelverk som styr arbetet med informationssäkerheten är ändamålsenligt i sin nuvarande utformning och om ansvar för att utöva tillsyn över informationssäkerheten i den civila statsförvaltningen kan samlas och koordineras på ett bättre sätt än i dag. NISU 2014 har haft i uppdrag att tydliggöra statliga myndigheters ansvar och roller utifrån de uppgifter och uppdrag på informationssäkerhetsområdet som de har idag. Utredningen om säkerhetsskyddslagen har i sin tur haft i uppdrag att se över säkerhetsskyddsregleringen i dess helhet. De frågor som Riksrevisionen anser bör utredas har alltså delvis varit föremål för utredning helt nyligen. Efter remissbehandling kommer regeringen att ta ställning till förslagen och vidta nödvändiga åtgärder. I sammanhanget är även det kommande arbetet med att genomföra NIS-direktivet relevant. På myndighetsnivå utfärdar MSB verkställighetsföreskrifter om ledningssystem för informationssäkerhet (MSBFS 2009:10). Föreskrifterna trädde i kraft den 1 februari 2010. MSB:s föreskrifter gäller för myndigheter under regeringen med undantag för Regeringskansliet, kommittéväsendet och Försvarsmakten. Av föreskrifterna följer att myndigheternas arbete ska bedrivas enligt svensk standard i form av ISO 27001 och 27002. Myndigheten har påbörjat ett arbete med att se över föreskrifterna. Se vidare under avsnitt 4. 3.2.4 Obligatorisk it-incidentrapportering Riksrevisionen har även rekommenderat att regeringen snarast inför en obligatorisk incidentrapportering för samtliga myndigheter. Syftet med en sådan ordning är att stärka samhällets informationssäkerhet, både dess förebyggande och dess hanterande delar. Regeringen anser i likhet med Riksrevisionen att det är angeläget att en ordning för obligatorisk incidentrapportering införs. MSB fick den 14 april 2010 regeringens uppdrag (Fö2010/701/SSK) att utreda hur ett system för obligatorisk it-incidentrapportering för statliga myndigheter skulle kunna utformas. Uppdraget redovisades den 1 mars 2011 genom rapporten System för obligatorisk it-incidentrapportering för statliga myndigheter. I ett följduppdrag gavs MSB den 12 april 2012 i uppdrag av regeringen att utifrån en fördjupad analys komplettera förslaget om ett system för obligatorisk it-incidentrapportering. I uppdraget ingick att föreslå bl.a. definitioner och kriterier för när en incident ska rapporteras, vilka myndigheter som ska undantas från rapporteringsskyldigheten, hur incidenter av misstänkt brottslig karaktär ska hanteras samt författningsreglering. Uppdraget redovisades den 30 november 2012 genom rapporten Nationellt system för it-incidentrapportering. MSB:s förslag bereds för närvarande i Regeringskansliet. Frågan innehåller dock flera utmaningar, bl.a. när det gäller förhållandet mellan incidentrapportering och brottsanmälningar och förhållandet mellan incidenter som inträffar i de mest skyddsvärda verksamheterna jämfört med andra incidenter. Som angetts tidigare förhandlas ett direktiv i EU om åtgärder för att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen, det s.k. NIS-direktivet. Förslaget till direktiv innehåller bl.a. skyldigheter för alla medlemsstater att vidta förebyggande åtgärder och åtgärder för att hantera och svara på allvarliga risker och incidenter som påverkar nätverk och informationssystem. Aktörer som omfattas av förslaget kan vara både myndigheter, kommuner, landsting och enskilda. Förslaget till direktiv innehåller också krav på bestämmelser om tillsyn och sanktioner. Direktivet kommer sannolikt att antas under våren 2015. Regeringen avser att ge en utredning i uppdrag att överväga och föreslå hur direktivet ska genomföras i svensk rätt. Regeringen är angelägen om att arbetet med att införa ett nationellt system för incidentrapportering bedrivs vidare och att ett sådant system kommer på plats så snart som möjligt. Vid utformningen av ett sådant system är det emellertid angeläget att hitta rätt avvägningar när det gäller de utmaningar som har nämnts ovan. 3.2.5 Hantering i Regeringskansliet av informationssäkerhetsfrågor Riksrevisionen har slutligen rekommenderat regeringen att se till att det finns en funktion och en process i Regeringskansliet med syfte att samlat hantera informationssäkerhetsfrågor. Enligt regeringens uppfattning är det angeläget att samhällets informationssäkerhetsfrågor samordnas på ett ändamålsenligt sätt i Regeringskansliet. Sedan Riksrevisionen påbörjade sin granskning har det skett förändringar i detta avseende. Ansvar för informationssäkerhet i den mån sådana frågor inte hör till annat departement liksom samordning av samhällets krisberedskap inklusive civilt försvar, tillsammans med andra centrala funktioner för den civila krishanteringen i samhället har samlats under inrikesministern i Justitiedepartementet. Regeringen har genom förändringarna skapat bättre förutsättningar för en mer sammanhållen styrning av informationssäkerhetfrågorna. Ansvarsprincipen gäller dock fortfarande. 4 Pågående arbete vid myndigheterna Myndigheten för samhällsskydd och beredskap MSB har i uppdrag att stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd avseende förebyggande arbete till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Myndigheten ska även rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan föranleda behov av åtgärder på olika nivåer och områden i samhället. MSB ska också svara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att hantera och förebygga it-incidenter. Samverkan mellan offentliga aktörer och näringslivet samt internationell samverkan är en förutsättning för att kunna stärka samhällets informationssäkerhet. MSB genomför samverkan både nationellt och internationellt på området. Ett exempel är den nordiska s.k. nationella CERT-samverkan som ger möjlighet att utbyta information på ett säkert sätt vid allvarliga it-incidenter i Norden. Samarbetet syftar till att öka skyddet mot it-angrepp nationellt och på nordisk nivå. Myndigheten arbetar också aktivt med att utveckla den operativa verksamheten för att öka förmågan att förebygga och hantera it-incidenter. MSB/CERT-SE (Computer Emergency Response Team) har bl.a. deltagit i övningarna Cyber Europe 2014, arrangerad av den europeiska myndigheten Enisa, och Nato Cyber Coalition 2014. Myndigheten arbetar aktivt med att sprida information och kunskap om informationssäkerhet, bl.a. genom att anordna konferenser som riktas till olika målgrupper i samhället. Webbplatsen Informationssäkerhet.se är en gemensam satsning av Samverkansgruppen för informationssäkerhet där MSB har det redaktionella ansvaret. I (samverkansgruppen för informationssäkerhet) ingår MSB, FRA, PTS, Försvarets materielverk, Polismyndigheten, Säkerhetspolisen och Försvarsmakten. Samverkansgruppen syftar till att åstadkomma samverkan mellan de statliga myndigheter som har särskilda uppgifter på informationssäkerhetsområdet. Som stöd för det systematiska informationssäkerhetsarbetet i samhället har MSB tagit fram ett antal vägledande dokument. Ett exempel är vägledningen Att hantera överbelastningsattacker som syftar till att höja kunskapsnivån kring överbelastningsattacker och ge råd om förebyggande åtgärder samt om hur den här typen av incidenter kan hanteras. MSB arbetar också med att omsätta strategier för informationssäkerhet i e-förvaltning respektive i vård och omsorg i handlingsplaner. För att följa upp myndigheternas arbete med informationssäkerhet har MSB genomfört en kartläggning av hur statliga myndigheter tillämpar MSB:s föreskrifter om statliga myndigheters informationssäkerhet och hur de i övrigt arbetar med informationssäkerhet. Rapporten "En bild av myndigheternas informationssäkerhetsarbete 2014" är det första steget i myndighetens arbete med att se över föreskrifterna. Målet är att uppdaterade föreskrifter ska kunna träda i kraft den 1 januari 2016. Myndigheten arbetar också nationellt och internationellt med att stärka skyddet avseende industriella informations- och styrsystem som bl.a. styr vatten- och elförsörjning och transporter. Säkerhetspolisen Säkerhetspolisen har mandat att kontrollera säkerhetsskyddet hos kommuner och landsting samt övriga myndigheter som inte svarar under Försvarsdepartementet. Tillsynsansvaret innebär att Säkerhetspolisen kontrollerar att myndigheterna följer de lagar och andra regler som finns samt att deras skydd är tillräckligt utifrån den verksamhet de bedriver. Kontrollerna görs i form av besök vid myndigheterna. Säkerhetspolisen och Försvarsmakten har båda rätt att inom sina ansvarsområden meddela föreskrifter om det faktiska utförandet av bestämmelserna i säkerhetsskyddslagen. Säkerhetspolisen har de senaste fyra åren systematiskt arbetat med att förbättra såväl det strategiska som det taktiska arbetet med tillsyn och rådgivning avseende informationssäkerhet för särskilt skyddsvärda verksamheter. På den strategiska nivån består detta förbättringsarbete framför allt av framtagandet av en skyddsvärdesdatabas som av Säkerhetspolisen används för inriktning och operativa prioriteringar av Säkerhetspolisens informationssäkerhetsaktiviteter hos skyddsvärda verksamheter. Det innebär att Säkerhetspolisens arbete strukturerat inriktas mot det mest skyddsvärda i samhället. När det gäller det taktiska arbetet har förbättringar skett inom ett flertal områden. Tillsynsprocessen har förbättrats så att kvaliteten i arbetet med de skyddsvärda verksamheterna är mycket högre idag än för fyra år sedan. Metoder och tekniska resurser för att bedöma informationssäkerheten hos skyddsvärda verksamheter har också kontinuerligt och systematiskt förbättrats. Detta innebär alltså att Säkerhetspolisen under de kommande åren har metoder, processer och resurser att systematiskt bedriva tillsyn av och ge rådgivning till de mest skyddsvärda verksamheterna avseende deras informationssäkerhet. Säkerhetspolisen har vidare i uppdrag att incidenthantera elektroniska angrepp riktade mot skyddsvärda verksamheter. Under de senaste fyra åren har Säkerhetspolisen utvecklat sina förutsättningar för och förmågan att hantera dessa angrepp på ett effektivt sätt. Förbättringarna har till stora delar skett i samverkan med andra myndigheter. Säkerhetspolisen får nu bättre information om vilka sårbarheter som angripare ofta utnyttjar. Denna kunskap används sedan av Säkerhetspolisen i tillsyns- och rådgivningsarbetet hos skyddsvärda verksamheter. Tillsammans med FRA och den militära underrättelse- och säkerhetstjänsten har Säkerhetspolisen tagit initiativ till inrättandet av samverkansforumet Nationell samverkan till skydd mot allvarliga it-hot. Inom ramen för denna samverkan har ett antal delprojekt genomförts och kommer att genomföras som syftar till att ta fram metoder och underlag som stöd för en effektiv incidenthantering. Under 2014 fattade polisen beslutet att inrätta ett Nationellt it-brottscentrum (Swedish Cyber Crime Center, SC3). Säkerhetspolisen deltog i framtagandet av konceptet för SC3 och kommer också att permanent finnas representerad i centret. Säkerhetspolisen bedömer att incidenthanteringsarbetet vid detta centrum kommer att generera värdefull information som kan omsättas av Säkerhetspolisen i det förebyggande arbetet. Säkerhetspolisen har därutöver de senaste åren intensifierat sitt arbete med att förbättra den internationella samverkan mellan säkerhetstjänster i Europa rörande utbyte av information om elektroniska angrepp. Försvarets radioanstalt FRA har till uppgift att bedriva signalspaning. Myndigheten ska särskilt följa förändringen av signalmiljön i omvärlden samt den tekniska utvecklingen och signalskyddet, fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten och utföra matematiska bedömningar av kryptosystem för totalförsvaret. FRA ska också stöjda andra myndigheter vid värdering, utveckling, anskaffning och drift av signalspaningssystem. FRA ska ha hög teknisk kompetens inom informationssäkerhetsområdet. Myndigheten får efter begäran stödja sådana statliga myndigheter och statligt ägda bolag som hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende. FRA ska särskilt kunna stödja insatser vid nationella kriser med it-inslag, medverka till identifieringen av inblandade aktörer vid it-relaterade hot mot samhällsviktiga system, genomföra it-säkerhetsanalyser, och ge annat tekniskt stöd. Myndigheten ska samverka med andra organisationer inom informationssäkerhetsområdet såväl inom som utom landet. Bland myndighetens tjänster ingår it-säkerhetsanalysers.k. aktiv it-kontroll, stöd vid kvalificerade it-incidenter, forensisk analys, teknisk rådgivning och utbildning i it-säkerhet. Vid it-säkerhetsanalyseraktiv it-kontroll kontrolleras sårbarheter i uppdragsgivarens it-system och en bild ges av vilka brister som behöver åtgärdas. Vid myndigheten finns en forsknings- och utvecklingsenhet med uppgift att metodiskt upptäcka och analysera sårbarheter i informationsmiljöer. FRA tillhandahåller av Försvarsmakten godkända kryptografiska funktioner till civila myndigheter som gör det möjligt att elektroniskt utbyta sekretessbelagd information. Användarstöd i form av service och support lämnas dygnet runt. FRA fick den 14 april 2010 i uppdrag av regeringen att lämna ett förslag på hur ett tekniskt detekterings- och varningssystem (TDV) för samhällsviktig verksamhet och kritisk infrastruktur kan utformas och införas (Fö2010/703/SSK). Uppdraget redovisades i en rapport i mars 2011. FRA fick den 10 november 2011 (Fö2011/1681/SSK) i uppdrag av regeringen att komma in med ett kompletterande underlag avseende det föreslagna systemet och att utarbeta en pilotversion av detta. Uppdraget redovisades i april 2012. FRA föreslog i rapporten bl.a. att det föreslagna TDV-systemet med varnande och skyddande sensorer bör placeras hos särskilt skyddsvärd verksamhet med behov av ett förstärkt skydd mot it-angrepp från kvalificerade aktörer. Pilotverksamheten visade att det tekniska konceptet med varnande sensorer fungerade, medan systemet med skyddande sensorer behövde vidareutvecklas genom ytterligare försöksverksamhet. Förslagen om TDV-verksamhet bereds för närvarande i Regeringskansliet. 5 Regeringens åtgärder med anledning av Riksrevisionens iakttagelser Informationssäkerhet är en angelägen fråga för regeringen. Inledningsvis kan konstateras att informationssäkerhet inte är en fråga som kan ses isolerad och som enbart några särskilt utpekade myndigheter behöver arbeta med. Alla myndigheter och organ som hanterar känslig information behöver, i enlighet med ansvarsprincipen, arbeta aktivt med att skydda sin information. Det rör både sådan information som är känslig ur ett integritetsperspektiv och sådan som behöver skyddas ur ett verksamhetsperspektiv. En viktig fråga är att öka medvetenheten om detta. Här har bl.a. MSB ett viktigt uppdrag. När det gäller de myndigheter som har ett särskilt ansvar för informationssäkerhet är det viktigt att fördelningen av ansvar och roller så långt det är möjligt är tydlig. Samtidigt ligger det i sakens natur att berörda myndigheters ansvar i vissa fall överlappar varandra. Mot den bakgrunden är det av stor vikt att myndigheterna samverkar. Regeringen välkomnar därmed de samverkansforum som har inrättats på området, t.ex. Samverkansgruppen för informationssäkerhet och Nationell samverkan till skydd mot allvarliga it-incidenter. Som framgår av Riksrevisionens rapport finns det ett antal områden där hanteringen av informationssäkerhet i den civila statsförvaltningen kan utvecklas. Regeringen nyligen tagit emot betänkandet Informations- och cybersäkerhet i Sverige - strategi och åtgärder för säker information i staten (SOU 2015:23). Utredningen har bl.a. föreslagit en ny strategi för informationssäkerhet samt pekat på vikten av att inrätta ett statligt myndighetsråd för informations- och cybersäkerhet och att förstärka tillsynen över den statliga sektorns informations- och cybersäkerhet. Regeringen kommer också inom kort att ta emot Utredningen om säkerhetsskyddslagens förslag om hur säkerhetsskyddsregleringen bör reformeras. Dessa två betänkanden är viktiga underlag för regeringens fortsatta inriktning på området. Regeringen avser också att tillsätta en utredning med uppdrag att utreda hur NIS-direktivet kan genomföras i svensk rätt. Syftet med direktivet är just att säkerställa en hög gemensam nivå av nät- och informationssäkerhet i hela unionen. En viktig del i detta är att genomföra ett system för incidentrapportering. Parallellt med detta pågår arbete för att skapa förutsättningar för ett nationellt system för incidentrapportering. En central faktor för all form av incidentrapportering och hantering av incidenter och attacker är förmågan att veta att man är utsatt för en incident eller attack. Arbetet kommer att intensifieras när det gäller att skapa förutsättningar för att myndigheter och andra berörda aktörer som bedriver särskilt skyddsvärd verksamhet ska kunna erbjudas att delta i ett nationellt tekniskt detekterings- och varningssystem (TDV). I syfte att höja medvetenheten om vikten av informationssäkerhet och för att skapa en bild av läget hos berörda myndigheter har regeringen i respektive myndighets regleringsbrev för 2015 beslutat att myndigheter som har ett särskilt ansvar för krisberedskap och höjd beredskap särskilt ska redovisa sitt arbete med informationssäkerhet. I samma syfte har regeringen också beslutat att MSB ska genomföra en undersökning av hur Sveriges kommuner arbetar med informationssäkerhet. Dessa båda uppdrag kommer att bidra till att förbättra regeringens kunskap på området och därmed skapa förutsättningar för ett ändamålsenligt arbete med att stärka samhällets informationssäkerhet. Det har även inletts ett arbete som syftar till att öka regeringens kunskap om säkerhetsläget inom de mest skyddsvärda delarna av statsförvaltningen. Sammanfattningsvis har regeringen vidtagit flera åtgärder på informationssäkerhetsområdet i syfte att förbättra samhällets beredskap och robusthet mot allvarliga it-incidenter. Regeringen avser att även fortsättningsvis prioritera arbetet. Regeringen anser att Riksrevisionens rapport är slutbehandlad i och med skrivelsen. Justitiedepartementet Utdrag ur protokoll vid regeringssammanträde den 12 mars 2015 Närvarande: Statsministern S Löfven, ordförande, och statsråden Å Romson, Y Johansson, I Baylan, S-E Bucht, P Hultqvist, H Hellmark Knutsson, M Andersson, A Johansson, P Bolund, M Kaplan, M Damberg, A Bah Kuhnke, A Strandhäll, A Shekarabi, G Fridolin, G Wikström, A Hadzialic Föredragande: statsrådet P Hultqvist Regeringen beslutar skrivelse Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen Skr. 2014/15:84 Skr. 2014/15:84 2 15 1