Det sade Anna-Karin Hatt, it- och energiminister i sitt tal på den årliga konferensen Informationssäkerhet för offentlig sektor i Stockholm i mitten av augusti.
– Ingen har väl glömt Tieto-haveriet förra året, som ledde till att recept på våra apotek inte kunde expedieras, till att kommunala e-tjänster slogs ut och till att fullt fungerande bilar fick körförbud eftersom godkända kontrollbesiktningar inte gick att rapportera in.


Erfarenheterna från Tieto visar att samhället måste bli bättre på att snabbt skaffa sig en korrekt lägesbild.
– Det säger sig kanske självt att rätt information om läget är helt nödvändigt för att alla inblandade aktörer ska få samma förståelse för situationen och kunna vidta samordnade åtgärder. En sådan viktig lägesbild förutsätter att man har kontinuerlig kontakt med nyckelaktörer inom och utanför landet, också när det inte är kris.


I dag saknas en avgörande förutsättning för att skapa en korrekt lägesbild, att it-incidenter verkligen inrapporteras.
– För att vara väldigt, väldigt tydlig: dagens frivilliga rapportering av it-incidenter räcker inte. Just därför har jag och regeringen gett MSB i uppdrag att titta på hur ett system för obligatorisk it-incidentrapportering för statliga myndigheter kan se ut.


En bättre lägesbild kräver inte bara bättre samverkan mellan myndigheter utan även mellan myndigheter och näringslivet.
– Uppdragets huvudfokus är de statliga myndigheterna. Men vi vet att viktiga offentliga funktioner kan bli väldigt lidande när privata företag drabbas av avbrott. Jag vill att Sverige ska få ett verkligt fungerande system för inrapportering av it-incidenter. Och skulle MSB komma fram till att företag, under vissa omständigheter, behöver omfattas av ett sådant inrapporteringskrav för att systemet ska fungera i praktiken – så har de också möjlighet att föreslå det, säger Anna-Karin Hatt.


Anna-Karin Hatt betonade att informationssäkerhet är en horisontell fråga som skär genom alla sektorer och att det behövs en bättre helhetssyn på vad som ska skyddas, vilka hoten är och vilka medel vi ska ha för att förstärka vårt skydd.
– Vi behöver helt enkelt ha en ny, nationell strategi för informationssäkerhet som ska handla om allt från säkerhets- och försvarspolitiska aspekter, medborgerliga rättigheter, integritetsfrågor, brottsbekämpning till säkerhet i vardagen.
– Den uppdaterade nationella handlingsplanen från MSB kommer att vara ett av flera underlag för mig och regeringen när vi utarbetar den nya informationssäkerhetsstrategin. Jag välkomnar verkligen alla tänkbara inspel ni alla kan ha i det arbetet.


Hon avslutade med att berätta att ett flera timmar långt tågstopp i Västsverige under sommaren orsakades av en liten obevakad switch.
– Var står er obevakade switch? Det är min övertygelse att vi bäst hittar svaga länkar genom att tänka brett och systematiskt och genom att bli bättre på att samverka över sektorsgränser och mellan myndigheter.
– Med den nya nationella strategin för informationssäkerhet tar vi nästa steg för ett samhälle där vi kan lita på att information inte läcker, där tågen kan gå i tid och där brandväggar håller våra system säkra. Lyckas vi med det, då är det vårt bästa bidrag till att göra vad vi kan för att sätta IT i människans tjänst, säger Anna-Karin Hatt.

 

”Kaxiga” generationen en utmaning för säkerheten

Åttiotalisterna, den första digitala generationen, är ifrågasättande, kaxiga – gör först och frågar sen, tycker privatlivet är viktigt och är inte lojala. Kort sagt en utmaning för säkerhetsansvariga.


Jan Hendler, TullverketJan Hendler, itsäkerhetschef på Tullverket, har intresserat sig för vad det innebär att olika generationer har olika värderingar i en rad frågor.
Han började ”hobbyforska” och enligt teorierna är det kännetecknande för den första digitala generationen att de är ifrågasättande, feedback-krävande, kaxiga – kan inte själva men vet ändå hur man gör. De är väldigt mycket ”what´s in it for me?”, tycker att privatlivet är viktigt, men inte privat, och är inte lojala.

– Egentligen ett gäng skithögar. Varför ska vi anställa dom? Men om vi vänder på det, och ser lite positivt är det bra att de är ifrågasättande; ”what´s in it for me? De tänker på sin karriär, de vill utvecklas. Det är superbra att de kommer och söker feedback. Kan inte själv, nej – men de är inte rädda för att ta sig an en ny uppgift.


Det här är en utmaning om man jobbar med säkerhet. Generationen innan gjorde ingenting om man inte blev tillsagd, medan den här gör allt och frågar sen. Logiken säger att då krävs tydliga regler vad de får och inte får göra.
– Vi kan inte reglera allt och den första fallgropen man trillar i är att reglera undantagen eller det självklara. Gör inte det! Ni måste förutsätta att era medarbetare kan tänka själv, annars har ni rekryterat dåligt. Skriv inte allt på näsan för då blir styrdokumenten otillgängliga.


Policyn ska vara enkel och ta upp säkerhetsrikser, ekonomiska risker, tjänstemannaansvaret och förtroenderisker.
– Förtroendefrågan blir allt viktigare, gör inget tokigt så att vi hamnar i kvällspressen. Glöm inte utbildningsinsatserna, man kan inte bara skriva och tro att det funkar som det gjorde med förra generationen, säger Jan Hendler.


Otryggt för äldre när analogt möter digitalt
Trygghetslarmen behöver moderniseras med digital teknik. Det säger en studie som PTS, Post och telestyrelsen, gjort.

 

Åsa Lindeskog, Post- och telestyrelsen– Trygghetslarm är det första i en rad av framtida digitala omsorgstjänster. Med fler äldre kommer vi att bli mer beroende av e-hälsotjänster och det är viktigt att lägga grunden redan nu, säger Åsa Lindeskog, PTS.
Studien är en följd av ett stort projekt med att införa digitala trygghetslarm i Borås. Projektet stötte på hinder direkt.
– Brukarna saknade digital teknik, det är få som har fast internetanslutning. Av projektets 1000 trygghetslarm är ungefär 40 baserade på en fast internetuppkoppling, berättar projektledaren Johnny Leidegren, Borås stad.


Grundproblematiken med traditionella trygghetslarm uppstår när äldre analoga system möter den nya digitala infrastrukturen.
– Trygghetslarmen har hittills byggt på traditionell telefoni, men sen kommer barnen och tycker att man kan få billigare IP-telefoni eller mobil och där försvann det trygghetslarmet. Därför krävs övervakning av trygghetslarmen.


Lösningen på det var att använda mobilt internet. Systemet som har bäst täckning är det äldsta av de digitala mobilsystemen GSM med sin datakanal GPRS. Övervakningen fick man tillgång till genom GPRS, en datakanal över internet.
– De flesta kommunerna har i bästa fall kanske gjort testringning en gång per dygn. Nu har vi automatisk övervakning med någon minuts mellanrum dygnet runt, säger Johnny Leidegren.


Den stora svagheten i kedjan brukare-larmcentral-personal är kommunikationen och rutiner för larmhändelser.
– Det man behöver göra är att se till att kommunen tar ansvar för kommunikationsdelen och det gjorde vi genom att teckna avtal med mobiloperatörer om tillgång till datakanalen.
Studien från PTS kom fram till att det krävs utveckling och samverkan.
– Trygghetslarmstjänsterna måste moderniseras med ny teknik och någon måste ta ett helhetsansvar för att hela kedjan fungerar. Det behövs också bättre samverkan mellan alla aktörer i sektorn, säger Åsa Lindeskog, PTS.

 

Polisanmäl alla intrång

 – Polisanmäl alla intrång. Har ni en trojan i ert nät är det ett intrång.
Det uppmanar Anna Björkegren, chef för rikskriminalpolisens it-brottssektion
.

 

För polisen är det ett problem att det görs så få polisanmälningar. Mörkertalet är enormt. En undersökning i Norge visade att av 50 000 it-incidenter kände polisen till 300.
¬– Det finns två huvudskäl till att man inte polisanmäler och det är ”badwill-faktorn” och ”polisen har ändå inga resurser”. Men hur ska vi få det om ingen anmäler? Görs inga anmälningar finns ingen brottslighet och då kan inte politiker motivera att det tillsätts resurser, säger Anna Björkegren.


Gå till närmaste polisstation, även om den som tar emot anmälan där inte är ”datanörd” kan denne hänvisa vidare. Notera ärendenumret och ta reda på handläggarens namn för vidare kontakter. Företagshemligheter kan hemligstämplas och nedlagda utredningar kan alltid återupptas om det senare framkommer nya uppgifter.
Någon undrade om polisen verkligen vill ha 50 000 anmälningar.


– Fler anmälningar som rör samma brott kan innebära att det blir grovt brott. Ser vi att anmälningarna gäller en mask eller trojan som redan anmälts kan vi också snabbt avskriva de som följer.

 

 

Din smarta telefon för smart för dig?
Den minsta säkerhet man ska ha på sin smarta telefon telefonlås och pinkod.
– Då har man höjt säkerheten ganska mycket om man tappar den. Kanske ingen upptäcker att jag jobbar på regeringskansliet och att man kan tjäna pengar på att sälja information från telefonen till media, underrättelsetjänst eller kriminella
.

 

Mattias Hansson, MustMattias Hansson, chef för säkerhetskontoret på Must, Militära underrättelse- och säkerhetstjänsten, delade med sig av de regler och rekommendationer Must har för användningen av så kallade smarta telefoner.
– Även som chef måste man kunna sina system, kunna tekniken. Vad innebär det att jag lägger min epost på Gmail så den hamnar i USA?


Genom de smarta telefonerna sammansmälter arbets- och privatliv och hur ska det hanteras av arbetsgivare och säkerhetsansvariga?
– Telefonen följer med hela tiden. Den har lösenordsdatabas, kontaktlistor, samtalslistor, dokument, och geografisk positionering. Hoppas de flesta har tydliga regler för vad som gäller för användande av smarta telefoner – och utbildning.


De risker Mattias Hansson vill att alla ska känna till är: avlyssning, manipulering, synkronisering, geografisk positionering och förlust. Har man förlorat telefonen är det ganska enkelt att tappa den på information. Verktygen finns lätt åtkomliga på internet.
– Förlust är väl det vanligaste sättet att bli av med information. Taxi Stockholm hittar 25 kvarglömda mobiler i veckan i sina bilar. Jag är inte jätteintresserad av att sprida min samtalslista om jag har ett kontaktnät som inte vill att alla ska ha tillgång till.


Avlyssning är ett reellt hot.
– Ja, mobiltelefoner blir avlyssnade. Vad kan man göra? Inte så mycket, undvik prata skyddsvärd information.
Smarta telefoner kan manipuleras. Installera endast betrodda och nödvändiga applikationer.
– Hur vet jag att min telefon inte spelar in eller ringer upp ofrivilligt? Vi uppmanar vår personal att aldrig lämna telefonen obevakad.


Tänk efter innan ni synkroniserar telefonen.
– Det har hänt att man fått en ny telefon och det dyker upp ett meddelande Synkronisera? Man trycker OK och så skickas all kontaktinformation till email i USA eller Ericsson. Var det så jag ville ha det?
– Eller när man kliver in i hyrbilen vars Bluetooth säger ”pling”, kopplar upp min mobil och vips sitter hela min telefonbok i mittkonsollen. Då blir man ju lite svettig, hur raderar jag kontaktlistan i Volvon som jag ska lämna tillbaka?


Det finns ett antal tjänster på nätet som har geografisk positionering.
– Försvarsmakten har känsliga anläggningar eller skyddat boende, vill jag då att anställda ska ta med sin privata telefon som är geopositionerad som avslöjar var dessa anläggningar finns? Man kan stänga av GPS-funktionen, låta bli att geotagga bilder och använd inte platsbaserade sociala medier bara för att man får en mjukglass på Mcdonalds.
Det här är den basala nivån, men sen måste man ha en policy för användningen med tydliga riktlinjer.
– Det ska vara enkelt att göra rätt, säger Mattias Hansson.

 

 

Säkerhetsanalyser viktigt stöd för Säpo
Myndigheter, landsting och kommuner ska göra så kallade säkerhetsanalyser för att bedöma om man har anläggningar eller uppgifter som är av betydelse för rikets säkerhet.
Säkerhetsanalyserna är viktiga underlag i säkerhetspolisens arbete men är ytterst till för verksamheternas säkerhetsskyddsarbete
.


Säkerhetsskydd är skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet. Det handlar om att skydda det mest skyddsvärda i det svenska samhället.
– Syftet med säkerhetsanalysen är att undersöka vilka uppgifter och anläggningar som rör rikets säkerhet och behöver säkerhetsskydd. Säkerhetsanalysen utgör underlag för att bedöma behovet av eventuella säkerhetsskyddsåtgärder.


Säpos roll i säkerhetsskyddet är att bedriva tillsyn av vissa verksamheter och myndigheters säkerhetsskydd, lämna råd kring säkerhetsskydd och att följa upp säkerhetsanalyser.
– Vi använder säkerhetsanalyser för att kunna göra prioriteringar t ex när något händer och för att kunna ge rätt stöd vid tillsyner och rådgivning.
Säkerhetsanalyser koncentrerar sig uteslutande på antagonistiska hot, att det finns en aktör och att det ska ha betydelse för rikets säkerhet eller skydd mot terrorism.
– En säkerhetsanalys kan med fördel utgöra en hemlig bilaga till en risk- och sårbarhetsanalys där risk- och sårbarhetsanalysen ska till MSB och säkerhetsanalysen ska delges Säkerhetspolisen om behovet uppstår.


Säpo har länge efterlyst en översyn av säkerhetsskyddslagstiftningen och den pågår nu.
– I översynen skulle jag vilja att det förtydligas att om till exempel en kommun i sin säkerhetsanalys kommer fram till att man inte har något av betydelse för rikets säkerhet inom ramen för sin kommunala verksamhet, då ska man inte heller behöva ha ett skydd som uppfyller de kraven. Säkerhetsåtgärder kan fortfarande krävas inom kommunen bara att de inte regleras inom säkerhetsskyddslagstiftningen.
De flesta kommunerna har kryptoutrustning godkända av Försvarsmakten. I dag anses det inte föreligga något krigshot mot Sverige och frågan är om det är nödvändigt att sitta med utrustning som aldrig används. Ofta är denna det enda skyddsvärda utrustning med hänsyn till rikets säkerhet.

 

Sociala medier är skarpt läge
Arkivering, bevarande och gallring. Det är knäckfrågorna för offentliga verksamheter som använder sociala medier enligt Cecilia Magnusson Sjöberg, professor i rättsinformatik vid Stockholms universitet. 

 

Cecilia Magnusson SjöbergDet är en väsensskillnad juridiskt mellan att ett företag etablerar sig på facebook och att en myndighet gör det. Sociala medier är inget man sköter vid sidan av.
– Hela det offentligrättsliga regelverket blir tillämpligt på all myndighetskommunikation och information, på facebook, när man twittrar eller bloggar. Varje inlägg från myndigheten är en upprättad offentlig handling och varje kommentar är en inkommen handling, säger Cecilia Magnusson Sjöberg.


Därför är nu knäckfrågorna arkivering och gallring.
– Vad är gallring på webben, på facebook sett i relation till arkivlagstiftning och metoder för bevarande? Är det gallring att ta bort ett inlägg i en dialog eller är gallring något som är mer myndighetsinternt? Riksarkivet arbetar med frågan och e-delegationens juristgrupp sliter sig i håret kring detta.


En annan sak hon uppmanar myndigheter att se upp med är medarbetarnas inställning till sociala medier. Det är viktigt att ha en myndighetsspecifik policy som tydliggör roller och ansvar.
– Vi kan inte stoppa tiden. Det är inte rimligt och förvänta sig en gemensam värdegrund internt, att ha samma inställning till den personliga integriteten, men man kanske ska bli lite striktare. Alla kanske inte kan företräda myndigheten fullt ut. Det är en otrolig skillnad på om jag skriver på myndighetens facebook-sida eller min privata blogg. Men det är inte lätt, man trillar hela tiden in i grundlagsfrågor som yttrandefrihet, säger Cecilia Magnusson Sjöberg.

 

 

27 punkter för bättre informationssäkerhet
MSB har tillsammans med de så kallade Samfi-myndigheterna tagit fram en nationell handlingsplan för samhällets informationssäkerhet.

 

Richard OehmePlanen innehåller 27 åtgärdspunkter, från att motverka och hantera allvarliga it-incidenter till att öka medvetenheten om informationssäkerhet.
Handlingsplanen är ett redskap för att förverkliga strategin för samhällets informationssäkerhet 2010-2015 som MSB tog fram på regeringens uppdrag. Den innehåller ett brett spektrum av åtgärder och riktar sig till alla aktörer i samhället som arbetar med informationssäkerhet i sin verksamhet.


– Vissa delar kanske kan få några att ställa frågan: vad innebär det här för oss och hur ska vi omsätta det här? Men det ni får är ramarna och vad vi på central nivå anser är väsentliga uppgifter och vad vi kommer att jobba hårt för att förverkliga. Det är en process som tar tid och vi ser framför oss en aktiv dialog med er. Vi ser ert arbete och stödet till er som det centrala att arbeta med, säger Richard Oehme, chef för enheten för samhällets informationssäkerhet på MSB.


Under konferensen tog Richard Oehme upp ett antal punkter i planen. Bland annat kravet på säkerhetsanalys när säkerhetsskyddsförordningen tillämpas.
– En extremt viktig sak som jag tror många ofta tappar bort. Här är det viktigt att ha en aktiv dialog med säkerhetspolisen och rikskriminalpolisen så den genomförs på ett riktigt sätt. Har man utsatts för ett brottsligt intrång ska det polisanmälas. Kompetensutveckling på alla områden är centralt.
– Förebyggande åtgärder för att öka säkerheten i elektronisk kommunikation är viktigt och PTS har gjort och gör ett stort arbete. IPv6 och DNSSEC är viktiga beståndsdelar. Ta detta på allvar!


En annan prioriterad fråga är ökad säkerhet i industriella styr- och kontrollsystem. Det kräver systematiskt arbete på alla nivåer eftersom stora delar av den industrin finns i det privata näringslivet.
– Var nogsamma i upphandlingsprocessen med vilka krav ni ställer. MSB kommer att arbeta för att ge er ytterligare verktyg, säger Richard Oehme.

 

 

”Ni köper dåliga grejer”

Idag har människor hela sitt liv på internet. Med det följer risken för sociala hot.
– Man riskerar att enligt den gängse vokabulären bli ”ägd” och problemet är att ni köper dåliga grejer. Ni betalar för tjänster, som när det väl smäller, visar sig att leverantören inte kan tillhandahålla, säger Stefan B Grinneby, CERT-SE på MSB
.

 

Stefan B GrinnebyMänniskor sköter bankaffärer och lagrar information om sig själv på nätet, bilder, har en blogg där man skriver om sina innersta tankar, visar alla sina vänner på Facebook, vad man åt till middag.
– Alltihop finns på nätet. Det har fört med sig nya hot och risker som man kanske inte tänker på. Ni som ansvariga för vad de människorna gör, har fått alla deras problem i knät i stället för bara de tekniska som IT-avdelningen kunde sköta. Nu har ni deras sociala problem i knät och det drar med sig sociala hot också.


Problemet enligt Stefan B Grinneby är att många köper program och tjänster som man vet har brister eller är omöjliga att kontrollera i förväg.
– Om ni köper en tjänst av någon på andra sidan Atlanten som har ett stort datacenter som står någonstans där elkraften är lite risig, vad har ni för möjlighet att kolla det i förväg? Ingen alls. Det här är ett hot ni måste möta, risken är stor. Hur mycket av er kritiska verksamhet som ni kör på programvaror ni inte har någon insyn i bestämmer ni själva, men det är ett konkret hot och det blir tyvärr inte bättre.

De som upptäcker problem i ett program och vill ha uppdateringar blir ibland varse att såna krav står inte högst på önskelistan hos leverantören. Det förekommer till och med hot om motåtgärder.
– Lösningen är att säkerhetsaspekterna kommer med i upphandlingen. I avtalen måste det vara tydligt att upptäckta säkerhetshål i produkterna ska lösas omgående.
Många har varken tid ork eller resurser för att driva igenom sina krav och här kan CERT-SE ge stöd.
– Vi tar på oss att hjälpa till att driva arbetet med att förmå leverantören att genomföra uppdateringar, säger Stefan B Grinneby.

 

 

Få myndigheter har gått över till IPv6


2013 ska alla myndigheter ha gått över till IPv6, det nya systemet för internetadresser. Hittills har bara omkring 30 gjort det.
– Pinsamt och frustrerande, säger IT-konsulten Torbjörn Eklöv
.

 

Torbjörn EklövDagens system, IPv4, klarar bara fyra miljarder adresser. Redan 1994 började det bli brist på adresser och nu är de i princip slut.
– De kan ta slut när som helst, i morgon eller i oktober, berättar Torbjörn Eklöv, som arbetat på uppdrag åt Post- och telestyrelsen, PTS, för att snabba på övergången till IPv6.


Regeringen har satt som mål att alla myndigheter ska ha gått över till IPv6 2013 och har gett PTS ett regeringsuppdrag att analysera läget och stödja en övergång, men det går minst sagt trögt. Knapp 30 statliga myndigheter har gjort det och tre kommuner, Edsbyn, Hagfors och Sandviken.
Okunskap är en förklaring till att övergången inte sker snabbare. Det finns till och med konsulter som avråder kunder att gå över.
– Många krånglar till det, det är inte ett rymdskepp som ska byggas. Det är en mindre process än man tror. Jag har aldrig sett krav på IPv6 i en upphandling. Kräv IPv6 i alla upphandlingar, uppmanar Torbjörn Eklöv.


En annan säkerhetshöjande åtgärd med samma problem är DNSSEC, ett säkrare sätt att göra uppslagningar på internetadresser och e-post.
– DNSSEC gör att domännamnsystemet blir mycket pålitligare när det kommer till informationens riktighet. Om du ställer en fråga till en DNS har du ingen aning om var svaret kommer från och om det är äkta. Med DNSSEC får du en signering som kan spåra svaret och veta att svaret kommer från den riktiga namnservern för domänen och har löst många säkerhetsproblem, säger Anne-Marie Eklund Löwinder, säkerhetschef på internetstiftelsen .SE.


E-delegationen uppmanade offentlig sektor att införa DNSSEC senast sommaren 2011. Även om det misslyckades ser det lite bättre ut än för IPv6. För att skynda på processen har kommuner nu fått möjligheten att utnyttja 2:4-anslaget för att införa DNSSEC.
– Vi tycker det är oerhört glädjande att man förstår att krishöjande åtgärder också krävs på internetrelaterade tjänster och inte bara fysiska åtgärder, säger Anne-Marie Eklund Löwinder.

 

Ny webbutbildning för mellanstadieelever

MSB har tagit fram en interaktiv webbutbildning i informationssäkerhet, ISA, för grundskolans årskurser 4 och 5.

 

Syftet med ISA, Informationssäkerhetsskolan, är att ger lärare stöd i deras arbete att uppfylla målen om säker informationshantering och att höja elevernas medvetenhet om sitt eget beteende och om de risker och konsekvenser som finns när de ska hantera sin digitala information.


– Från såväl lärare som föräldrar har vi sett ett ökat behov av att barn och ungdomar lär sig informationssäkerhet . Att lära sig att hantera information på ett säkert sätt borde idag vara en integrerad del i den tidiga it-användningen, säger Richard Oehme, chef enheten för samhällets informationssäkerhet på MSB.
ISA är kostnadsfritt och kräver inga förkunskaper i informationssäkerhet. ISA innehåller filmer, quiz, scenarier, lärarhandledning, faktafördjupning och ordlista och nås enkelt via MSB:s webbplats.
ISA är indelad i sex olika avsnitt som alla tar upp olika aspekter av informationssäkerhet:


• Viktig information
• Risker
• Skydda information
• Sprida information på internet
• Vem är vem på internet
• Sant och falskt på internet


ISA är framtaget i samråd med Skolverket, Datainspektionen, Statens medieråd, Post- och telestyrelsen samt ett antal grundskolor och lärare.