2015-09-11 1 2015-09-11 Ä R A R B E T E T M E D I N F O R M A T I ON S S Ä K E R H E T I D E N C I V I L A S T A T S F Ö R V A L T N I N G E N E F F E K T I V T ? 2 Informationssäkerhet – en utmaning för staten › › › › › E-förvaltning byggs ut raskt, men målkonflikt mellan tillgänglighet/funktionalitet och säkerhet Riskerna ökar, men har vi koll på dem? Redundans saknas ofta Statsförvaltningen mer sårbar En utmaning för staten 2015-09-11 1 2015-09-11 Ä R A R B E T E T M E D I N F O R M A T I ON S S Ä K E R H E T I D E N C I V I L A S T A T S F Ö R V A L T N I N G E N E F F E K T I V T ? 3 Tolv granskningar 2005–2007 › › › › › Elva myndigheter granskade var för sig Uppenbara brister i intern styrning och kontroll på myndigheterna Regeringens styrning av området granskades Regeringen brast i uppföljning Regeringen hade inte gjort tillräckligt för att förbättra förutsättningarna för myndigheterna 2015-09-11 Ä R A R B E T E T M E D I N F O R M A T I ON S S Ä K E R H E T I D E N C I V I L A S T A T S F Ö R V A L T N I N G E N E F F E K T I V T ? 4 Granskning 2014 › Inriktning regeringen och dess stödmyndigheter › Omfattande brister i informationssäkerheten – – – – – – Allvarliga brister i RSA Låg efterlevnad av LIS-föreskrifterna Skyddet motsvarar sällan skyddsvärdet Allvarliga brister i den mest skyddsvärda verksamheten Ingen aggregerad redovisning av bristerna Ingen obligatorisk incidentrapportering › Samlad slutsats: arbetet med informationssäkerhet inte ändamålsenligt sett till hot och risker 2015-09-11 2 2015-09-11 Ä R A R B E T E T M E D I N F O R M A T I ON S S Ä K E R H E T I D E N C I V I L A S T A T S F Ö R V A L T N I N G E N E F F E K T I V T ? 5 Granskning 2014 › › › › Att risker bedöms är en förutsättning för lämpliga skyddsåtgärder Kostnader för IT-incidenter är svårberäknade och oftast okända Myndigheternas risk- och sårbarhetsanalyser aggregeras inte till central nivå Myndigheterna genomför sina risk- och sårbarhetsanalyser på varierande sätt – svårt att jämföra och skapa helhetsbild › Kunskap saknas om läget, nödvändiga åtgärder och kostnader för skyddet – omöjligt väga säkerhetsbehov mot skyddsåtgärder 2015-09-11 Ä R A R B E T E T M E D I N F O R M A T I ON S S Ä K E R H E T I D E N C I V I L A S T A T S F Ö R V A L T N I N G E N E F F E K T I V T ? 6 Granskning 2015 › › › › › › Inriktning myndighetsnivån Följer upp de granskade myndigheterna från 2005–2007 Granskar den interna styrningen och kontrollen av informationssäkerhet på myndigheterna Granskar om regeringen följer upp intern styrning och kontroll Granskar myndigheternas rapportering till regeringen och hur regeringen hanterar det Undersöker kostnadsbilden 2015-09-11 3 2015-09-11 Ä R A R B E T E T M E D I N F O R M A T I ON S S Ä K E R H E T I D E N C I V I L A S T A T S F Ö R V A L T N I N G E N E F F E K T I V T ? 7 Granskning 2015 ● IT-brott › › › › › › Granskar hur polis och åklagare hanterar IT-brott och IT-relaterade brott IT har skapat nya modus och arenor för brott IT-brotten ökar och Sverige och EU är attraktivt som bas för att begå dessa brott De flesta brott skrivs av snabbt Få lagförs – uppklaringen endast 9 procent Polisen och Åklagarmyndigheten arbetar för att förbättra hanteringen – men det krävs mycket arbete för att nå dit 2015-09-11 Ä R A R B E T E T M E D I N F O R M A T I ON S S Ä K E R H E T I D E N C I V I L A S T A T S F Ö R V A L T N I N G E N E F F E K T I V T ? 8 Slutsatser › Informationssäkerhet – ett väsentligt område för staten och samhället › Erfarenheter från granskningarna visar att arbetet med informationssäkerhet inte är effektivt › Riksrevisionen fortsätter granska informationssäkerheten 2015-09-11 4