Bertil Bergkuist - Internetdagarna
Internetdagarna 2015 Är vi redo för molnet? TMALL 0141 Presentation v 1.0 Förändrad lagstiftning Förändrade förutsättningar TMALL 0141 Presentation v 1.0 Trafikverket – Vad är det ? Vi bidrar till samhällsutvecklingen 3 Vårt uppdrag • Ansvarar för långsiktig planering av transportsystemet för vägtrafik, järnvägstrafik, sjöfart och luftfart • Ansvarar för byggande, drift och underhåll av statliga vägar och järnvägar 4 Vår vision Alla kommer fram smidigt, grönt och tryggt 5 Snabba fakta om Trafikverket Generaldirektör Styrelse Nord Lena Erixon Mitt 6 300 anställda, 150 olika yrken Verksamhetsvolym år 2013 i kr Väst 50 000 000 000 Öst varav Investeringar Drift, underhåll och trafikledning Övrigt 6 21,5 miljarder 19,5 miljarder 9,0 miljarder Syd Stockholm Sveriges vägar och järnvägar 76 100 km enskilda vägar med statsbidrag 11 900 km järnvägsspår 560 stationer för påoch avstigning 41 färjeleder 16 000 broar (3 781 järnvägsbroar) 11 400 växlar 7 98 400 km statliga vägar 41 000 km kommunala gator och vägar En vanlig dag…. TMALL 0141 Presentation v 1.0 • • • • • • • • • 8 370 000 resenärer på järnväg Cirka 2 600 persontåg 4 500 000 personer åker bil 950 000 personer åker buss 900 000 personer cyklar 70 000 persontransporter via vägfärja 230 000 ton gods fraktas på väg 180 000 ton gods transporteras på järnväg 1 500 kunskapsprov - 1 200 körprov Trafikverket it i siffor • Trafikverket it har 1000 årsarbetskrafter • • 9 resurskonsulter inkluderat Budget på 2 miljarder/år (Budget för all it inom Trafikverket är betydligt högre) extern affär som levererar 300 miljoner kronor/år. Utmaning inom IT… en av många…. • Att tillhandahålla en fungerande ITinfrastruktur över hela Sverige, 24/7/365 10 1 572 km Principskiss över miljöer och informationsflöde – Nuläge Medborgare Operativamiljöer Externmiljö Kontorsnära HEMLIGmiljö 11 Processmiljöer Företag Principskiss över miljöer och informationsflöde – Nuläge Extern miljö Operativa miljöer Operativa- Medborgare Externmiljö miljöer Kontors nära Kontorsnära Processmiljöer HEMLIGmiljö 12 Processmiljöer Företag 13 Strategi för informations- och cybersäkerhet i staten • 14 http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf Strategi för informations- och cybersäkerhet i staten • 15 http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf Strategi för informations- och cybersäkerhet i staten • 16 http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf Strategi för informations- och cybersäkerhet i staten • 17 http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf Strategi för informations- och cybersäkerhet i staten • 18 http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf Strategi för informations- och cybersäkerhet i staten • 19 http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf Principskiss över miljöer och informationsflöde – Nuläge Medborgare Operativamiljöer Externmiljö Kontorsnära HEMLIGmiljö 20 Processmiljöer Företag SGSI – Konsekvens på informationsflöde – Steg 1 Medborgare Operativamiljöer Extern miljö Kontorsnära SGSI HEMLIGmiljö 21 Processmiljöer Swedish Government Secure Intranet Företag SGSI – Konsekvens på informationsflöde – Steg 2 Medborgare Operativamiljöer Extern miljö Kontorsnära SGSI HEMLIGmiljö 22 Processmiljöer Swedish Government Secure Intranet Företag SGSI – Konsekvens på informationsflöde – Steg 3 Medborgare Extern miljö Operativamiljöer Kontorsnära SGSI HEMLIGmiljö 23 Processmiljöer Swedish Government Secure Intranet Företag Remissvar SOU 2015:23 24 Betänkandet om ny Säkerhetsskyddslag (1) • http://www.regeringen.se/content/1/c6/25/59/71/85251044.pdf Hemliga uppgifter ersätts med säkerhetsskyddsklassificerade uppgifter. Det nya säkerhetsskyddet ska inte endast skydda säkerhetsskyddsklassificerade uppgifter. Skyddet ska även omfatta verksamheter i det något omständliga begreppet i övrigt säkerhetskänslig verksamhet. Tydlig utökning att i lagen även ta hänsyn till Sveriges Säkerhet med ett mycket bredare perspektiv jämfört med tidigare. 25 Betänkandet om ny Säkerhetsskyddslag (2) I övrigt säkerhetskänslig verksamhet kan även omfatta IT-system som är av central betydelse för ett fungerande samhälle. Det kan vara fråga om IT-system som styr viktiga samhällsfunktioner eller som hanterar information där informationens tillgänglighet eller riktighet är av kritisk betydelse för ett fungerande samhälle. Medför att betydligt mer inom Trafikverket kan komma att omfattas av krav på Säkerhetsskydd. 26 Betänkandet om ny Säkerhetsskyddslag (3) Begreppet informationssäkerhet behålls och är även en säkerhetsskyddsåtgärd. Den stora nyheten är att syftet i begreppet informationssäkerhet utökats till att även omfatta skadlig inverkan på informationstillgångar som avser säkerhetskänslig verksamhet. Medför att Informationssäkerhet och Säkerhetsskydd knyts hårdare samman i lagstiftning och att alla aspekter inom informationssäkerhet ingår. (Tidigare egentligen bara konfidentialitet) 27 Betänkandet om ny Säkerhetsskyddslag (4) Även ett IT-system som inte innehåller säkerhetsskyddsklassificerade uppgifter kan vara av sådan betydelse för verksamheten att systemet måste omfattas av ett säkerhetsskydd. Medför att även IT-system som inte naturligt kopplas till något ”känsligt” inom Trafikverkets verksamhet kan bedömas omfattas av krav på Säkerhetsskydd. 28 Betänkandet om ny Säkerhetsskyddslag (5) Utredningen har gett exempel på områden, verksamheter och funktioner som är av sådan karaktär att de skulle kunna omfattas av krav på skydd enligt säkerhetsskyddslagen. Av dessa bedöms nedanstående ha en direkt eller indirekt påverkan på Trafikverket : • • • • • • 29 Totalförsvaret Skydd mot olyckor Energiförsörjning Annan livsmedelsförsörjning Elektronisk kommunikation Transporter och kommunikation Betänkandet om ny Säkerhetsskyddslag (6) • Transporter och kommunikation är särskilt utpekat som en samhällssektorer med särskilt skyddsvärda funktioner Denna sektor avser transporter på land, till sjöss eller i luften som kan anses skyddsvärda. Till dessa räknas både själva färdmedlen, viktiga styrsystem och den infrastruktur som behövs för att transporterna ska fungera, t.ex. system för styrning av kritiska järnvägsväxlar. I sammanhanget bör beaktas att transporter är direkt eller indirekt beroende av el, både för själva transporten, för stödfunktioner och för transport av bränsle. 30 SGSI – Konsekvens på informationsflöde – Steg 2 Medborgare Operativamiljöer Extern miljö Kontorsnära SGSI HEMLIGmiljö 31 Processmiljöer Swedish Government Secure Intranet Företag Ny Säkerhetsskyddslag – Konsekvens Medborgare Operativamiljöer Extern miljö Kontorsnära Säkerhetsskyddsklassificerad miljö 32 SGSI Processmiljöer Swedish Government Secure Intranet Företag Ny Säkerhetsskyddslag – Konsekvens Extern miljö Operativa miljöer Operativa- Medborgare Extern miljö miljöer Kontors nära Kontorsnära Processmiljöer Säkerhetsskyddsklassificerad miljö 33 SGSI Processmiljöer Swedish Government Secure Intranet Företag Varför kan inte allt ligga i molnet ? • ”Verksamhetsnytta” och informationsklassning avgör var och på vilket sätt information kan hanteras. • Beroende på informationsklassning kan exempelvis säkerhetsskyddsavtal krävas vilket försvårar. • I händelse av kris eller omedelbar krigsfara kan lagstiftningar, förordningar eller vägledningar komma att behöva förändras. Verksamhet och information måste då kunna ”situations-anpassas”. • Svensk lagstiftning gäller inte utomlands och det är svårare för svenska myndigheter att bedöma säkerhetshot. • För att avgör vad ”molnet” kan göra för Trafikverket krävs analys av: – – – – 34 vad som inte kan… vad som inte bör… vad som kan… vad som ska… Detta är även något som ändras över tid…. Förnyad säkerhetsskyddsanalys HEMLIGmiljö Säkerhetsskydd Traditionella SGSI Swedish miljöer Government Secure Intranet 35 Traditionella miljöer Förnyad säkerhetsskyddsanalys SGSI Exempel 1 Säker hetsskydd Swedish Government Secure Intranet Traditionella miljöer SGSI Exempel 2 Exempel 3 36 Säkerhetsskydd Säkerhetsskydd Swedish Government Secure Intranet SGSI Swedish Government Secure Intranet Traditionella miljöer Traditionella miljöer Remissvar på SOU 2015:25 37 Försvarsberedningen 38 4.3 Cybersäkerhet (1) • Försvarsberedningen konstaterade i sin säkerhetspolitiska rapport Vägval i en globaliserad värld (Ds 2013:33) att utvecklingen av informationsteknologin utmanar många traditionella föreställningar om säkerhetspolitikens omfattning, aktörer och logik • …… • Försvarsberedningen konstaterar att Sveriges samlade förmåga att förebygga, motverka och aktivt hantera konsekvenserna av civila och militära hot, händelser, attacker och angrepp i cyberområdet måste öka. 39 Försvarspolitisk inriktningsproposition 2015 40 2.1. Militärstrategiskt läge Det säkerhetspolitiska läget har förändrats och försämrats efter händelseutvecklingen i Ukraina och det går inte med säkerhet att förutse alla dess konsekvenser. Den långsiktiga omvärldsutvecklingen omfattas därmed av betydande osäkerheter. Det kan dock konstateras att synen på Rysslands politiska intentioner och därmed även synen på den säkerhetspolitiska utvecklingen i närområdet är under förändring. Det går redan nu att indikera tre faktorer som kommer att påverka den fortsatta säkerhetspolitiska utvecklingen i närområdet: • den sänkta ryska tröskeln för användandet av militärt våld, • en ökad militär verksamhet i Östersjöområdet och • närområdets ökade militärstrategiska betydelse. 41 2.2. Förändrade metoder (1) • Den ökade ryska militära verksamheten i närområdet utgörs av ökad övningsverksamhet, tillförsel av mer och modernare materiel samt en ökad krigsplanläggning. Den ökande ryska militära verksamheten samordnas även med politiska, diplomatiska och ekonomiska påtryckningar. Effekten av dessa påtryckningar ökas genom att de stöds av påverkansoperationer, som syftar till att påverka svensk vilja att fullfölja den säkerhetspolitiska linjen. Påverkansoperationernas målsättning är att skapa en för Ryssland fördelaktig bild av skeendet i närområdet, dölja styrkor, svagheter och intentioner i sina operationer samt påverka svenska medborgare och beslutsfattare. 42 2.3. Konsekvenser för Försvarsmakten (2) • …… • För att uppnå en svensk systemkollaps slår en motståndare i ett andra skede i huvudsak mot kritiska sårbarheter, som i huvudsak utgörs av fast infrastruktur. Dessa kritiska sårbarheter utgörs av en stor andel civila mål, som kommer att påverka Försvarsmaktens förmåga att lösa sina uppgifter. Attackerna genomförs genom att alla tidigare nämnda förmågor samordnas för att uppnå den gynnsammaste effekten men även de traditionella faserna i en operation ingår och samordnas. Den tekniska utvecklingen har möjliggjort att dessa attacker inte alltid behöver ske från svenskt territorium, en motståndare behöver således inte behärska svenskt territorium för att kunna bekämpa svenska förband eller kritisk infrastruktur. 43 Stöd till Försvarsmakten – Primär verksamhet måste alltid fungera Medborgare Operativamiljöer Extern miljö Kontorsnära Säkerhetsskyddsklassificerad miljö 44 SGSI Processmiljöer Swedish Government Secure Intranet Företag Förordning (2006:942) om krisberedskap och höjd beredskap (1) Trafikverket är en myndighet med särskilt ansvar för Transporter enligt 11 §. Medför ett särskilt ansvar för att planera och vidta förberedelser för att skapa förmåga att hantera en kris och för att förebygga sårbarheter och motstå hot och risker. • … • 2. samverka med övriga statliga myndigheter, kommuner, landsting, sammanslutningar och näringsidkare som är berörda, • … • 5. beakta behovet av säkerhet och kompatibilitet i de tekniska system som är nödvändiga för att myndigheterna ska kunna utföra sitt arbete, • 6. beakta behovet av deltagande i det samhällsgemensamma radiokommunikationssystemet för skydd och säkerhet (Rakel) 45 Förordning (2006:942) om krisberedskap och höjd beredskap (2) Trafikverket är en myndighet med särskilt ansvar för Transporter enligt 18 §. Medför ett ansvar att vidta de förberedelser som krävs inom respektive ansvarsområde vid höjd beredskap. Dessa myndigheter skall särskilt • 1. planera för att kunna anpassa verksamheten inför en förändrad säkerhetspolitisk situation, • 2. genomföra den omvärldsbevakning och de risk- och sårbarhetsanalyser samt de utvecklingsinsatser som krävs för att myndigheten skall klara sina uppgifter vid höjd beredskap, • … 46 Stöd till Försvarsmakten – Primär verksamhet måste alltid fungera Medborgare Operativamiljöer Extern miljö Kontorsnära Säkerhetsskyddsklassificerad miljö 47 + annan kriskommunikation SGSI Processmiljöer Swedish Government Secure Intranet Företag Regeringens svar på Riksrevisionens rapport om informationssäkerhet i den civila statsförvaltningen. • http://www.regeringen.se/content/1/c6/25/61/17/8f5c28cd.pdf Här framgår även varför Trafikverket i regleringsbrev fått uppgift att särskilt beakta informationssäkerhet (Sista stycke sida 14): -” 5.Trafikverket ska i arbetet med 2015 års risk- och sårbarhetsanalyser särskilt beakta och analysera informationssäkerheten i de delar av verksamheten och i de tekniska system som är nödvändiga för att myndigheten ska kunna utföra sitt arbete. I detta arbete ska även informationssäkerheten inom myndigheten ansvarsområde beaktas och analyseras. Myndigheten ska redovisa en bedömning av informationssäkerheten samt vidtagna åtgärder.” 48 Personlig bedömning av framtiden…. Traditionella miljöer Säkerhetsskyddsklassificerad miljö 49 SGSI Swedish Government Secure Intranet Personlig bedömning ! Säkerhetsskyddsklassificerad miljö • Av Försvarsmakten godkänd miljö • Drift och servrar i egna datahallar eller hos andra myndigheter • Endast leverantörer med säkerhetsskyddsavtal • Engagemang övervägande av företag verksamma i Sverige Säkerhetsskyddsklassificerad miljö 50 Personlig bedömning ! SGSI – Swedish Government Secure Intranet • Av MSB ackrediterad miljö • Drift och servrar i egna datahallar, hos andra myndigheter eller hos Svenska företag • Engagemang övervägande av företag verksamma i Sverige • Europeiskt samarbete via EU:s säkra nätverk S-TESTA SGSI Swedish Government Secure Intranet 51 Personlig bedömning ! Traditionella miljöer Traditionella miljöer 52 • Drift och servrar i egna datahallar av system primära för Trafikverkets verksamhet • Ej primära system kan sourcas till leverantörer i Sverige eller EU. • Molntjänster kan nyttjas för system som är publika och ej väsentliga för Trafikverkets verksamhet. Alternativt kan molntjänster även nyttjas för att skala upp prestanda i primära system. • Nya Säkerhetsprodukter tillförs. • Engagemang av företag i Sverige/EU. Tänk på att…. • Molntjänster är både säkra och bra, förutsatt rätt krav och förväntningar • Affärsmodellen för molntjänster har dock ett motsatsförhållande som i vissa fall reda nu påverkar offentlig verksamhet, en påverkan som blir större framöver – Exempelvis medför föreslagna ändringar av lagstiftning att : • viss information sannolikt får en starkare koppling geografiskt till Sverige (Tillgänglighet - Säkerhetsskyddslag) • Viss information kommer att behöva hanteras med produkter som uppfyller kravställda säkerhetsprofiler som i nuläget inte stöds av molntjänster (Riktighet – Förordning informationssäkerhet) • Säkerhetsskyddsavtal behöver tecknas med molntjänstleverantörer vilket är en stor utmaning, en utmaning som dessutom blir större för leverantörer utanför Sverige 53 Användning av molntjänster inom Trafikverket underlättas om ….. • Utvecklad funktionalitet för ”Trafikverkets” behov enkelt kan hanteras och flyttas till olika ”miljöer”…. Säkerhetsskydd 54 SGSI Swedish Government Secure Intranet Traditionella miljöer Frågor ? Bertil Bergkuist IT-Säkerhetssamordnare [email protected] Direkt: 010-125 71 39 Trafikverket 172 90 Sundbyberg Besöksadress: Solna strandväg 98, 171 54 Solna Telefon: 0771-921 921 www.trafikverket.se 55
© Copyright 2024