Konferens om risk- och sårbarhetsanalyser Stockholm 4-5 maj 2015, World Trade Center RSA och informationssäkerhet Värdera och skydda verksamhetskritisk information i samhällsviktiga verksamheter – vikten av en god säkerhetskultur Tom Andersson, Enheten för systematiskt informationssäkerhetsarbete (SISA), MSB Förordning (2008:1002) med instruktion för MSB Informationssäkerhet 11 a § Myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till andra […] Myndigheten ska vidare svara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera IT-incidenter. Myndigheten för samhällsskydd och beredskap Verksamheten för samhällets informations- och cybersäkerhet (ICS) Verksamheten för samhällets informations- och cybersäkerhet Richard Oehme Strategiskt stöd Christina Goede Enheten för systematiskt informationssäkerhetsarbete Enheten för cybersäkerhet och skydd av kritisk informationsinfrastruktur Enheten för operativ cybersäkerhet och itincidenthantering Fia Ewald Åke Holmgren Ann-Marie Alverås Lovén Tom Andersson 3 Myndigheten för samhällsskydd och beredskap Syftet med föredraget Att stödja diskussion och korsbefruktning av RSA- och informationssäkerhetsarbetet Att ge en lägesbild över regelverk och myndighetsarbete, styrning och uppföljning, kring informationssäkerhetsfrågor och RSA Att problematisera informationssäkerhetsrisker som verksamhetsrisker och samhällsrisker, samt dataintrång- och it-haverier som potentiella orsaker, men i än högre grad den mänskliga faktorn Att motivera till regelbunden uppföljning och rapportering som stöd för både IS och RSA, inte till punktinsatser och projekt Att introducera MSB:s myndighetsstöd på området, men inte i detalj. Behoven varierar beroende på myndighet. Myndigheten för samhällsskydd och beredskap Upplägget för IS-passet (75 minuter) 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) 12) Tom Andersson, SISA och ICS i korta ordalag (2 minuter) Konferenspassets upplägg (3 minuter) Begreppsdefinitioner och illustrationer – ”informationssäkerhet”, ”cybersäkerhet”, ”incident” och ”risk” (5 minuter) Krisberedskapsförordningen, regleringsbrev 2015 och indikatorer i MSB:s RSA föreskrifter 2015 (5 minuter) Riksrevisionens granskningar och MSB:s uppföljningar (5 minuter) Metoder för systematiskt informationssäkerhetsarbete med särskild tonvikt på informationskartläggning och informationsklassning (10 minuter) Verksamhetsstyrning och uppföljning av informationssäkerhet – sammanfattning av SISA:s undersökningar (10 minuter) Informationssäkerhet i förra årets RSA från några myndigheter (5 minuter) Myndighetsplaner och aktiviteter för informationssäkerhet i RSA 2015 (5 minuter) MSB:s myndighetsstöd för informationssäkerhet i RSA (5 minuter) Avslutande reflektioner – vikten av samsyn på verksamhetsvärdet av information för god säkerhetskultur (5 minuter) Frågor och diskussion (15 minuter) Myndigheten för samhällsskydd och beredskap Informationssäkerhet ? Tillstånd som innebär skydd med avseende på konfidentialitet, riktighet, tillgänglighet och spårbarhet hos information Definition i MSB:s vägledning ”Informationssäkerhet i upphandling”: Skyddet bör omfatta verksamhetens informationsförsörjning och hantering i sin helhet, som verksamhetsprocesser, inte bara itsystem och nätverk. Myndigheten för samhällsskydd och beredskap Terminologi – SIS-TR 01:2015 / HB550 Konfidentialitet skydd mot obehörig insyn Riktighet skydd mot oönskad förändring Skydd mot obehöriga användare av it, system och nätverk är ledmotivet i denna och andra branschtexter. Tillgänglighet åtkomlighet för behörig person vid rätt tillfälle Fokus på intrångsskydd, ibland även driftsäkerhet, avseende it-system och elektroniska kommunikationer, utan helhetssyn på kvalitet och säkerhet (styrning) i informationshantering . Spårbarhet entydig härledning av utförda aktiviteter till en identifierad användare Information, roller och behörigheter antas mer eller mindre givna. Sällan tas hänsyn till verksamhetsprocesser och användare i säkerhetsdesign. Myndigheten för samhällsskydd och beredskap Informationssäkerhet Verksamhetsmål för informationshantering Konfidentialitet Riktighet Tillgänglighet Spårbarhet Informationshantering, försörjning och delning MTO och MDI Styrning och uppföljning Inte primärt lagkrav på sekretess. Inte primärt tekniska krav på system och nätverk. Informationssystem Formella språk Automatiska processer Informationsteknik Infrastruktur Myndigheten för samhällsskydd och beredskap Incidenter och risker av relevans för informationshantering Omoget kunskapsområde, många oklara begrepp – it/cyber-/informations(säkerhets)incidenter/risker Incidenter (risker) av relevans inkluderar alla slags (potentiella) målavvikelser i informationshantering avseende informationens konfidentialitet, riktighet, tillgänglighet eller spårbarhet. Konsekvenser kan vara förluster i hälsa, pengar, förtroende, social stabilitet., med mera. Myndigheten för samhällsskydd och beredskap Dataintrång och it-haverier – ett snävt riskperspektiv Över häften av de värsta incidenterna beror på mänskliga fel och felaktig användning av system, e-post och internet. Sju av tio offentliggör inte värsta incidenten. Information Security Breaches Survey 2014 Risk för bias. Större intresse att skylla på externa attacker än egna fel och brister. Jmf. Im, G. P., & Baskerville, R. L. (2005). A longitudinal study of information system threat categories: the enduring problem of human error. ACM SIGMIS Database, 36(4), 68-79. Figur i “Markets for Cybercrime Tools and Stolen Data”, RAND National Security Research Division CC BY-NC 3.0 — David McCandless © 2013s http://www.informationisbeautiful.net/ 10 Myndigheten för samhällsskydd och beredskap IS-incidenter och risker förutsätter generellt ett verksamhetsperspektiv. För andra incidenter och risker är utfallet långt mer komplext och måste förstås utifrån verksamheten eller organisationen ifråga. Vän eller fiende? Tekniskt fel eller mänsklig faktor? Vinster eller förluster? Avsiktlig handling I ett massmedialt perspektiv ter sig förluster av it-attacker och it-haverier entydiga, i likhet med materiella olyckor och fysiska skador. Oavsiktlig händelse Globala konsekvenser Samhälls- eller marknadsförluster? Verksamhetsperspektivet är A och O för riskanalys. Lokala konsekvenser Myndigheten för samhällsskydd och beredskap Lagkrav på styrning och uppföljning av informationssäkerhet Aktuella föreskrifter på området betonar risk- och incidenthantering i ett verksamhetsperspektiv, inte krisberedskap i ett samhällsperspektiv. Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, itverksamhet och insättningssystem Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården Myndigheten för samhällsskydd och beredskap MSB:s uppföljning av föreskrifter Policy och styrande dokument 84 % av myndigheterna har en informationssäkerhetspolicy Ÿ 26 % av myndigheterna kontrollerar inte efterlevnaden, om riktlinjer följs av medarbetarna. Informationsklassning Ÿ 67 % av myndigheterna har en informationsklassningsmodell. Ÿ 41 % av myndigheterna uppger att det inte är tydligt uttalat vem som ansvarar för att informationsklassning genomförs. Riskanalys och dokumentation Ÿ 78 % av myndigheterna har en metod för riskanalys. 35 % av myndigheterna saknar uttalat Ÿ ansvar för vem som ska initiera riskanalyserna. Kontinuitetsplanering 65 % av myndigheterna saknar en Ÿ kontinuitetsplan. Egna personliga reflektioner Existensen av riktlinjer, modeller och metoder säger inget om arbetet och dess kvalitet i praktiken. Så länge styrning och uppföljning brister förblir lägesbilder och hotbilder spekulativa. Myndigheten för samhällsskydd och beredskap Nyckelord i Socialstyrelsens beslut om informationssäkerhet 2011 Nyckelord av relevans för tillsynsområdet Antal Patientuppgift 57 Verksamhet 54 Behörighet 41 System 41 Rutin 39 Journal 36 Drift 28 Ansvar 25 Fax 25 Information 24 Myndigheten för samhällsskydd och beredskap Sparsamt om ”riktighet” och ”spårbarhet”, jmf med ECRI:s riskbedömningar ECRI Top Patient Safety Concerns for 2014 (topp 3 av 10) ECRI Top Health Technology Hazards for 2015 (topp 3 av 10) 1. Data integrity failures with health information technology systems 1. Alarm Hazards 2. Poor care coordination with patient’s next level of care 3. Test results reporting errors 2. Data Integrity: Incorrect or Missing Data in EHRs and Other Health IT Systems 3. Mix-Up of IV Lines Leading to Misadministration of Drugs and Solutions Handlar det om nationella skillnader i risker eller riskhantering? 15 Myndigheten för samhällsskydd och beredskap Riksrevisionens granskning (2014:23) Granskningen svarar på två frågor: Är regeringens styrning av Ÿ informationssäkerhet i den civila statsförvaltningen effektiv? Har regeringens stöd- och tillsynsmyndigheter vidtagit tillräckliga åtgärder för att informera sig och regeringen om vilka hot som finns mot den civila statsförvaltningen, i vilken omfattning de realiseras och vilka skyddsåtgärder som vidtas? Riksrevisionens granskning har visat att regeringen inte utövat en effektiv styrning av informations-säkerheten i den civila statsförvaltningen och regeringens stöd- och tillsynsmyndigheter endast delvis har vidtagit nödvändiga åtgärder för att informera sig och regeringen om vilka hot som finns mot den civila statsförvaltningen […] Arbetet med informationssäkerheten inte är ändamålsenligt sett till de hot och risker som finns. Hur kan vi veta det? Myndigheten för samhällsskydd och beredskap Grundproblemet är bristfällig styrning och uppföljning (tabeller i RIR 2014:23). Myndigheten för samhällsskydd och beredskap Metoder för säkerhetsarbetet Metoder för systematiskt säkerhetsarbete i samhällsviktig verksamhet (SSV) Övergripande styrning, policy och resurser Kontinuitetshantering Riskhantering Händelsehantering Metoder för systematiskt informationssäkerhetsarbete (SISA) Ledningssystem (riktlinjer, kontroller och uppföljning) Informationsklassning Riskanalys Kontinuitetsplanering Incidenthantering Myndigheten för samhällsskydd och beredskap Informationsklassning – ny vägledning på G från MSB/ROS/ICS/SISA Identifiera Klassa Välja skyddsnivå Myndigheten för samhällsskydd och beredskap IS förutsätter verksamhetsanalyser och prioriteringar av processer (funktioner) Säkerhetsarbetet bygger på att något är skyddsvärt. Ytterst rör det sig om värden som liv och hälsa, demokrati och kapital/resurser. Verksamhet med ansvar för att upprätthålla och skydda dessa värden kan sägas vara samhällsviktiga. All verksamhet rymmer mer eller mindre verksamhetskritiska processer (funktioner). Allvarliga störningar av kritiska funktioner kan hota verksamhetens fortlevnad och därmed även de värden som ska skyddas. Myndigheten för samhällsskydd och beredskap Illustration av verksamhetsprocesser och kritisk information Värna demokratin Tillgodose behovet av utbildning Tillgodose behovet av vård och sociala tjänster Huvudprocesser i Eskilstuna Tillgodose behovet av kultur och berikande fritid Äldrevård Larm Kritiska info-funktioner (eget tillägg) Tillgodose miljö- och samhällsbyggnadsarbete Vattenförsörjning Indikator Bedriva samhällsskydd och säkerhetsarbete Räddning VMA Främja näringsliv och arbete Myndigheten för samhällsskydd och beredskap Informationskartläggning – information kontra informationsbärare Verksamhetskritisk information (funktion) är detsamma som it-system. Ett system kan tjäna många funktioner. Flera system kan tjäna en funktion. Myndigheten för samhällsskydd och beredskap Informationsklassningsmatris Aspekt Konfidentialitet Riktighet Tillgänglighet Spårbarhet Konsekvens Rikets säkerhet Mycket allvarlig Allvarlig Lindrig Öppen info Myndigheten för samhällsskydd och beredskap Normskala för verksamhetens konsekvensanalys av potentiella incidenter Mycket allvarliga konsekvenser • Äventyrar liv och hälsa, Förödande för organisationens verksamhet, Olagligt, Bryter allvarligt avtalsförhållanden, Avgörande för organisationens trovärdighet, Mycket stor ekonomisk påverkan, Mycket stor påverkan på personal Allvarliga konsekvenser • Kan leda till personskada, Långa och allvarliga avbrott i verksamheten, Gråzonen för som är lagligt, Påverkar möjligheten att leva upp villkor i avtal, Kan hota organisationens trovärdighet, Har stor ekonomisk påverkan, Stor påverkan på personal, Lindriga konsekvenser • Mindre avbrott i verksamheten (del eller delar av), Kan påverka organisationens trovärdighet, Viss ekonomisk påverkan, Liten personell påverkan Myndigheten för samhällsskydd och beredskap Verksamhetens informationsklassning klargör skyddsvärden och målbilder. Målbilder Myndigheten för samhällsskydd och beredskap Informationsklassning och riskanalys Informationsklassning är en form av konsekvensoch riskanalys i verksamheten som syftar till prioriteringar av säkerhetsarbetet. Utgångspunkten är skyddsvärden i en verksamhet, till skillnad från riskanalyser där hotbilder ofta är utgångspunkten. I likhet med riskanalyser görs dock en bedömning av rimligheten i konsekvenser, till skillnad från konsekvensanalyser i kontinuitetshantering där värsta tänkbara scenario betonas. Myndigheten för samhällsskydd och beredskap Informationsstyrning och uppföljning i läkemedelskedjan 27 Myndigheten för samhällsskydd och beredskap Sjukhusapoteket VGR – systemöversikt för läkemedelsrekvisition 28 Myndigheten för samhällsskydd och beredskap Utan tydliga och samordnade målbilder, höga verksamhetsrisker med systemutveckling. Hur ska ett serviceavtal med en leverantör se ut? För Apoteket AB/RGL gäller ett leveranskrav på 24timmar efter mottagen beställning. Avtalet mellan VGR och Apoteket AB reglerar en servicenivå på 98 procent under ett år. I teorin är det möjligt med ett leveransstopp på 10,2 dygn utan att det bryter mot avtalet. 29 Myndigheten för samhällsskydd och beredskap Styrning och uppföljning En stor mängd litteratur om metrik i teorin (standarder). Information Security Metrics State of the Art. DSV Report series No 11-007. Mar 25, 2011. http://www.divaportal.org/smash/get/diva2:469570/FULLTEXT01.pdf Mer sällsynt med litteratur om praxis om uppföljning och rapportering. Uppföljning av informationssäkerhet i vården. Rapport Msb820. http://rib.msb.se/Filer/pdf%5C27547.pdf Studier indikerar att uppföljning och rapportering av informationssäkerhet är eftersatt. Baker, W. H., & Wallace, L. (2007). Is information security under control? Investigating quality in information security management. Security & Privacy, IEEE, 5(1), 36-44. Kwon, J., & Johnson, M. E. (2013). Security practices and regulatory compliance in the healthcare industry. Journal of the American Medical Informatics Association, 20(1), 44-51. Föreskrifter, riktlinjer och rutiner motiverar inte till någon systematik i rapportering och därmed inte heller i uppföljning. Myndigheten för samhällsskydd och beredskap Effektivitet förutsätter både målvärden och resultatmätning. Loggrutin Effektivitet Ett slumpmässigt urval om 10% av behörig personal, en gång per månad, för kontroll av åtkomst till journaler under en slumpmässig dag denna månad. Om ”jag” gör dataintrång varje arbetsdag under hela året är sannolikheten för att undgå upptäckt under ett helt år 0.28 (=0.912). Om ”jag” gör ett enda dataintrång under ett helt år är sannolikheten för att undgå upptäckt 0.995 (=0,9+0.1*20,43/21,43) Då är inget nämnt om obehöriga som ändå har ”behörighet”, t.ex. it-personal. Myndigheten för samhällsskydd och beredskap Informationssäkerhetsrisker följer av osäker informationshantering. Informationssäkerhet Läkemedelshantering Patientsäkerhet Myndigheten för samhällsskydd 32 och beredskap Utbrott av meningit och andra infektioner Orena steroidinjektioner från New England Compounding Center (NECC) (jämför APL) till 14 000 patienter 751 fall och 64 döda September-december 2012 Källa: CDC 2013 Senate Appropriations Committee Direct FDA to Meet With Doctors, Patients, Pharmacists on Compounding Law (2014) Amerikanska kongressens utskott för energi och handel: “FDA's Missed Opportunities to Protect Public Health” (2013) […] doctors, patients, providers, and whistleblowers tried to warn FDA for years that NECC and Ameridose were operating […] without patient prescriptions […] about sterility and safety issues […] FDA chose not to act. Länk: http://energycommerce.house.gov/press-release/committee-report-meningitis- “The purpose of the compounding law is to end confusion and improve communication so we can help prevent another tragic meningitis outbreak. If FDA isn’t sitting down with doctors, patients and pharmacists and communicating how it is implementing the law, then I will stay on FDA until it does.” – Lamar Alexander Länk: http://www.help.senate.gov/newsroom/press/release/?id=d840c1ed-900a48b4-b98e-f13877fed770 outbreak-chronicles-fdas-missed-opportunities-to-protect-public-health Myndigheten för samhällsskydd 33 och beredskap Oklar incident- och riskrapportering – ett undantag som bekräftar regeln på säkerhetsområdet Urvalskriterier för global analys av strömavbrott fler än 1000 drabbade längre än 1 timme Antal drabbade x avbrottets varaktighet > 1 miljon person-timmmar Resultat: 133 avbrott Bompard, E., Huang, T., Wu, Y., & Cremenescu, M. (2013). Classification and trend analysis of threats origins to the security of power systems. International Journal of Electrical Power & Energy Systems, 50, 50-64. Myndigheten för samhällsskydd och beredskap Oklar incident- och riskrapportering – ett undantag som bekräftar regeln på säkerhetsområdet Bompard, E., Huang, T., Wu, Y., & Cremenescu, M. (2013). Classification and trend analysis of threats origins to the security of power systems. International Journal of Electrical Power & Energy Systems, 50, 50-64. Myndigheten för samhällsskydd och beredskap It-haverier i vården – incidentstatistik och analys i Kina, men inte i EU Lei, J., Guan, P., Gao, K., Lu, X., Chen, Y., Li, Y., ... & Zheng, K. (2014). Characteristics of health IT outage and suggested risk management strategies: An analysis of historical incident reports in China. International journal of medical informatics, 83(2), 122-130. Myndigheten för samhällsskydd och beredskap Förordning (2006:942; 2008:1003) om krisberedskap och höjd beredskap Förordningen innebär en explicit koppling mellan verksamhetsrisker och krisberedskap. 30 § Varje myndighet ansvarar för att egna informationshanteringssystem [betoning eget tillägg] uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. Därvid ska behovet av säkra ledningssystem särskilt beaktas. Myndigheten för samhällsskydd och beredskap MSB:s föreskrifter och allmänna råd om risk- och sårbarhetsanalyser Indikatorer för bedömning av statliga myndigheters generella krisberedskap 19. Myndigheten hanterar information säkert. Systematiskt säkerhetsarbete bedrivs i enlighet med MSB:s föreskrifter (MSBFS 2009:10) om statliga myndigheters informationssäkerhet. 20. Myndigheten har rutiner för att identifiera och hantera kritiska beroenden till system och tjänster för informationshantering som är av central betydelse för myndighetens verksamhet. 21. Myndigheten ställer krav på informationssäkerhet när informationshantering upphandlas av en extern leverantör. Myndigheten för samhällsskydd och beredskap Regleringsbrev 2015 [Myndigheten] ska i arbetet med 2015 års risk- och sårbarhetsanalyser särskilt beakta och analysera informationssäkerheten i de delar av verksamheten och i de tekniska system som är nödvändiga för att myndigheten ska kunna utföra sitt arbete. I detta arbete ska även informationssäkerheten inom myndighetens ansvarsområde beaktas och analyseras. Myndigheten ska redovisa en bedömning av informationssäkerheten samt vidtagna åtgärder. Redovisningen ska vara en del av den sammanställning som görs i arbetet med risk- och sårbarhetsanalyser enligt 9§ förordningen (2006:942) om krisberedskap och höjd beredskap. Myndigheten för samhällsskydd och beredskap Informationssäkerhet i förra årets RSA – PTS i en klass för sig Ingen nämner några konkreta mål eller resultat med utgångspunkt i informationsklassning. Noteringar om PTS RSA 2014 I första hand tillgänglighetsfrågor i ett samhällsperspektiv. ”Informationssäkerhet” handlar inte bara om dataintrång. Även tillgänglighetsfrågor faller under paraplyet. Verksamhetens informations-hantering (PTS) tillkommer i årets RSA. https://www.pts.se/sv/Dokument/Rapporter/Telefoni/2014/Risk--ochsarbarhetsanalys-for-sektorn-elektronisk-kommunikation---PTS-ER-201428/ Myndigheten för samhällsskydd och beredskap PTS om avbrott till följd av programvarufel – hög samhällsrisk Myndigheten för samhällsskydd och beredskap PTS om informationssäkerhetshot – låg samhällsrisk för påverkan på ekommunikationer Myndigheten för samhällsskydd och beredskap RSA-planer och aktiviteter 2015 E-postförfrågan om planer och aktiviteter till 45 myndigheter varav 21 länsstyrelser (13 april) Några exempel på svar SVK: riskanalyser av styr- och kontroll-system för drift /produktion PTS: utvidgar RSA till egen verksamhet Strålsäkerhetsmyndigheten: planering utifrån informationsklassning Inventering och analys av kritiska system präglar aktivitetsplaner som generellt sett är i sin linda. Folkhälsomyndigheten: koppling av IS till samhällsviktig verksamhet Försäkringskassan: IS i intern styrning och kontroll Samordnade länsaktiviteter: metodstöd och enkät till kommuner Sjöfartsverket: systemsäkerhetsanalyser Trafikverket: gapanalys och summering av det löpande arbetet Efter påminnelse svar från 37 myndigheter, varav 19 länsstyrelser. Myndigheten för samhällsskydd och beredskap Länsstyrelsernas planer och aktiviteter Länsstyrelsernas samordnar till viss del arbetet. Länsstyrelsens metodstöd (utkast) Kontinuitetsprojekt Krav på webbtjänster Kritiska system Komptensutveckling Status på ledningssystem Metodstöd för informationssäkerhet och samhällsviktig verksamhet Enkät till kommuner Kontaktperson: Torbjörn Westman, Västernorrland Myndigheten för samhällsskydd och beredskap MSB:s vägledning Regleringsbrevsuppdrag: Informationssäkerhet i RSA Principer, metod, rapportering I denna vägledning beskrivs MSB:s tolkning av uppdraget och mot bakgrund av denna myndighetens syn på: fokusområden i regleringsbrevsuppdraget lämpliga arbetssätt och metoder samt sätt på vilket redovisningen av analysens resultat kan ske. Tre fokusområden: Hot, risker, kritiska beroenden, sårbarheter och åtgärder rörande informationssäkerhet inom myndighetens verksamhet, tekniska system och ansvarsområde Myndigheten för samhällsskydd och beredskap Redovisningsformer och förslag till metod – sex workshops per fokusområde (W3) MSB tolkar regeringens inriktning att redovisning ska ske enligt föreskriven disposition (MSBFS 2015:3). Sju bilagor med mallar som stöd för följande metodförslag. Fas 0: Formering av arbetsgrupper Fas I: Identifikation Steg I – Kontext (W3) Steg II – Inventering (W3) Steg III – Klassning (W3) Resultat: en lista med klassningar per fokusområde Fas II: Analys Steg I – Identifikation/analys av hot, risker, sårbarheter och kritiska beroenden (W3) Resultat: en lista med säkerhetsproblem per fokusområde Steg II – Identifikation och analys av åtgärder (W3) Resultat: en lista med åtgärder per fokusområde Fas III: Bedömning Steg I – Sammanställning Steg II – Bedömning (W3) Myndigheten för samhällsskydd och beredskap Avslutande reflektioner Oberoende eller separata analyser av verksamhet och tekniska system (administrativ och teknisk säkerhet) väcker frågor om samordning av risk-och åtgärdsprioriteringar. I praktiken lär det ske prioriteringar. Effektivisering lär ske genom rutinmässig tillämpning av systemsäkerhetsperspektivet. Styrning och uppföljning av informationshantering, kvalitet och säkerhet, riskmedvetenhet och säkerhetskultur, lär förbli lågprioriterade frågor och problem. Myndigheten för samhällsskydd och beredskap Definition av ”kultur” Culture is a pattern of basic assumptions – invented, discovered, or developed by a given group as it learns to cope with the problems of external adaptation and internal integration – that has worked well enough to be considered valid, and therefore, to be taught to new members as the correct way to perceive, think and feel in relation to these problems. Schein, Edgar H 1985, 'Organisational Culture and Leadership', John Wiley & Sons. Myndigheten för samhällsskydd och beredskap Vad prioriterar vi? Samsyn på hotbilder eller verksamhetsnytta? Risker formuleras ofta i termer av attacker mot system och nätverk, snarare än verksamhetsstörningar och konsekvenser. Verksamhetsperspektivet uteblir. Det gör riskbedömningar spekulativa. Källa: Tatar, U., & Karabacak, B. (2012, June). An hierarchical asset valuation method for information security risk analysis. In Information Society (i-Society), 2012 International Conference on (pp. 286-291). IEEE. Myndigheten för samhällsskydd och beredskap Hot (faror) definierar i sig ingen risk. Forces of Nature (fire, flood, earthquake, lightning) Act of Human Error or Failure (accidents, employee mistakes) Quality of Service Deviations from Service Providers (power and WAN service issues) Technical Hardware Failures or Errors (equipment failure) Technical Software Failures or Errors (bugs, code problems, unknown loopholes) Technological Obsolescence (antiquated or outdated technologies) Compromises to Intellectual Property (piracy,copyright infringement) Deliberate Acts of Espionage or Trespass (unauthorized access and/or data collection) Deliberate Acts of Information Extortion (blackmail of information disclosure) Deliberate Acts of Sabotage or Vandalism (destruction of systems or information) Deliberate Acts of Theft (illegal confiscation of equipment or information) Deliberate Software Attacks (viruses, worms, macros, denial of service) Källa: Tatar, U., & Karabacak, B. (2012, June). An hierarchical asset valuation method for information security risk analysis. In Information Society (i-Society), 2012 International Conference on (pp. 286-291). IEEE. Myndigheten för samhällsskydd och beredskap 341 företagschefer om informationsrisker och värden 51 Myndigheten för samhällsskydd och beredskap Bias i riskuppfattningar – risk beroende av ansvar och roller Så länge det inte finns någon samsyn på informationstillgångar och deras värde lär det inte heller finnas någon samsyn ifråga om risker på området. Myndigheten för samhällsskydd och beredskap Värdegemenskap och säkerhetskultur Informationshantering i praktiken definierar till stor del vad som menas med säkerhetskultur – medarbetarnas beteendemönster som riskfaktor. Mot den bakgrunden framstår någon form av samsyn på informationsvärden som en nödvändig komponent för god säkerhetskultur och därmed för god säkerhet. Utan värdegemenskap är effektiviteten i säkerhetsriktlinjer och rutiner en öppen fråga. Så även effektiviteten i tekniska säkerhetsåtgärder. Myndigheten för samhällsskydd och beredskap Tack [email protected] (IS i MSB:s RSA) [email protected] (regeltolkning) [email protected] (metodstöd) [email protected] (enhetschef SISA) [email protected] (kunskapsförsörjning SISA)
© Copyright 2024