Kan ett statligt ägt moln säkra svenska folkets data?

Idag genomfördes ett seminarium på Internetstiftelsen med rubriken ”Kan ett statligt ägt moln säkra svenska folkets data?” Lokalen var till brädden fylld och det var många som inte fick sittplats.

Arrangören hade förberett tio viktiga frågor kopplade till rubriken varav flera hade direkt bäring på totalförsvaret t.ex:

  • Hur ska den IT-beroende statens förmåga upprätthållas i kristider?
  • Hur ska offentlighets- och sekretesslagen upprätthållas i molntjänster?
  • Hur ska hemliga handlingar förbli hemliga i en molntjänst?

På scenen fanns ett flertal experter från så väl offentlig sektor som från näringslivet, t.ex:

  • Daniel Melin, utredningssekreterare i Statens servicecenters utredning om en statlig molntjänst
  • Anne-Marie Eklund Löwinder, säkerhetschef, Internetstiftelsen i Sverige
  • Karl Ekman, Statens inköpscentral vid Kammarkollegiet

Allt mer data från våra liv förvaras i molnet, den typ av tjänster som använder internet och storskaliga datacenter för att lagra och göra vår information tillgänglig. Framstegen inom molnteknik har gjort det enkelt och billigt att förvara snabbt växande mängder data och göra den tillgänglig för oss när vi behöver den.

Men den mycket positiva utvecklingen har också fört med sig allt mer högljudda frågetecken kring säkerhet och integritet. Både experter och vanliga medborgare börjar i allt högre utsträckning kräva svar på hur det påverkar oss att våra företag, myndigheter och medborgare förvarar vår kritiska data på olika platser runt om i världen, långt bortom vår kontroll.

Vi har också sett ett antal skandaler där myndigheter köpt lösningar som inneburit att kritisk och i en del fall sekretessbelagd data förvarats utanför Sveriges gränser av privata företag med anställda som inte genomgått nödvändiga bakgrundskontroller. Efter dessa skandaler börjar allt fler se molntjänster som en del av vårt lands kritiska infrastruktur och som en viktig pusselbit i frågor som rör både rikets och medborgarnas säkerhet.

Med en svensk molntjänst, baserad på öppen källkod, skulle vi kunna hantera vår kritiska data utan att vara beroende av globala storföretag. Nycklarna till molnet skulle då innehas av staten och medborgarna vilket borgar för en hög tillförlitlighet.

En av slutsatserna var att det är långt ifrån säkert att staten kan skydda medborgarnas data bättre än privata sektorn. I så fall bör man plocka ut det allra mest skyddsvärda och utgå från det men låta mindre känslig information fortfarande hanteras i tjänster som levereras av t.ex. utländska leverantörer.

Det konstaterades också att dagens höga interdependens innebär att det inte alls är säkert att vare sig centralisering eller decentralisering är lösningen på skyddsfrågan. Därmed är det lite oroande att inriktningen är att staten skall minska antal datacenter  från dagens 200 till ca 20. Den styrningen är inte genomtänkt eftersom den enbart ser till kostnadsrationalitet men inte till helheten. Det kan visa sig att besparingen äts upp av en rad kostnadsdrivande skydds- och redundanslösningar.

Helt klart är att outsourcing och hög exponering mot utländska tjänsteleverantörer är under granskning, något som även berör amerikanska leverantörer med hänvisning till ”the Patriot act”.

 

 

Säkerhetspolisen och Försvarsmakten får rätt att stoppa upphandlingar

Från och med i dag är statliga myndigheter skyldiga att samråda med Säkerhetspolisen och Försvarsmakten inför utkontraktering av viss säkerhetskänslig verksamhet. Det här tillvägagångssättet förstärker skyddet av de mest skyddsvärda verksamheterna i samhället.

De nya bestämmelserna som träder i kraft i dag medför att myndigheter som planerar att inleda en upphandling som innebär krav på säkerhetsskyddsavtal blir skyldiga att samråda med Säkerhetspolisen och Försvarsmakten innan en upphandling påbörjas. Skyldigheten gäller om en framtida leverantör kan få tillgång till eller möjlighet att förvara hemliga uppgifter utanför myndighetens lokaler. Flera hundra upphandlingar per år kommer nu att genomgå en mer rigorös kontroll.

Säkerhetspolisen och Försvarsmakten får förelägga myndigheten som ska utkontraktera verksamhet att vidta åtgärder för att säkerställa säkerhetsskyddet i sådana situationer. Om ett föreläggande inte följs eller om säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas får Säkerhetspolisen eller Försvarsmakten besluta att myndigheten inte får genomföra upphandlingen.

De nya bestämmelserna gäller från den 1 april 2018.

Säkerhetspolisens pressmeddelande: http://www.sakerhetspolisen.se/ovrigt/pressrum/aktuellt/aktuellt/2018-03-28-sakerhetspolisen-far-nytt-uppdrag-inom-sakerhetsskydd.html

Medvetandehöjning kring terrorism

Terrorhotnivån mot Sverige befinner sig på nivå 3, ”förhöjt hot”. Det innebär att ett attentat kan ske. Polisen har därför tagit fram ny information kring hur allmänheten kan agera, om ett attentat, mot all förmodan, skulle ske.

I Sverige och i vår omvärld har det genomförts attentat som riktats mot och drabbat allmänheten. Sannolikheten att en enskild individ drabbas av ett terrorattentat är låg, men konsekvenserna kan vara mycket allvarliga.

Terrorhotnivån i landet bedöms av NCT, nationellt centrum för terrorhotbedömning, och sedan 2010 ligger Sverige på nivå 3 (av 5), vilket innebär en ”förhöjd” terrorhotnivå.

– Det är viktigt att vara förberedd, om man, mot förmodan, skulle drabbas, eller befinna sig i närheten av ett terrorattentat. För att vi gemensamt ska minska konsekvenserna av ett attentat vill vi från polisen därför ge följande råd och rekommendationer, säger Jonas Hysing, chef nationella taktiska rådet, Noa.

Fly: (om du kan)

Lämna platsen om du har möjlighet. Sätt dig själv i säkerhet. Allmänheten och du själv är en måltavla. Ta för vana att till exempel notera nödutgångar.

Sök skydd: (håll dig dold om du inte kan fly)

Om du inte kan lämna området, sök upp en plats som du bedömer vara säker och som ger dig skydd. Var uppmärksam på det du ser och hör. Slå av ljudet på din telefon och ring inte i onödan till personer som kan befinna sig i riskområdet.

Larma:

Det är polisens uppdrag att avbryta ett pågående attentat. Ring 112 så fort du får möjlighet. Vi behöver veta platsen, vad som har hänt, hur många gärningsmän du har sett, vilka vapen de använt, hur de ser ut och var du senast såg dem.

Följ myndigheternas uppmaningar. När polisen kommer till platsen, se till att du inte kan misstas för att vara gärningsman – håll därför inget i händerna.

Var förberedd på att ytterligare attentat kan ske.

Källa: https://polisen.se/aktuellt/nyheter/2018/mars/medvetandehojning-kring-terrorism/

Oklara förutsättningar för livsmedels- och läkemedelsförsörjning i en krissituation

Regeringen och ansvariga myndigheter har inte skapat tillräckliga förutsättningar för en väl fungerande livsmedels- och läkemedelsförsörjning i händelse av kris. Bland annat behövs det tydligare mål och ansvarsfördelning, konstaterar Riksrevisionen.

Säkerställd tillgång till livsmedel och läkemedel är exempel på samhällsviktiga funktioner, som måste fungera även i en krissituation.

Riksrevisionen har granskat om regeringen och ansvariga myndigheter har skapat förutsättningar – och vidtagit åtgärder – för att livsmedels- och läkemedelsförsörjningen ska fungera vid en krissituation. Granskningen konstaterar att det finns flera brister, bland annat oklarheter när det gäller ambitioner och ansvar – något som tidigare även påpekats av Livsmedelsverket, Socialstyrelsen och landstingen.

– Riksrevisionens bedömning är att oklarheter när det gäller vem som ska göra vad, och när, i värsta fall kommer att innebära att viktiga åtgärder försenas eller inte blir gjorda alls, säger riksrevisor Stefan Lundgren.

Tidigare hade Sverige mat och läkemedel i beredskapslager, men dessa är med undantag från läkemedel mot influensa avskaffade. Vid omregleringen av apoteksmarknaden för snart tio år sedan avvecklades även det ansvar som Apoteket AB hade för läkemedelsförsörjning i kristid, och några kompenserande åtgärder har inte vidtagits.

Livsmedelsverket och Socialstyrelsen har visserligen vidtagit en rad kunskapshöjande åtgärder på området, men staten har enligt Riksrevisionens bedömning inte den information som behövs för att utveckla handlingsplaner och förberedelser för livsmedels- och läkemedelsförsörjning i kris och under höjd beredskap.

– Regeringen har i flera sammanhang uttryckt en vilja att stärka krisberedskapen, men i sin styrning inte gjort särskilt mycket för att skapa tydliga förutsättningar för läkemedels- och livsmedelsförsörjning i händelse av kris, säger projektledare Johan Ågren.

Utifrån granskningens resultat noterar Riksrevisionen att flera problem som identifierats när det gäller livsmedels- och läkemedelsförsörjningen sannolikt även finns inom andra områden.

– Samhällets säkerhet och viktiga samhällsfunktioner är på många områden beroende av privata aktörer. Men samtidigt är förutsättningarna för att involvera privata aktörer i krisberedskapsarbetet otydliga, och de ansträngningar som gjorts har inte lett till konkretiseringar när det gäller styrning och ansvarsförhållanden, säger Johan Ågren.

Riksrevisionen rekommenderar regeringen att bland annat klargöra mål och ansvar för alla inblandade, i synnerhet för Livsmedelsverket och Socialstyrelsen, men även andra viktiga aktörer.

Källa: Riksrevisionen.se

MSB begär 189 miljoner mer

Myndigheten för samhällsskydd och beredskap

Det är framförallt den återupptagna planeringen för höjd beredskap och åtgärder för att stärka förmågan inom civilt försvar som kostar. Där vill man se en ökning med 144 miljoner.

– MSB har under de senaste två åren ställt om för att kunna öka tempot i totalförsvarsplaneringen och vi har också fått medel för det, men nu behövs mera resurser. Det finns behov av stöd och resurser för det breda utvecklingsarbetet, säger Nils Svartz, vikarierande generaldirektör för MSB.

MSB anser också att det behövs 36 miljoner mer för utbildning inom området skydd mot olyckor, och nio miljoner för att kunna erbjuda stöd inom säkerhetsområdet till andra svenska myndigheter som verkar internationellt.

Totalt blir det 189 miljoner. Två tredjedelar av summan är beräknad för personalkostnader, övrigt exempelvis för utveckling av verksamhet och investeringar i teknik.

För 2020-2021 begärs fortsatt ökning med 269 respektive 292 miljoner kronor jämfört med årets anslag.

Utöver nämnda utökning av förvaltningsanslaget begärs en ökning med fem miljoner för internationell civil krishantering.

Källa: http://www.tjugofyra7.se/artiklar/Nyhet/storre-budget/

Totalförsvaret: Näringslivet efterfrågar kunskap och kontakt

Analytiker från FOI har intervjuat företagarrepresentanter från fyra samhällsviktiga branscher om hur de ser på sin roll i totalförsvaret. Foto: iStock.

Näringslivet förväntas spela en viktig del i totalförsvaret. Hittills har den återupptagna totalförsvarsplaneringen i stor utsträckning präglats av att ansvariga aktörer talar om näringslivets viktiga roll – men inte med företagen, enligt en undersökning gjord av FOI.

Det var enklare förr. Åtminstone om man betraktar företagens roll inom totalförsvaret. De verkade ofta på en nationell marknad och lydde under svensk lagstiftning. I dag finns många av de företag som kan spela en roll för totalförsvaret på en global marknad, där de lyder under EU-lagar och internationell lagstiftning. Som aktiebolag har de ofta andra hänsyn att ta än en enskild nations behov.

Det innebär att staten inte som förr kan kommendera fram resurser och beteenden. Men om stat och näringsliv ska kunna samverka är det en bra start att fråga näringslivet hur det ser på sin roll i totalförsvaret, enligt FOI-forskarna Matilda Olsson, Charlotte Ryghammar och Jenny Lundén, som genomfört studien Näringslivets syn på roller och ansvar i totalförsvaret på uppdrag av Justitiedepartementet.

Näringslivsaktörerna känner sig inte inbjudna

Fyra samhällsviktiga branscher, med en viktig roll för totalförsvaret, identifierades:

  • IT & Telekom – en tidigare statlig bransch som i dag drivs av privata aktörer och som levererar fundamental infrastruktur.
  • Bevakning och säkerhet – som bland annat bevakar skyddsobjekt som tidigare bevakades av Försvarsmakten.
  • Bygg & entreprenad – en bransch som varit involverad i byggnads- och reparationsberedskapen, men som nu står utanför krisberedskapssystemet.
  • Kyl- & frystransporter – som står för transporter och till viss del lager av livsmedel på vägarna när aktörer rationaliserar bort lagerkapacitet utifrån just-in-time-principen. Denna princip är ett synsätt och en planeringsfilosofi som står för en strävan att producera och leverera varor i precis den mängd och vid den tidpunkt som de behövs.

Tre företag i varje bransch intervjuades. Resultatet var tydligt.

– Näringslivsaktörerna känner sig inte inbjudna att delta i arbetet kring samhällskriser. De anser inte att samhället använder näringslivets kompetens, säger Matilda Olsson.

Lösningen ligger, inte oväntat, i att parterna pratar med varandra.

– För det finns en stor innovationskraft i näringslivet, som kan bidra med nya perspektiv. Vi blev positivt överraskade över hur intresserade de intervjuade företagen var av att få veta mer om planeringen av totalförsvaret, säger Matilda Olsson.

För att kunna delta på ett djupare plan efterfrågar näringslivet mer kunskap och en konkret bild över vad de kan bidra med.

– Men pratar man inte med varandra, då kan man inte heller lära av varandra. Så statens hemläxa är sätta ord på vad den vill, säger Matilda Olsson.

Rapporten noterar också att näringslivet ser en kommersiell potential i ett samarbete inom ramen för totalförsvaret.

– Genom att vara en del av samhället kan ett företag bli en attraktivare arbetsplats och dessutom skapa kompetensväxling. Att bli leverantör inom totalförsvaret kan också genera affärer – dels direkt med Försvarsmakten, men också skapa trovärdighet mot andra kunder säger Matilda Olsson.

Länk till rapporten

Försvarsmaktens perspektivstudie

Försvarsmaktens perspektivstudie sträcker sig fram till 2035. I likhet med många andra bedömare målar Försvarsmakten en dyster bild av omvärldsutvecklingen. Men det finns positiva signaler mellan raderna.

Totalförsvarsstiftelsen varnade tidigt för riskerna med att underskatta okonventionella metoder för krigföring.

– Redan under Georgien-kriget 2008 kunde vi se att de ryska väpnade styrkorna använde sig av cyberattacker, angrepp på kritisk infrastruktur och psykologisk påverkan. Dessa metoder utfördes med väsentlig mycket högre kvalitet, precision och effekt än det traditionella väpnade angreppet.

Under annekteringen av Krim och invasionen av östra Ukraina var det inte i första hand avancerade militära förmågor som imponerade på västerländska bedömare utan snarare samordning, initiativ och vilseledning.

– Kort sagt är det inte modern materiel och avancerade strategier och ledning som avgör framgångsgraden för Ryssland, snarare det man brukar benämna ”krigslist”.

I Försvarsmaktens perspektivstudie adresseras detta mycket tydligt vilket är lovande. Flera sidor ägnas åt telekrig, cyberattacker, sensorer, informationsteknologi, obemannade system, nanoteknik och inte minst – den så kallade gråzonen. Alltså inte i första hand pansarslag och luftdueller.

Försvarsmakten förfogar idag inte ensam över de resurser som krävs för att möta hoten i gråzonen eller hybridangrepp. Dessa resurser finns hos andra myndigheter och i ännu större utsträckning inom näringslivet.

– Det måste till en central samordningsfunktion för att möta det nya slagfältet, som till stor del utgörs av informationsarenan och den digitala arenan.

Länk till studien: https://www.forsvarsmakten.se/siteassets/4-om-myndigheten/dokumentfiler/perspektivplan/slutlig-redovisning-av-perspektivstudien-2016-2018.pdf

NISÖ 18

Ledningsträningscentrum på Ledningsregementet i Enköping
Den 14 – 15 februari genomförde MSB den nationella informationssäkerhetsövningen NISÖ 2018. Det är den tredje övningen i en serie där senaste övningen arrangerades 2012. Den här gången övade drygt 200 personer från 26 olika organisationer tillsammans på Ledningsregementet i Enköping.

Syftet med övningen var att ge privata och offentliga aktörer möjlighet att öva tillsammans, och därigenom stärka samhällets samlade förmåga att hantera it-relaterade samhällsstörningar, när aktörerna snabbt behöver samordna sig för att kunna vidta relevanta åtgärder.

Scenariot omfattade kritiska beroenden inom sektorerna energi, transport, information och kommunikation och hälso-och sjukvård.

– Det är viktigt att privata och offentliga aktörer får möjlighet att öva tillsammans, eftersom vi är helt beroende av varandra. Den här typen av övningar stärker och utvecklar aktörerna både enskilt och tillsammans. Den stärker förmågor som beslutsfattande och informationsdelning, vilket leder till ett mer systematiskt informationssäkerhetsarbete. Därmed bidrar övningen också till att stärka beredskapen i hela hotskalan, från fredstida samhällsstörningar till terrorangrepp eller krig, säger Nils Svartz, vikarierande GD MSB.

Utmanande övning

Under två dagar tränades deltagarna att identifiera och analysera händelser, ta fram en lägesbild och dela den med andra. Det skedde samtidigt som åtgärder koordinerades som var nödvändiga för att kunna säkerställa samhällets förmåga att hantera allvarliga it-incidenter. För att lyckas med det arbetet krävdes en samlad insats och ett brett samarbete mellan aktörerna.

Även förarbetet inför en övning ger kunskaper, skapar nya kontakter och andra nyttiga erfarenheter.

– Övningen har gett nya erfarenheter, men vi har också haft ett utvecklande samarbete mellan MSB, Försvarsmakten och ett antal andra aktörer för att planera och genomföra övningen, det samarbetet är också värdefullt. Årets övning visar att vi är på rätt väg, men att vi behöver fortsätta att öva tillsammans och vi behöver återföra erfarenheter och ta vara på lärdomarna. Vi kan alltid slipa på våra verktyg, utveckla vårt samarbete och bli bättre! säger Nils Svartz, vikarierande GD MSB.

Nya krav på systematiskt informationssäkerhetsarbete

MSB har fått regeringens uppdrag att vidta vissa åtgärder för att förbereda genomförandet av NIS-direktivet. Övningens fokus på informations- och cybersäkerhet och dess koppling till samhällets funktionalitet stämmer mycket väl överens med EU:s NIS-direktiv.

Direktivet ska implementeras i svensk rätt den 10 maj och genom detta införs uttryckliga krav på systematiskt informationssäkerhetsarbete, it-incidentrapportering och tillsyn för aktörer som tillhandahåller samhällsviktiga tjänster.

Länkar

NISÖ 2018

NIS-direktivet

Nyhet NIS-direktivet den 16 januari

It-incidentrapportering

Totalförsvaret på Gotland ska förbättras

Foto: TT/SVT

Samtidigt som Försvarsmakten återuppbyggs på Gotland, så ska nu också det som kallas totalförsvaret förbättras. Länsstyrelsen på Gotland ska de kommande åren stärka samarbetet mellan det civila och det militära.

Strax före jul gav regeringen i uppdrag till länsstyrelsen på Gotland att genomföra ett totalförsvarsprojekt som ska stärka samarbetet mellan det militära och det civila. Det handlar om att ta tag i frågor som hur man kan skydda samhället, vården, kommunikationer, strömförsörjning och matleveranser i händelse av en kris.

– Efter Berlinmurens fall så lade vi ner stora delar av försvarsmakten och väldigt mycket av det civila befolkningsskkyddet. Nu gäller det att starta det igen. Vi ska ju bygga upp något modernare, mer inriktad mot idag, för det är ju inte det tidigare totalförsvaret som vi ska bygga upp, säger Peter Molin, länsråd på länsstyrelsen på Gotland.

Klart om tre år

Projektet får totalt 30 miljoner kronor fram till att det ska vara klart år 2020. Då ska lärdomarna också användas på andra håll i landet. Men det stannar inte där menar Peter Molin.

– Har vi förberett oss så kan vi också använda den modellen och resurserna vid en allvarlig katastrofhändelse i samhället. Vi ska komma ihåg också att samhället måste skydda sig mot alltifrån falska nyheter till cyberhot och terrorism. Bygger vi då upp ett stabilt samhälle där vi vill och kan försvara oss så är det klart att vi kan använda det i många olika skeden, säger han.

Källa: SVT

MSB upp i särskild organisation inför valet 2018

I ett år har MSB arbetat med att stödja skyddet av höstens val genom att utbilda aktörerna i valsystemet och ta fram lägesbilder. Nu intensifieras myndigheternas gemensamma arbete och MSB genomför ett nationellt samverkansmöte om valet.

De senaste åren har det förekommit försök att påverka val i andra länder. Det går inte att utesluta att också det svenska valet i höst kommer att utsättas för försök till påverkan. Ansvariga myndigheter har på olika sätt under det senaste året arbetat för att öka samhällets förmåga att värna valet.

Myndigheten för samhällsskydd och beredskap, MSB, har sedan i februari förra året arbetat med att ge aktörerna i valsystemet stöd för att skydda valsystemet och valets genomförande. MSB har dels utbildat aktörerna om informationspåverkan mot val, dels tagit fram en förberedande lägesbild till stöd för Valmyndigheten.

 Mycket av det förberedande arbetet som ansvariga aktörer har genomfört gör att vi står bättre rustade idag än vi gjorde för ett år sedan. Inte minst har vi ökat vårt gemensamma medvetande vilket i sig gör oss mer förberedda och mindre sårbara, säger Mikael Tofvesson, operativ chef för MSB:s arbete inför valet 2018.

MSB bedömer är att det svenska valsystemet är robust, bland annat för att det är decentraliserat, manuellt och transparent.

 Trots det finns en risk att förtroendet för valets genomförande kan påverkas. Konsekvenserna av ett minskat förtroende för genomförandet av allmänna val är så pass omfattande att samhället måste ta frågan på största allvar och arbeta strukturerat för att reducera sårbarheter och öka vår gemensamma förmåga att värna valets genomförande, säger han.

Utöver lägesbilder och utbildningar arbetar MSB också med aktörsgemensam samverkan. Det innebär att de aktörer som ansvarar för valets genomförande samverkar med varandra, det vill säga arbetar mot gemensamma mål men inom sina respektive ansvarsområden. MSB genomför regelbundna veckovisa samverkanskonferenser med en rad myndigheter och andra aktörer. Nu genomför myndigheten också ett samverkansmöte med särskilt fokus på valet.

 Samverkan mellan aktörerna gör hanteringen av eventuella händelser mer effektiv.  Till exempel genom att man undviker glapp i hanteringen eller att olika aktörer gör samma saker. Det gör också att vi får en samlad kunskap och lägesbild där olika perspektiv finns med. På så sätt kan samhällets resurser utnyttjas effektivt och användas där de bäst behövs, säger Anna Nyman, enhetschef på MSB.

 Genom att starta samverkan redan nu sänker vi trösklarna och kan snabbt skala upp den aktörsgemensamma hanteringen om något skulle inträffa. Demokratin vinner på att vi samverkar.

För att stärka beredskapen inför valet gick MSB också upp i så kallad särskild organisation måndag 5 februari. Det innebär att myndigheten stärker sin beredskap genom att tilldela särskilda resurser för att hantera samhällsstörningar kopplade till valet.

Fakta om skydd av valet 2018

  • Skyddet av valet till riksdag, kommuner och landsting 2018 utgår ifrån principerna om ansvar, samverkan och handling.
  • Det innebär att de som har det huvudsakliga ansvaret för att genomföra och skydda val under normala förhållanden också har det under en samhällsstörning.
  • MSB stödjer detta arbete med bland annat lägesbild, samverkan, informationssamordning och utbildning.
  • Tillsammans med andra aktuella myndigheter jobbar MSB för att säkerställa att samhället ska ha så goda förutsättningar som möjligt att skydda valet 2018.