Taggat med: Arbetsförmedlingen

Kommentar på Riksrevisionens rapport om informationssäkerhet i staten

RiksrevisionenMyndigheten Riksrevisionen släppte för några dagar sin rapport med titeln Informationssäkerhetsarbete på nio myndigheter (RiR 2016:8). Rapporten omfattar en granskning gällande informationssäkerheten hos myndigheterna  Svenska kraftnät, Arbetsförmedlingen, Bolagsverket, Försäkringskassan, Lantmäteriet, Migrationsverket, Post- och telestyrelsen, Sjöfartsverket och Statens tjänstepensionsverk.

Arbetet med informationssäkerhet når inte upp till en godtagbar nivå på de granskade myndigheterna

Granskningen har genomförts med hjälp av intervjuer samt så har relevant dokumentation på tre av myndigheterna granskas. Övriga myndigheter har fått svara på en enkät.

Några av de positiva sakerna som tas upp i rapporten:

  • Alla tre myndigheter använder teknisk implementation i form av VPN och tvåfaktorsautentisering, vilket innebär en väsentligt minskad risk vid fjärranslutning.
  • Alla sex myndigheter uppger att de har en metod för att klassificera sina informationstillgångar.
  • Alla tre myndigheter har genomfört tekniska åtgärder för att höja säkerheten på bärbara datorer, och den tekniska säkerheten för dessa är därför god.

Och de negativa delarna och där brister framgår är desto mer, några av dessa är:

  • Den tredje myndigheten når inte upp till godkänt, eftersom backuperna förvaras på samma fysiska plats som originaldata.
  • En myndighet saknar skriftliga bestämmelser för säkerhetsloggning.
  • Det saknas dock bestämmelser om att lösenord inte får loggas.
  • En av de tre myndigheterna har en lösenordspolicy som når upp till godkänt.
  • Ingen av myndigheterna utför dock regelbundna och övergripande analyser som fokuserar på informationssäkerhet.
  • Ingen av myndigheterna når upp till godkänd nivå i fråga om att säkra nyckelkompetens.
  • Flera myndigheter har uppgett att man får, som det heter, uppfinna hjulet på egen hand i alltför stor utsträckning.
  • Två myndigheter har en otillräcklig organisation för att hantera incidenter.

Men hur kan det komma sig att hanteringen av informationssäkerheten kan bli så här? För även om detta bara är ett litet axplock av våra 340 myndigheter så gäller mycket av det som lyfts upp i Riksrevisionens rapport även på andra myndigheter. Och precis som Riksrevisionen skriver i sin rapport så är det främst myndighetsledningens ansvar att prioritera och ta ansvar för informationssäkerheten och inte delegera ner i organisationen.

Jag tror främst att det beror på individnivå, några av myndigheterna har lyckats att rekrytera och behålla engagerade och högt presterande medarbetare. Och därav de olika nivåerna på olika områden inom infosäk på myndigheterna. 

Givetvis är det även också brist på engagemang och intresse från myndighetsledningens sida. Kanske rentav så att brist på intresse för teknik och hur infosäk-arbete måste genomsyra allt arbete på myndigheten. För IT är inte enbart en fråga för IT-avdelningen, utan alla medarbetare på myndigheten måste ha utbildning och förståelse för cybersäkerhet.

Eller som Riksrevisionen framhäver slutsatserna:

Säkerhetsarbetet implementeras inte i de ordinarie verksamhetsprocesserna. Kärnverksamheten uppfattar inte att den har något ansvar för informationssäkerheten, utan att det ligger någon annan-stans i myndigheten såsom på IT- eller säkerhetsfunktioner.

Och även följande är intressant:

Granskningen visar att myndigheternas ledningar har delegerat ansvaret för informationssäkerhet, utan att se till att de ansvariga har ett tillräckligt mandat att utföra sina uppgifter och tillräckligt med resurser.

Tips: Läs även Kim Hakkarainens reflektioner.

Här kan du ladda Riksrevisionens rapport i sin helhet:

Informationssäkerhetsarbete på nio myndigheter - En andra granskning av informationssäkerhet i staten
Informationssäkerhetsarbete på nio myndigheter En andra granskning av informationssäkerhet i staten

Informationssäkerheten i Svensk e-legitimation

logotyp-legitimationsnamndeMyndigheten för samhällsskydd och beredskap (MSB) har på uppdrag från tre myndigheter genomfört en säkerhetsanalys av Svensk e-legitimation. De tre myndigheterna är Arbetsförmedlingen, CSN och Försäkringskassan.

Analysen har resulterade i en rapport som innehåller ett antal rekommendationer om vad som behöver göras för att förstärka lösningen Svensk e-legitimation ur ett säkerhetsperspektiv.

Rapporten blev klar den 20 oktober 2014. En fyrsidig sammanställning av analysen publicerades på MSB:s webbplats. Hela rapporten hemligstämplades enligt 18 kap. 8 § och 18 kap. 13 § offentlighets- och sekretesslagen (2009:400).

Men nedan rapport innehåller dock en handlingsplan utifrån resultatet från FRA och MSB:s säkerhetsgranskning.

Sårbarheter i Svensk e-legitimation

Nedan finner du ett utdrag från handlingsplanen gällande kryptoalgoritmer och att gamla och föråldrade algoritmer såsom SHA1 används vilket är häpnadsväckande. Läs gärna igenom hela handlingsplanen nedan och bilda din egen uppfattning, lämna gärna en kommentar också.

”Hög kunskap om kryptoalgoritmer och dess status över tid är en grundförutsättning för att tjänsterna inom samverkan för Svensk e-legitimation ska hålla en hög säkerhet. Det gäller i högsta grad även för underskriftstjänsten som kan avropas och användas i många aktörers tjänster. För att kunna vidmakthålla en hög kunskap krävs regelbunden och återkommande genomgång av området.

Behovet av kryptolösningar finns inom många tjänster i dag. Både sådana tjänster som exponeras över Internet men även interna tjänster. Svagheter i de kryptolösningar som används inom federationens tjänster måste därför identifieras och hanteras löpande. Förändringar i kryptolösningar ställer krav på hantering och eventuell anpassning av de tjänster som använder lösningarna. Alla aktörer som är en del av samverkan i federationen har ansvar för tjänsterna de tillhandahåller.

Nämnden har ett ansvar som federationsoperatör att driva arbetet med att ha rätt säkerhet på de kryptolösningar inklusive algoritmer som används inom federationen och då specifikt för de tjänster som nämnden tillhandahåller. Den genomförda analysen som MSB genomfört har identifierat en kryptoalgoritm (SHA-1) som inte ska användas efter 2013. Underskriftstjänsten som tillhandahålls via ramavtalet ”E-förvaltningsstödjande tjänster 2010” ger inte stöd för användning av SHA-1. Dokumentationen är uppdaterad och de tjänster som finns tillgängliga för avrop ger inte möjlighet för användning av SHA-1. Alla aktörer som ansluter tjänster till Svensk e-legitimation bör se över vilka kryptolösningar som finns i de egna tjänsterna.

Ambitionen för samverkan inom Svensk e-legitimation ska vara att den samlade kunskapen runt kryptolösningar och deras utveckling ska vara hög samt att det ska finnas planer för hur övergången från utgående lösningar ska se ut.”

Handlingsplanen kan laddas hem som PDF här:

Analys av informationssäkerheten i Svensk e-legitimation

Analys av informationssäkerheten i Svensk e-legitimation