Taggat med: SAMFI

Nationell handlingsplan för samhällets informations- och cybersäkerhet

Samverkansgruppen för informationssäkerhet (SAMFI) har nu släppt en nationell handlingsplan för samhällets informations- och cybersäkerhet. Handlingsplanen består av 77 förslag på åtgärder och kommer att uppdateras årligen under åren 2019 fram till 2022.

Följande myndigheter har varit med och tagit fram handlingsplanen:

  • Myndigheten för samhällsskydd och beredskap (MSB)
  • Försvarets radioanstalt (FRA)
  • Försvarets materielverk (FMV)
  • Försvarsmakten
  • Post- och telestyrelsen (PTS)
  • Säkerhetspolisen
  • Polismyndigheten

Dock ska rapporten inte ses som en komplett redovisning av alla de åtgärder som de olika myndigheterna avser att genomföra inom sina respektive verksamheter på informations- och cybersäkerhetsområdet.

De 77 förslag som presenteras i rapporten på åtgärder ansluter till Sveriges nationella strategi för samhällets informations- och cybersäkerhet (skr. 2016/17:213).

Strategin omfattar sex strategiska prioriteringar:

  • Säkerställa en systematisk och samlad ansats i arbetet med informations och cybersäkerhet
  • Öka säkerheten i nätverk, produkter och system
  • Stärka förmågan att förebygga, upptäcka och hantera cyberattacker och andra it-incidenter
  • Öka möjligheterna att förebygga och bekämpa it-relaterad brottslighet
  • Öka kunskapen och främja kompetensutvecklingen
  • Stärka det internationella samarbetet

Här kan du ladda hem handlingsplanen som PDF:

Cyberförsvarsdagen 2019 förmiddag

Detta är den första delen av två från Cyberförsvarsdagen 2019. Detta inlägg sammanfattar förmiddagen och vill du läsa om eftermiddagen kan du göra det här.

Stöd mitt bloggande via Patreon: https://www.patreon.com/kryptera

Inledning. Moderator Annika Avén, SOFF

Inledningstal av Robert Limmergård, SOFF. Robert berättar att det är fjärde året nu som Cyberförsvarsdagen går av stapeln och han ställer sig frågan: Vad är nytt?

Panelsamtal

  • genmaj. Fredrik Robertsson, CIO Försvarsmakten
  • Dan Eliasson, GD MSB
  • Dag Hartelius, GD FRA
  • Robert Limmergård, Generalsekreterare Säkerhets- och försvarsföretagen (SOFF)

Hur skapar vi en bättre försvarsförmåga?

Samverkan och dialog. Ingen löser detta problem själv utan det är myndigheter och företag tillsammans.

Dan Eliasson, GD MSB

Så handlingsorienterade som möjliga. MSB:s jobb är att säkerställa bredden i cyberskyddet och nämner även totalförsvarsplaneringen.

En driver är att skapa robusta och hållbara system som även fungerar i kris. Vi myndighetschefer kommer att jobba tillsammans.

Dag Hartelius, GD FRA

Samtliga talare nämner ett nationellt cybersäkerhetscenter.

Sveriges välstånd är beroende av vår industri och export. Sverige är attraktivt och FRA jobbar med att förhindra industrispionage bland annat.

Bilden är inte längre nattsvart när det gäller cybersäkerhet.

Fråga från moderator till Fredrik: Vilken roll skulle FM ha i ett cybersäkerhetscenter?

FM skulle bygga ett samarbete utifrån befintliga roller.

Dag: Våra uppdragsgivare förväntar oss att vi gör mer. Snabbare upptäcka och åtgärda och presentera en lägesbild när det gäller cyberhotet. Vilka förmågor har vi tillsammans vi myndigheter.

Fråga från moderatorn: Vad har hänt, vad är det som är nytt? Dag från FRA berättar att vi har gjort mycket för att upptäcka hot. Rekryteringsutmaningar som alla vi har, det är en tuff arbetsmarknad. Sommarlovön är ett nytt initiativ av FRA för att väcka intresse bland 15-16 åringar berättar Dag Hartelius som är generaldirektör (GD) på FRA.

Dag berättar även om att Riksbanken som FRA jobbar med att hjälpa inom cybersäkerhetsområdet blir bättre. Det är sällan FRA berättar om vilka uppdragsgivare som de har men just när det gäller Riksbanken.

Framtidens digitala ekosystem

Moderator: Jonas Stewén, Combitech

Daniel Jaurén FRA

Daniel Jaurén, FRA

För cirka 10 år sedan så började digitaliseringen och allt skulle kopplas upp, och det gick fort och fel. Väldigt stark förmågeutveckling på CNE-området hos många länder.

Attackerna mot Sverige styrs av en nationell agenda, vilket är också en ny trend. De vill uppnå en effekt snarare än att genomföra informationsstölder.

Länder som bedriver en aktiv utrikespolitik kommer också att lämna spår på cyberarenan. Fler aktörer och en snabb höjning av lägstanivån hos aktörerna. Våg 2 och 3 när det gäller aktörerna kommer att gå mycket snabbare och bli en mer integrerad del i deras verksamhet.

Vad är det som angrips då? Man går inte direkt mot sitt mål, det är en oerhört komplex bild än att titta direkt på skyddsvärdena.

Vi som underrättelsetjänst lägger en bild. Vi samlar på bitar och lägger ett pussel, vi måste se till att dessa pusselbitar inte försvinner från Sverige.

Vad kan FRA göra då? Givetvis kan vi samarbeta, men jag skulle vi slå ett slag för hotbildsperspektivet och angriparperspektivet. Våra angripare kanske vet mer om vad som är skyddsvärt. De mål som klarar sig bäst mot angrepp är de som kan lära sig från tidigare hack och måla upp en hotbild. Ja, du kommer att bli hackad! Den offensiva sidan kommer att vinna. Vi kommer inte att kunna stoppa hacken men vi kommer att kunna hitta dom tidigt.

Hur jobbar FRA med hotinformation? Vi jobbar dels proaktivt då vid stödjer myndigheter och statligt ägda bolga. Vi jobbar även reaktivt med TDV-sensorer och SIGINT. Givetvis larmar vi även om hotaktörer går mot mål i Sverige som inte omfattas av TDV-sensorerna.

Robert Jonsson, MSB / CERT-SE

Robert berättar först hur de nordiska CERT-organisationerna är organiserade. I norden har vi ett samarbete som heter Nordic CERT Cooperation (NCC) som bygger på ett MOU samt överenskommelse inom nordiska ministerrådet. På EU-nivå så delar vi operativ information i ett samarbete som heter EGC, European Governmental CERTs.

Ett globalt nätverk som heter International Watch and Warning Network (IWWN). Och i samband med NIS-direktivet så skapades CSIRTSs Network (CNW) som är på EU-nivå. Även är detta samarbete en bas för ENISAs övningsserie Cyber Europe. Värdefullt forum för nationer som inte har haft en CERT tidigare.

Övriga forum som CERT-SE jobbar med är FIRST och TF-CSIRT.

Men vad gör man då i samarbeten? Man delar information, med stöd av exempelvis trafikljusprotokollet (TLP). Specifika incidenter såsom WannaCry och även på automatiserat sätt med MISP-plattformen.

Jacob Henricsson, Foreseeti

Börjar med att prata om Robin Blokkers citat från förra året där han ansåg att vi måste börja fixa sårbarheter från 90-talet först. Sen berättar han om att allt blir uppkopplat. Det blir mycket billigare att ha SIM-kort i alla saker och koppla upp dom och även GPS-brickor blir billigare.

De största hoten är fortfarande samma som de gamla. Jacob visar en bild från OWASP Topp 10 från 2010 och visar hur den nya från 2017 ser ut.

Men vad kan vi göra åt detta då? Om vi inte digitaliserar det så behöver vi inte hålla koll på cyberhoten. Det blir mycket dyrare att hacka det.

Vanliga cybersäkerhets problem som Foreseeti ser är:

  • Gamla produktionssystem med många användare
  • Återanvändning av användarkonton
  • Platta nätverk
  • Bra segmentering – men kortsluts genom lönndörrar
  • Kombinerade sårbarheter

Alla deltagare: Vilken kompetens saknas? Vi måste göra cybersäkerheten sexigt igen säger Robert. Faktum kvarstår vi kommer att digitalisera saker vare sig vi vill eller inte säger Daniel, vi måste bli bra kravställare vi inköp.

Vad är viktigt att skydda?

Moderator: Matilda Karlsson, analytiker Scandinavian Risk Solutions (SRS)

Erik Nordman, Inledningstalare och Säkerhetschef och säkerhetsskyddschef vid Svenska kraftnät inleder.

Vad är skyddsvärt? Det är våra samhällsviktiga funktioner som måste vara på plats. Vad är då skyddsvärt på SVK? 150-200 stamnätsstationer som är som en ryggrad i elnätet.  Men vad just om dessa stationer är skyddsvärt? Är det lokaliseringen? Är det dess funktion i elnätet?

SVK:s driftcentral är själva hjärnan i elnätet. Det är här man ser till att det är exakt 50hz i elnätet, och att detta är skyddsvärt är helt självklart. Men vad exakt runt just detta är skyddsvärt? Dom här sakerna behöver man givetvis utreda och göra en bra analys.

Ungefär 70 personer har jobbat med att reda ut frågor som dessa under 2018. Vad är viktigt ur vilket perspektiv? Vart behöver vi lägga vårat skydd.

Panelsamtal – Förhållandet mellan NIS och nya säkerhetsskyddslagen – Vad är samhällsviktiga tjänster och vad är säkerhetskänslig verksamhet?

  • Martin Waern, Manager National Security SRS
  • Helena Andersson, verksamhetsstrateg MSB
  • Annette Norman, huvudman Informationssäkerhet Justitiedepartementet
  • Erik Nordman, Säkerhetschef och säkerhetsskyddschef vid Svenska kraftnät

Vilka utmaningar står vi inför frågar Matilda till panelen. Martin påpekar på att prioritera och fokusera på det som är viktigt, våga prioritera bort också.

Nya säkerhetsskyddslagen och NIS-direktiven är olika och fokuserar på olika saker. Det är viktigt att skapa ett förtroende för digitala tjänster och skapar förutsättningar för den inre marknaden.

Säkerhetsskyddslagstiftningen har företräde före NIS-direktivet. Det finns även ett stort överlapp när det gäller åtgärder, såsom säkerhetskultur. Mycket av detta handlar om en bra grund.

Många pekar på utmaningar med NIS och nya lagstiftningen. Systematisk och metodiskt informationssäkerhetsarbete är en bra grund för allt arbete och låta analysen ta sin tid men inte glömma att ta till åtgärder också. Det kommer att se ut annorlunda imorgon och det måste vara ett kontinuerligt arbete säger Annette Norman på Justitiedepartementet.

Det är rätt att inte skriva i lagstiftningen i detalj vad som är Sveriges säkerhet.

Tillsynen förutsätter att det finns ett tydligt regelverk att hålla sig till och det är något som regeringen jobbar på just nu.

Ansvar i AB Sverige – Hur bygger vi en effektiv privat-offentlig samverkan för Sveriges cyberförsvar?

Moderator: Richard Oehme, director cyber security & critical infrastructure protection PwC

Panelsamtal – Hur kan myndigheter och företag stödja varandra i arbetet kring en effektiv samverkan mot ökad cyberförsvarsförmåga?

  • Åke Holmgren, avd. chef cybersäkerhet och skydd av samhällsviktig verksamhet MSB
  • Mats Wallinder, Riksbanken och ordförande FSPOS
  • Pernilla Rönn, chef cyber security Combitech
  • Generalmajor Fredrik Robertsson, CIO Försvarsmakten
Panelsamtal - Hur kan myndigheter och företag stödja varandra i arbetet kring en effektiv samverkan mot ökad cyberförsvarsförmåga?

Åke påbörjar passet med att inledningstala och berätta om privat-offentlig samverkan. Många av arenorna för samarbeten är kopplade till SAMFI-myndigheterna som jobbar med cybersäkerhet.

Men varför är det då viktigt med privat-offentlig samverkan? Jo, det handlar om ett gemensamt ansvarstagande. Det underlättar för att snabbt upprätta en lägesbild för att hantera allvarliga störningar. Det är viktigt att vi bygger oss starka redan innan någon händer. Det bygger även tillit och förtroende samt en gemensam kunskap.

De äldsta forumen för samverkan inom MSB heter FIDI och skapades 2004. De heter FIDI-SCADA, FIDI-FINANS, FIDI-TELEKOM, FIDI-DRIFT och VIDI-VÅRD.

Mats Wallinder berättar om vad som är skyddsvärt vid riksbanken. Det finansiella systemet är globalt och vi är beroende globalt. Vad är då privat-offentlig samverkan inom finansiella tjänster? FSPOS är ett nätverk som bygger på frivilligt deltagande där 12 organisationer ingår i dagsläget.

FSPOS har en styrelse och har en verksamhetsidé som går ut på samverkan, övningar, kartläggningar och dela information för att stärka den finansiella sektorns förmåga att möta hot och hantera kriser. Medlemmarna är främst privata aktörer såsom Nasdaq, Svenska bankföreningen och Euroclear.

Sedan i paneldebatten så berättar Fredrik om övningen SAFE Cyber 2018 och de frågeställningar som dök upp där. Hur kommunicerar vi exempelvis? Övningen är ett table-top spel utan tekniska moment. Det är svårt att öva saker om man inte har fullt förtroende säger även Fredrik. Det var en bra övning med små resurser, vi ha ner relativt lite tid och pengar. Vikten att hantera formalia, vilken information kan vi delge andra och hur ska de gå till? Övningar kan oftast svara på dom frågorna.

Pernilla Rönn på Combitech nämner EU-TIBER som är ett bra ramverk för att skapa resiliens, främst inom den finansiella sektorn. Tiber-ramverket handlar om hur man implementerar Threat Intelligence-based Ethical Red Teaming.

Enkla rutiner kan vara ett bra resultat från samverkan. Exempelvis en checklista som alla organisationer kan ta med sig hem och ge hjälp.

Resursfrågan kommer också att styra samarbeten i framtiden anser Richard och bollar vidare till Åke. Men just när det gäller totalförsvaret är det ett större ansvar. Samarbeten ska göras i dialog och inte tvinga fram samarbeten, förtroenden är viktigt.

Ingen myndighetsutövning är önskvärd i samarbeten mellan offentlig och privat samverkan.

Ny status gällande samhällets informationssäkerhet

För några år sedan släpptes nationella handlingsplanen för samhällets informationssäkerhet av Samverkansgruppen för informationssäkerhet
(SAMFI), det vill säga Försvarets materielverk (FMV), Försvarets radioanstalt (FRA), Försvarsmakten, Post- och telestyrelsen (PTS) samt Säkerhetspolisen/Rikskriminalpolisen.

Syftet med handlingsplanen är att genomföra central aktiviteter för att öka samhällets informationssäkerhet och att ge stöd till viktiga samhällsaktörer ‒ myndigheter, landsting och kommuner men också privata leverantörer av nät- och driftstjänster ‒ för att de ska kunna förbättra sin informationssäkerhet. Jag kan glädjande konstatera att de flesta åtgärder nu är genomförda, vilket känns bra inför den avslutande delen av arbetet som sker under nästa år, säger Richard Oehme, chef för verksamheten för samhällets informations- och cybersäkerhet, MSB.

Planen innehöll ett trettiotal olika förslag på åtgärder för att höja den nationella informationssäkerheten och några av förslagen är:

  • Utveckla ett kryptogranskningsregelverk för kommersiella produkter
  • Ökad säkerhet i industriella informations- och styrsystem (SCADA)
  • Fortsätta utveckla stöd för offentliga och privata organisationers
    informationssäkerhetsarbete
  • Utlysning av ramforskningsprogram kring informationssäkerhet
  • Utreda samhällets utbildnings- och kompetensbehov inom informationssäkerhetsområdet
  • Ökad samverkan för att förebygga och hantera allvarliga it-incidenter
  • Planera, genomföra och utvärdera informationssäkerhetsövningar
  • Förebyggande åtgärder för att öka säkerheten i de elektroniska kommunikationerna

Som ett resultat av ovan förslag är ett framtagande av ett krypto för skyddsvärda uppgifter (KSU) samt SGSI som är Swedish Government Secure Intranet. Delvis saxat från rapporten som släpptes idag (hittas längst ner):

Swedish Government Secure Intranet (SGSI)

Swedish Government Secure Intranet (SGSI) är ett kommunikationsnätverk som ger säker kommunikation mellan myndigheter i Sverige och i Europa. SGSI är skilt från internet och trafiken är krypterad, samt att SGSI är utformat för att klara höga krav på tillgänglighet och driftsäkerhet.

Myndigheter som vill kommunicera med EU-administrationen eller med en annan medlemsstat genom sTESTA (secure Trans European Services for Telematics between Administrations, vilket är ett säkert nät mellan EU:s medlemsstater och EU:s olika organ) måste vara anslutna till SGSI. SGSI är Sveriges enda nätverk med koppling till sTESTA och uppfyller EU-rådets och Kommissionens föreskrifter för hantering av (klassificerad?) information.

SGSI

Inom Sverige använder myndigheter SGSI som ett säkert nätverk för utbyte av känslig information och minskar därmed risker kopplat till att skicka information över internet. SGSI används bland annat för att få åtkomst till olika databaser hos de olika anslutna myndigheterna och så finns en tjänst för videkonferens inom SGSI.

Nationellt evalueringslaboratorium

FMVRapporten berättar även att FMV håller på att upprätta ett nationellt evalueringslaboratorium för att analysera fysiska attacker mot information i datorutrustning. Även i arbetet med detta håller en rapport att färdigställas och FMV/CSEC har i samverkan med FRA och Försvarsmakten besökt
Ångström Microstructure Laboratory vid Uppsala universitet.

Rapporten, när den blir klar under Q1 kommer den att innehålla:

  • Exempel på scenario där fysiska attacker genomförs
  • Exempel på hur attacker genomförs.
  • Exempel på olika former av skydd mot fysiska attacker.
  • Verktyg som används för att genomföra attacker
  • Internationellt arbete inom området
  • Samverkan inom Europa för att certifiera produkter, SOGIS-MRA
  • Krav på en certifieringsordning för hårdvaruevaluering
  • Krav evalueringslaboratorium, inklusive personal, utrustning, utbildning, lokaler, datorutrustning och nätverk
  • Möjlig väg för att etablera en certifieringsordning för hårdvaruevaluering

Tekniska detekterings- och varningssystem (TDV)

FRAFRA fick i november 2011 ett regeringsuppdrag  att ta fram en pilotversion av TDV som har testats hos en myndighet (regeringsuppdraget redovisades i december 2012). TDV är tänkt som ett extra skydd för de skyddsvärda funktionerna i samhället.

Myndigheten anger att det som är avgörande för systemets funktion är de kvalificerade detekteringsverktyg och signaturer som används för att upptäcka IT-angreppen. Signaturerna skapas med hjälp av kunskap från FRA:s uppdrag både på informationssäkerhets- och signalspaningsområdet.

Pilotprojektet har visat att systemet fungerar genom att avancerad skadlig kod som sannolikt härrör sig från kvalificerade angripare har upptäckts.

Statusrapporten

Här kan du ladda hem rapporten från SAMFI-myndigheterna om samhällets informationssäkerhet (PDF) som släpptes idag:

SAMFI plan