Typer av information

Allmänna handlingar

Offentlighetsprincipen, som framgår av tryckfrihetsförordningens andra kapitel, reglerar vilken typ av information hos myndigheterna som ska betraktas som allmänna handlingar och då enligt huvudregeln vara tillgängliga, offentliga. Vissa allmänna handlingar innehåller dock känsliga uppgifter, exempelvis rörande rikets säkerhet eller den enskildes personliga förhållanden. Offentlighets- och sekretesslagen specificerar därför vilka av de allmänna handlingarna som ska beläggas med sekretess.

Tryckfrihetsförordning (1949:105)

Offentlighets- och sekretesslag (2009:400)

 

Sekretessbelagd information rörande Sveriges säkerhet

Information som är sekretessbelagd med hänsyn till Sveriges säkerhet ges ett särskilt skydd genom säkerhetsskyddslagen. Säkerhetsskyddet ska bland annat förebygga att sådana uppgifter på ett obehörigt sätt röjs, ändras eller förstörs samt hindra obehöriga att få tillträde till platser där de kan få tillgång till den typen av uppgifter. Regleringen innehåller regler om vilken kontroll man får göra av personer som hanterar den här typen av information. I säkerhetsskyddsförordningen finns bland annat regler kring kryptering och behörighetskontroll.  

Säkerhetsskyddslag (2018:585)

Säkerhetsskyddsförordning (2021:955)

Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1) 

 

Personuppgifter

Dataskyddsförordningen (GDPR) är till att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen gäller i hela EU och har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras. Samma regler gäller inom hela EU.

Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person i livet. Genom att i lagstiftning begränsa och styra de sätt på vilka man får hantera personuppgifter ges informationen ett särskilt skydd. Lagstiftningen innehåller även regler om vilka tekniska och organisatoriska säkerhetsåtgärder den som hanterar personuppgifter ska vidta.

Integritetsskyddsmyndigheten är den myndighet i Sverige som genom sin stöd- och tillsynsverksamhet ska bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet.    

I samhället finns det ett behov av stöd för att kunna hantera informationssäkerhetsaspekten av de krav som finns i dataskyddsförordningen, dvs. säkerställa informationens tillgänglighet, riktighet och konfidentialitet.

Metodstöd för systematiskt informationssäkerhetsarbete på informationssäkerhet.se riktar sig till dig som arbetar med informationssäkerhet i en organisation. I detta arbete är personuppgifter en typ av information som det systematiska informationssäkerhetsarbetet ska omhänderta. Metodstödet ger därmed ett bra stöd i arbetet med att uppfylla delar av de krav som finns i dataskyddsförordningen.

Svensk version av dataskyddsförordningen

Integritetsskyddsmyndighetens webbsida om dataskyddsförordningen

 

Företagshemligheter

Lagen om skydd av företagshemligheter är ytterligare ett exempel på reglering som ger en viss typ av information ett särskilt skydd. I det här fallet gäller det information om affärs- eller driftförhållanden i en näringsidkares rörelse som näringsidkaren håller hemlig och vars röjande är ägnat att medföra skada för honom i konkurrenshänseende.

Uppgifter som företag väljer att skydda genom särskilda tekniska åtgärder får även ett rättsligt skydd genom att det blir brottsligt att olovligen skaffa sig tillgång till företagshemligheten. Den som gör sig skyldig till företagsspioneri kan dömas till böter eller fängelse i högst två år. Om brottet är grovt kan straffet bli fängelse upp till 6 år.

Lag (1990:409) om skydd av företagshemligheter

 

Information som ska arkiveras

En viktig uppgift med många kopplingar till informationssäkerhet är att över tid säkra riktigheten hos och skapa tillgänglighet till allmänna handlingar. Arkivering ställer särskilda krav, särskilt när det gäller elektronisk information. Riksarkivet utfärdar föreskrifter på området.

Arkivlag (1990:782)

Arkivförordning (1991:446)

Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar, RA-FS 2009:1

Riksarkivets föreskrifter om och allmänna råd om tekniska krav på elektroniska handlingar, RA-FS 2009:2 

Riksarkivets föreskrifter och allmänna råd om gallring av säkerhetshandlingar, RA-FS 2021:3

https://www.informationssakerhet.se/nyheter/oka-motstandskraften-mot-ransomware/

Öka motståndskraften mot ransomware
Gränserna för vad hälso- och sjukvården kan klara av testas hårt under nu pågående covid-19-pandemi. Dessutom försöker kriminella på olika sätt att utnyttja situationen. Phishing-kampanjer som får covid-19-skepnad eller riktade ransomware-attacker mot sjukvården, har redan observerats och inträffat i andra länder. Risken för att detta kan inträffa i Sverige går inte att bortse från. Därför genomförs nu en särskild informationsinsats mot hälso- och sjukvårdssektorn med i synnerhet förebyggande åtgärder mot ransomware.

Ett angrepp av ransomware, kan innebära att hela eller delar av en verksamhets it-system med dess information blir krypterad och inte tillgänglig för personalen. I många fall stjäls även information och sedan hotar angriparna med att publicera den känsliga informationen om inte en lösensumma betalas. Organisationen behöver ha en uppfattning om vilka konsekvenser ett sådant angrepp skulle få för både verksamheten och patientsäkerheten.

I Sverige har både offentlig och privat verksamhet drabbats av ransomware det senaste året. Ett angrepp av ransomware skulle slå hårt mot sjukvården som nu är under ett oerhört påfrestat läge. Risken att detta kan inträffa i Sverige går inte att bortse från. Det är svårt att helt skydda sig från angrepp, men förebyggande åtgärder såsom kontinuerligt it-säkerhetsarbete med bra rutiner för säkerhetskopiering och återställning, samt utbildning av personal, underlättar hanteringen och begränsar skadan. Möjligheten att snabbt kunna återställa it-miljön så att verksamheten kan återgå till normalitet och hålla nere kostnaderna för hanteringen av angreppet, kan göra betydande skillnad. Det är viktigt att även i ett ansträngt läge fortsätta att prioritera säkerhetsunderhåll av it-miljön,  även om vissa av dessa arbeten kan innebära kortare avbrott i tjänsterna.

Flera myndigheter har i samverkan gemensamma tagit fram rekommendationer som riktar sig till ansvariga för it-infrastruktur inom hälso- och sjukvårdsverksamhet – såväl beslutsfattare som tekniker och till användarna av verksamhetens it-system.

Rekommendationerna i Öka motståndskraften mot ransomware ska ses som ett underlag och stöd. Respektive organisation/verksamhet inom hälso- och sjukvårdssektorn ska kunna använda innehållet för riskanalyser, beslutsunderlag, utbildning och kommunikation på det sätt som bedöms vara lämpligt för verksamheten. Exempelvis kan ytterligare målgruppsanpassning av budskapen således behöva göras. Vi ser gärna att dessa rekommendationer sprids och delas vidare till såväl offentlig som privat verksamhet.

Ytterligare stöd i arbetet att öka motståndskraften mot många cyberhot, finns i rapporten Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder. Där presenteras tio åtgärdsområden som bör prioriteras. Rekommendationerna ersätter inte systematiskt säkerhetsarbete.

Rekommendationerna

Materialet finns i ett antal olika format: 

Rekommendationer: Öka motståndskraften mot ransomware [pdf] 

Rekommendationer: Öka motståndskraften mot ransomware [odt]

Rekommendationer: Öka motståndskraften mot ransomware [rtf]

https://www.tjugofyra7.se/amnesomraden/cybersakerhet/

Stora brister i it-säkerhet

NYHET Bara en av fem samhällsviktiga verksamheter har i dag ett heltäckande verksamhetsskydd för att motverka inre och yttre hot. Det visar undersökningen Svenskt säkerhetsindex.

https://www.cert.se/tema/ransomware/

Ransomware

Råd gällande förebyggande och hantering av ransomware-angrepp.

Det förebyggande säkerhetsarbetet är avgörande för vilken motståndskraft en organisation har för att kunna hantera ett ransomware-angrepp. Nedan följer översiktliga rekommendationer om vad som kan göras, för att både förebygga och hantera den här typen av angrepp.

Utpressningsprogramvara eller utpressningstrojan (eng. ransomware), kan innebära att hela eller delar av en verksamhets it-system och dess information blir krypterad och otillgänglig. Därefter är det vanligt att angriparna kräver den drabbade verksamheten på en lösensumma för att ge tillbaka informationen och återställa miljön. I många fall sker också så kallad exfiltrering, vilket innebär att informationen kopieras till en extern plats som angriparen kontrollerar. Angriparna utövar därmed dubbel utpressning med hot att offentliggöra informationen om inte lösensumman betalas.

 

Om du misstänker att er organisation har drabbats av ransomware, kontakta gärna CERT-SE för råd och stöd i ett tidigt skede på cert@cert.se eller 010-240 40 40.sstänker att er organisation har drabbats av ransomware, kontakta gärna CERT-SE för råd och stöd i ett tidigt skede på cert@cert.se eller 010-240 40 4

Vid pågående angrepp

• Ett viktigt första steg i incidenthanteringen att identifiera vad som hänt och vilka system som är påverkade, för att därefter kunna börja vidta skadebegränsande åtgärder. Se CERT-SE:s incidenthanteringsprocess.
• Finns ej rätt kompetens tillgänglig - ta hjälp av experter på området.
• Isolera påverkade enheter.
• Betala aldrig lösensumma. Det finns inga garantier att system återställs, att filer dekrypteras eller att angriparen inte återkommer med nya krav och hot.
• Anmäl händelsen i ett tidigt skede, tex. till Polisen. Incidentrapportera också till lämpliga myndigheter efter bedömning av incidentens art, enligt NIS-direktivet eller enligt säkerhetsskyddslagen för säkerhetskänslig verksamhet.
• Säkerställ i er utredning att angreppet är åtgärdat och att angriparen inte har fått fotfäste it-miljön genom till exempel behörigheter och/eller skadlig kod.
• Innan återställning genomförs med säkerhetskopior, säkerställ att kopiorna inte också är påverkade av angreppet.

 

Finska cybersäkerhetscentret har publicerat en vägledning som riktar sig till ledningen och beslutsfattare i organisationer som beskriver hur de bör agera vid angrepp med utpressningsprogram, Åtgärder vid angrepp med utpressningsprogram – ledningens anvisningar.

 

Försvåra angrepp med förebyggande arbete

Organisationer behöver på förhand skapa sig en uppfattning om vilka konsekvenser den här typen av angrepp skulle kunna få för verksamheten, för att på bästa sätt bygga, anpassa och underhålla sitt skydd.

Grunden för att skydda sig mot cyberangrepp, (inkl. ransomware) är att bedriva ett systematiskt arbete med informations- och cybersäkerhet, att arbeta förebyggande och att kontinuerligt anpassa skyddet utifrån organisationens behov och risker. Mer information och metodstöd finns på MSB:s webbplats, Systematiskt informationssäkerhetsarbete.

Ett systematiskt arbetssätt i kombination med olika säkerhetsåtgärder som berör både system/teknik och användare, försvårar eller gör angreppet kostsammare för angriparen. MSB:s föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:07) samt vägledning om säkerhetsåtgärder i informationssystem kan med fördel användas av alla organisationer som stöd i it-säkerhetsarbetet. Det nationella cybersäkerhetscentret (NCSC) har tagit fram även rapporten Cybersäkerhet i Sverige 2022 – Rekommenderade säkerhetsåtgärder vilken ska utgöra ett stöd i arbetet med att prioritera vad som behöver göras.

 

Rekommendationer för driftpersonal

Det finns anledning att ytterligare skärpa säkerhetsråden för att skydda verksamheten som specifikt berör utpressningsvirus mot bakgrund av senast rapporterade händelser. Här följer en del konkreta åtgärder som kan behöva ses över.

 

Jobba för en god säkerhetsmedvetenhet

Informera och utbilda organisationens användare om förekomsten av olika typer av phishing, även kallat nätfiske. Utbilda dem i att göra en rimlighetsbedömning innan de klickar på länkar eller bifogade filer i ett e-postmeddelande. Se MSB:s kampanj Tänk säkert! för råd och material att dela inom den egna organisationen för att höja användarnas säkerhetsmedvetenhet samt CERT-SE:s temasida för nätfiske och artikel om god cyberhygien.

 

Översyn av säkerhetslösningar

Gör en översyn av de säkerhetslösningar och tjänster som organisationen nyttjar, och aktivera de säkerhetsfunktioner som finns tillgängliga. Sådana lösningar kan exempelvis vara:

• Aktivera klientskydd och då även på servrar.
• Applicera en vitlista där endast godkända program får exekveras med hjälp av exempelvis Applocker (i Windows-miljöer).
• Aktivera DMARC-policy med SPF och DKIM i e-postsystemet för att försvåra för angripare att imitera legitima användare.
• Implementera lösningar som kan identifiera och blockera skadliga länkar och filer i e-post samt en lösning som kan blockera åtkomst till skadliga hemsidor och IP-adresser för användarna.
• Aktivera multifaktorsautentisering (MFA) där det är möjligt. Detta försvårar för en angripare att återanvända stulna inloggningsuppgifter, vilket är särskilt viktigt för system för fjärranslutning.

 

Ta regelbundna säkerhetskopior

• Skapa säkerhetskopior av data och systemkonfigurationer/-inställningar.
• Testa säkerhetskopiorna och återställningsrutiner med jämna mellanrum. Öva på återställning.
• Säkra era kopior genom att tillämpa den så kallade ”3-2-1-regeln”, som innebär tre säkerhetskopior lagras på två olika media, varav en av dessa är helt frånskild från nätverket (exempelvis på lagringsmedia offline).

 

Härda er it-miljö

• Uppdatera operativsystem och mjukvaror till den senaste versionen, så de överensstämmer med leverantörens rekommendationer, i synnerhet för de system som är exponerade mot internet.
• Använd endast säkra och i första hand krypterade protokoll. Inaktivera tjänster och protokoll som inte behövs eller används.
• Minska exponeringen mot internet. Endast servrar som levererar publika tjänster bör vara åtkomliga via internet och bara på de portar som krävs för ändamålet. Övriga portar som inte behöver vara åtkomliga utanför det lokala nätverket ska blockeras.
• Använd säkra programinställningar, särskilt för e-post, ordbehandlare och webbläsare. Utgå ifrån leverantörers egna härdningsguider för säkrande av it- miljön
• Förhindra att oönskade makron kan exekveras, genom att centralt styra inställningarna så att inte användaren själv tillåts välja lägre säkerhetsnivå.
• Aktivera den lokala brandväggen på både klienter och servrar. Håll regelverket i dessa uppdaterat och revidera kontinuerligt.
• Sträva mot ett segmenterat nätverk, med både fysisk och logisk separation.

 

Begränsa behörigheter

• Använd inte gemensamma inloggningsuppgifter. För spårbarhet ska varje användare och administratör använda ett personligt konto.
• Använd inte administratörskonton till vardagliga sysslor, t.ex läsa e-post eller surfa.
• Begränsa behörigheterna till de strikt nödvändiga för att era användare ska kunna genomföra sina arbetsuppgifter.
• Inaktivera och rensa behörigheter på oanvända konton, missa inte grupptillhörigheter.
• Minska antalet permanenta medlemmar i grupper med höga behörigheter som t.ex Domain Admins till ett absolut minimum.

 

Övervaka

En god inblick i it-miljön är avgörande för förmågan att upptäcka cyberangrepp eller andra anomalier. Ta hjälp av er lösning för övervakning i syfte att få en uppfattning om vad som motsvarar organisationens normalläge. Att känna sin egen organisation är en förutsättning för att kunna tillhandahålla ett fullgott skydd för it-miljön. Vilka är er organisations ”crown jewels”?

Alla varningar och anomalier som rapporteras från säkerhetsprodukter bör utredas noggrant. Konfigurera därför er övervakning så att de larm och varningar som ges går att agera effektivt på.

Det är viktigt att spara loggar under en lång tidsperiod eftersom det är vanligt att det initiala intrånget har skett relativt långt innan angreppet blir synligt. Att genom loggar kunna följa intrånget är viktigt för att kunna genomföra en lyckad utredning och också minimera skadan.

Överväg att införskaffa ett logghanteringssystem som gör det enklare att, vid behov, analysera logdata från olika verktyg över tid. Dessa system kan även hjälpa att bibehålla logginformationen om en aktör raderar loggarna på ursprungssystemen och förenklar utredning vid incident.

Exempel på system/tjänster/händelser att övervaka är:

• Lösningar för fjärråtkomst (t.ex. RDP eller VPN).
• Inspektera nätverkstrafik, både intern och extern (inkommande/utgående) trafik.
• Förändringar och tömning av säkerhetsloggar, samt användning av PowerShell.
• Nyttjande av administratörskonton.
• Förändringar av behörigheter.Anslutningar mot tredjepartsleverantörer, samarbetspartners eller andra externa aktörer som möjligtvis har en lägre säkerhetsnivå och därmed gör er organisation sårbar.
  • Skapande av nya konton
  • Suspekta inloggningar som t ex inloggningar utanför arbetstid eller från andra länder om detta är onormalt i er organisation.

Mer information

Föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7)

Vägledning: säkerhetsåtgärder i informationssystem

Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder

 

 

 

 

 

 

https://www.cert.se/rad-och-stod/

Råd och stöd
För att förebygga och hantera it-säkerhetsincidenter och it-säkerhetsrelaterade kriser kan myndigheter, företag och organisationer behöva olika typer av stöd. CERT-SE ger stöd vid inträffade eller pågående it-relaterade störningar och it-säkerhetsincidenter. Syftet är att hjälpa aktörerna i utredningen av, och vid konstaterad it-säkerhetsincident, minska konsekvenserna av det inträffade genom konkreta råd och vägledning genom incidenthanteringen. Stödet vid incidenthantering anpassas utifrån den drabbades behov men löpande tillhandahåller CERT-SE råd i det förbyggande it-säkerhetsarbetet.

CERT-SE:s incidenthanteringsprocess har mycket likheter med andra processer för incidenthantering, som till exempel SANS och NIST:s. CERT-SE arbetar främst med de tre första stegen - Förebygga, Identifiera och Begränsa – i det råd och stöd vi erbjuder i den operativa verksamheten till dem vi är i kontakt med.

Alla delprocesser behandlas helt separat och fungerar som egna entiteter. Eftersom incidenthanterare kan kallas in i en incident under t.ex identifiera-fasen, så måste den processen vara fullständig i sig själv och inte bero på tidigare delprocesser.

 

Förebygga

Förebyggande arbete och förberedande åtgärder påverkar i hög grad hur väl en organisation lyckas med incidenthanteringen när en it-säkerhetsincident inträffar. På en övergripande nivå behöver man ha eskaleringsrutiner, it-säkerhetspolicys, kontinuitetplaner, krisplaner, utbildat sina användare, klargjort ansvar och mandat, etablerat kontakter och skapat kontaktlistor samt veta hur kommunikationen ska genomföras vid en incident. Läs mer om Systematisk informationssäkerhet på MSB:s webbplats.

Förutom detta behöver man ha genomfört tekniska förberedelser samt ha ett arbetssätt där man löpande omvärldsbevakar och övervakar sin it-miljö. Några av dessa beskrivs i en rapport från det nationella cybersäkerhetscentret (NCSC) Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder (se nedan)

• Prenumerera på CERT-SE:s blixtmeddelanden
• Prenumerera på CERT-SE:s veckobrev
• Rekommenderade it-säkerhetsåtgärder från Nationella cybersäkerhetscentret (ncsc.se)

 

Identifiera

Inledningsvis när det finns misstanke om en it-säkerhetsincident genomförs insamling samt analys av information och data för att fastställa om en it-säkerhetsincident verkligen har inträffat eller inte. I denna fas kan det vara viktigt att samla in sk. flyktig data, dvs. data om kan försvinna om systemen startas om, för att skapa sig en bild om vad som händer i nätverket.

 

Begränsa

När en it-säkerhetsincident är identifierad övergår incidenthanteringen i fasen som har till syfte att begränsa eller minimera spridning genom isolering och avbrott av pågåe.nde angrepp samt ytterligare insamling av bevis för vidare analys. Hur detta genomförs beror på vilken typ av incident som har identifierats eller som man misstänker pågår. Här finns exempelvis rådgivning gällande DDoS och nätfiske:

• DDoS
• Nätfiske

 

Återställa

Återställning av system handlar till stora delar om att säkerställa att systemet fungerar som det gjorde innan incidenten, att alla användarkonton är återställda, att användare kan logga in på systemet, att tidigare funktioner är återställda och fungerar tillfredställande. En återställning efter en DDoS-attack handlar i stort sett om förebyggande åtgärder (länk till tema: DDoS). Detsamma gäller även för återställning efter ett nätfiskeangrepp, eftersom system som används finns utanför den drabbade organisationens nät finns det inte så mycket att göra i ett återställande skede när det gäller nätfiske. Det handlar även om att säkerställa att systemet är skyddat så att incidenten inte kan ske igen. Dessutom handlar det om att förebygga att andra incidenter inte kan inträffa samt att underlätta för undersökningar om organisationen blir drabbad av en incident i framtiden.

 

Erfarenheter

Det sista steget i incidenthanteringsprocessen är att avsluta incidenten genom att samla in de lärdomar och erfarenheter som hanteringen av incidenten har gett. Det är också vanligt att man i det här skedet sammanställer en incidentrapport. En metod som brukar fungera bra vid större incidenter är att samla in synpunkter och erfarenheter från de som deltagit i incidenthanteringen, sammanställa dessa och sedan presentera dem vid ett uppföljningsmöte där samtliga deltagare har möjlighet att diskutera rapporten. Rör det sig om mindre incidenter, med ett fåtal inblandade, kan synpunkter och erfarenheter samlas in direkt på uppföljningsmötet.