Alla inlägg den 21 januari 2024
https://www.informationssakerhet.se/stod--vagledning/
Stöd & Vägledning
Lagar & Regelverk
Lagar, förordningar och föreskrifter är exempel på rättsliga regelverk som styr samhällets informationssäkerhet
Lagar och andra författningar är ett av samhällets starkaste styrmedel och fyller en viktig roll för att bygga upp informationssäkerhet både nationellt och internationellt. I vissa fall handlar det om att specificera ett särskilt skydd för viss typ av information medan i andra påbjuds ett sätt att arbeta med informationssäkerhet på mer generell nivå.
På de här sidorna finner du kortare redogörelser för ett antal centrala lagar, förordningar, myndighetsföreskrifter och allmänna råd som är centrala ur ett informationssäkerhetsperspektiv. Vi har valta att dela in författningarna i tre kategorier:
Standarder för informationssäkerhet spelar också en viktigt roll för samhällets informationssäkerhet. De kan fungera som verktyg vid exempelvis upphandling eller för att kvalitetsäkra och effektivisera sin verksamhet.
Lagar & Regelverk
Rättsligt skydd för viss typ av information
Vissa särskilda typer av information skyddas på olika sätt genom bestämmelser i olika författningar (lag, förordning och föreskrift).
Se även sidan om Förordningar och föreskrifter.
Typer av information
Allmänna handlingar
Offentlighetsprincipen, som framgår av tryckfrihetsförordningens andra kapitel, reglerar vilken typ av information hos myndigheterna som ska betraktas som allmänna handlingar och då enligt huvudregeln vara tillgängliga, offentliga. Vissa allmänna handlingar innehåller dock känsliga uppgifter, exempelvis rörande rikets säkerhet eller den enskildes personliga förhållanden. Offentlighets- och sekretesslagen specificerar därför vilka av de allmänna handlingarna som ska beläggas med sekretess.
Tryckfrihetsförordning (1949:105)
Offentlighets- och sekretesslag (2009:400)
Sekretessbelagd information rörande Sveriges säkerhet
Information som är sekretessbelagd med hänsyn till Sveriges säkerhet ges ett särskilt skydd genom säkerhetsskyddslagen. Säkerhetsskyddet ska bland annat förebygga att sådana uppgifter på ett obehörigt sätt röjs, ändras eller förstörs samt hindra obehöriga att få tillträde till platser där de kan få tillgång till den typen av uppgifter. Regleringen innehåller regler om vilken kontroll man får göra av personer som hanterar den här typen av information. I säkerhetsskyddsförordningen finns bland annat regler kring kryptering och behörighetskontroll.
Säkerhetsskyddsförordning (2021:955)
Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1)
Personuppgifter
Dataskyddsförordningen (GDPR) är till att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen gäller i hela EU och har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras. Samma regler gäller inom hela EU.
Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person i livet. Genom att i lagstiftning begränsa och styra de sätt på vilka man får hantera personuppgifter ges informationen ett särskilt skydd. Lagstiftningen innehåller även regler om vilka tekniska och organisatoriska säkerhetsåtgärder den som hanterar personuppgifter ska vidta.
Integritetsskyddsmyndigheten är den myndighet i Sverige som genom sin stöd- och tillsynsverksamhet ska bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet.
I samhället finns det ett behov av stöd för att kunna hantera informationssäkerhetsaspekten av de krav som finns i dataskyddsförordningen, dvs. säkerställa informationens tillgänglighet, riktighet och konfidentialitet.
Metodstöd för systematiskt informationssäkerhetsarbete på informationssäkerhet.se riktar sig till dig som arbetar med informationssäkerhet i en organisation. I detta arbete är personuppgifter en typ av information som det systematiska informationssäkerhetsarbetet ska omhänderta. Metodstödet ger därmed ett bra stöd i arbetet med att uppfylla delar av de krav som finns i dataskyddsförordningen.
Svensk version av dataskyddsförordningen
Integritetsskyddsmyndighetens webbsida om dataskyddsförordningen
Företagshemligheter
Lagen om skydd av företagshemligheter är ytterligare ett exempel på reglering som ger en viss typ av information ett särskilt skydd. I det här fallet gäller det information om affärs- eller driftförhållanden i en näringsidkares rörelse som näringsidkaren håller hemlig och vars röjande är ägnat att medföra skada för honom i konkurrenshänseende.
Uppgifter som företag väljer att skydda genom särskilda tekniska åtgärder får även ett rättsligt skydd genom att det blir brottsligt att olovligen skaffa sig tillgång till företagshemligheten. Den som gör sig skyldig till företagsspioneri kan dömas till böter eller fängelse i högst två år. Om brottet är grovt kan straffet bli fängelse upp till 6 år.
Lag (1990:409) om skydd av företagshemligheter
Information som ska arkiveras
En viktig uppgift med många kopplingar till informationssäkerhet är att över tid säkra riktigheten hos och skapa tillgänglighet till allmänna handlingar. Arkivering ställer särskilda krav, särskilt när det gäller elektronisk information. Riksarkivet utfärdar föreskrifter på området.
Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar, RA-FS 2009:1
Riksarkivets föreskrifter och allmänna råd om gallring av säkerhetshandlingar, RA-FS 2021:3
https://www.informationssakerhet.se/nyheter/oka-motstandskraften-mot-ransomware/
Öka motståndskraften mot ransomware
Gränserna för vad hälso- och sjukvården kan klara av testas hårt under nu pågående covid-19-pandemi. Dessutom försöker kriminella på olika sätt att utnyttja situationen. Phishing-kampanjer som får covid-19-skepnad eller riktade ransomware-attacker mot sjukvården, har redan observerats och inträffat i andra länder. Risken för att detta kan inträffa i Sverige går inte att bortse från. Därför genomförs nu en särskild informationsinsats mot hälso- och sjukvårdssektorn med i synnerhet förebyggande åtgärder mot ransomware.
Ett angrepp av ransomware, kan innebära att hela eller delar av en verksamhets it-system med dess information blir krypterad och inte tillgänglig för personalen. I många fall stjäls även information och sedan hotar angriparna med att publicera den känsliga informationen om inte en lösensumma betalas. Organisationen behöver ha en uppfattning om vilka konsekvenser ett sådant angrepp skulle få för både verksamheten och patientsäkerheten.
I Sverige har både offentlig och privat verksamhet drabbats av ransomware det senaste året. Ett angrepp av ransomware skulle slå hårt mot sjukvården som nu är under ett oerhört påfrestat läge. Risken att detta kan inträffa i Sverige går inte att bortse från. Det är svårt att helt skydda sig från angrepp, men förebyggande åtgärder såsom kontinuerligt it-säkerhetsarbete med bra rutiner för säkerhetskopiering och återställning, samt utbildning av personal, underlättar hanteringen och begränsar skadan. Möjligheten att snabbt kunna återställa it-miljön så att verksamheten kan återgå till normalitet och hålla nere kostnaderna för hanteringen av angreppet, kan göra betydande skillnad. Det är viktigt att även i ett ansträngt läge fortsätta att prioritera säkerhetsunderhåll av it-miljön, även om vissa av dessa arbeten kan innebära kortare avbrott i tjänsterna.
Flera myndigheter har i samverkan gemensamma tagit fram rekommendationer som riktar sig till ansvariga för it-infrastruktur inom hälso- och sjukvårdsverksamhet – såväl beslutsfattare som tekniker och till användarna av verksamhetens it-system.
Rekommendationerna i Öka motståndskraften mot ransomware ska ses som ett underlag och stöd. Respektive organisation/verksamhet inom hälso- och sjukvårdssektorn ska kunna använda innehållet för riskanalyser, beslutsunderlag, utbildning och kommunikation på det sätt som bedöms vara lämpligt för verksamheten. Exempelvis kan ytterligare målgruppsanpassning av budskapen således behöva göras. Vi ser gärna att dessa rekommendationer sprids och delas vidare till såväl offentlig som privat verksamhet.
Ytterligare stöd i arbetet att öka motståndskraften mot många cyberhot, finns i rapporten Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder. Där presenteras tio åtgärdsområden som bör prioriteras. Rekommendationerna ersätter inte systematiskt säkerhetsarbete.
Rekommendationerna
Materialet finns i ett antal olika format:
Rekommendationer: Öka motståndskraften mot ransomware [pdf]
Rekommendationer: Öka motståndskraften mot ransomware [odt]
Rekommendationer: Öka motståndskraften mot ransomware [rtf]
https://www.tjugofyra7.se/amnesomraden/cybersakerhet/
NYHET Bara en av fem samhällsviktiga verksamheter har i dag ett heltäckande verksamhetsskydd för att motverka inre och yttre hot. Det visar undersökningen Svenskt säkerhetsindex.
https://www.cert.se/tema/ransomware/
Råd gällande förebyggande och hantering av ransomware-angrepp.
Det förebyggande säkerhetsarbetet är avgörande för vilken motståndskraft en organisation har för att kunna hantera ett ransomware-angrepp. Nedan följer översiktliga rekommendationer om vad som kan göras, för att både förebygga och hantera den här typen av angrepp.
Utpressningsprogramvara eller utpressningstrojan (eng. ransomware), kan innebära att hela eller delar av en verksamhets it-system och dess information blir krypterad och otillgänglig. Därefter är det vanligt att angriparna kräver den drabbade verksamheten på en lösensumma för att ge tillbaka informationen och återställa miljön. I många fall sker också så kallad exfiltrering, vilket innebär att informationen kopieras till en extern plats som angriparen kontrollerar. Angriparna utövar därmed dubbel utpressning med hot att offentliggöra informationen om inte lösensumman betalas.
Om du misstänker att er organisation har drabbats av ransomware, kontakta gärna CERT-SE för råd och stöd i ett tidigt skede på cert@cert.se eller 010-240 40 40.sstänker att er organisation har drabbats av ransomware, kontakta gärna CERT-SE för råd och stöd i ett tidigt skede på cert@cert.se eller 010-240 40 4
Vid pågående angrepp
Finska cybersäkerhetscentret har publicerat en vägledning som riktar sig till ledningen och beslutsfattare i organisationer som beskriver hur de bör agera vid angrepp med utpressningsprogram, Åtgärder vid angrepp med utpressningsprogram – ledningens anvisningar.
Organisationer behöver på förhand skapa sig en uppfattning om vilka konsekvenser den här typen av angrepp skulle kunna få för verksamheten, för att på bästa sätt bygga, anpassa och underhålla sitt skydd.
Grunden för att skydda sig mot cyberangrepp, (inkl. ransomware) är att bedriva ett systematiskt arbete med informations- och cybersäkerhet, att arbeta förebyggande och att kontinuerligt anpassa skyddet utifrån organisationens behov och risker. Mer information och metodstöd finns på MSB:s webbplats, Systematiskt informationssäkerhetsarbete.
Ett systematiskt arbetssätt i kombination med olika säkerhetsåtgärder som berör både system/teknik och användare, försvårar eller gör angreppet kostsammare för angriparen. MSB:s föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:07) samt vägledning om säkerhetsåtgärder i informationssystem kan med fördel användas av alla organisationer som stöd i it-säkerhetsarbetet. Det nationella cybersäkerhetscentret (NCSC) har tagit fram även rapporten Cybersäkerhet i Sverige 2022 – Rekommenderade säkerhetsåtgärder vilken ska utgöra ett stöd i arbetet med att prioritera vad som behöver göras.
Det finns anledning att ytterligare skärpa säkerhetsråden för att skydda verksamheten som specifikt berör utpressningsvirus mot bakgrund av senast rapporterade händelser. Här följer en del konkreta åtgärder som kan behöva ses över.
Informera och utbilda organisationens användare om förekomsten av olika typer av phishing, även kallat nätfiske. Utbilda dem i att göra en rimlighetsbedömning innan de klickar på länkar eller bifogade filer i ett e-postmeddelande. Se MSB:s kampanj Tänk säkert! för råd och material att dela inom den egna organisationen för att höja användarnas säkerhetsmedvetenhet samt CERT-SE:s temasida för nätfiske och artikel om god cyberhygien.
Gör en översyn av de säkerhetslösningar och tjänster som organisationen nyttjar, och aktivera de säkerhetsfunktioner som finns tillgängliga. Sådana lösningar kan exempelvis vara:
En god inblick i it-miljön är avgörande för förmågan att upptäcka cyberangrepp eller andra anomalier. Ta hjälp av er lösning för övervakning i syfte att få en uppfattning om vad som motsvarar organisationens normalläge. Att känna sin egen organisation är en förutsättning för att kunna tillhandahålla ett fullgott skydd för it-miljön. Vilka är er organisations ”crown jewels”?
Alla varningar och anomalier som rapporteras från säkerhetsprodukter bör utredas noggrant. Konfigurera därför er övervakning så att de larm och varningar som ges går att agera effektivt på.
Det är viktigt att spara loggar under en lång tidsperiod eftersom det är vanligt att det initiala intrånget har skett relativt långt innan angreppet blir synligt. Att genom loggar kunna följa intrånget är viktigt för att kunna genomföra en lyckad utredning och också minimera skadan.
Överväg att införskaffa ett logghanteringssystem som gör det enklare att, vid behov, analysera logdata från olika verktyg över tid. Dessa system kan även hjälpa att bibehålla logginformationen om en aktör raderar loggarna på ursprungssystemen och förenklar utredning vid incident.
Exempel på system/tjänster/händelser att övervaka är:
Föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7)
Vägledning: säkerhetsåtgärder i informationssystem
Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder
https://www.cert.se/rad-och-stod/
Råd och stöd
För att förebygga och hantera it-säkerhetsincidenter och it-säkerhetsrelaterade kriser kan myndigheter, företag och organisationer behöva olika typer av stöd. CERT-SE ger stöd vid inträffade eller pågående it-relaterade störningar och it-säkerhetsincidenter. Syftet är att hjälpa aktörerna i utredningen av, och vid konstaterad it-säkerhetsincident, minska konsekvenserna av det inträffade genom konkreta råd och vägledning genom incidenthanteringen. Stödet vid incidenthantering anpassas utifrån den drabbades behov men löpande tillhandahåller CERT-SE råd i det förbyggande it-säkerhetsarbetet.
CERT-SE:s incidenthanteringsprocess har mycket likheter med andra processer för incidenthantering, som till exempel SANS och NIST:s. CERT-SE arbetar främst med de tre första stegen - Förebygga, Identifiera och Begränsa – i det råd och stöd vi erbjuder i den operativa verksamheten till dem vi är i kontakt med.
Alla delprocesser behandlas helt separat och fungerar som egna entiteter. Eftersom incidenthanterare kan kallas in i en incident under t.ex identifiera-fasen, så måste den processen vara fullständig i sig själv och inte bero på tidigare delprocesser.
Förebyggande arbete och förberedande åtgärder påverkar i hög grad hur väl en organisation lyckas med incidenthanteringen när en it-säkerhetsincident inträffar. På en övergripande nivå behöver man ha eskaleringsrutiner, it-säkerhetspolicys, kontinuitetplaner, krisplaner, utbildat sina användare, klargjort ansvar och mandat, etablerat kontakter och skapat kontaktlistor samt veta hur kommunikationen ska genomföras vid en incident. Läs mer om Systematisk informationssäkerhet på MSB:s webbplats.
Förutom detta behöver man ha genomfört tekniska förberedelser samt ha ett arbetssätt där man löpande omvärldsbevakar och övervakar sin it-miljö. Några av dessa beskrivs i en rapport från det nationella cybersäkerhetscentret (NCSC) Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder (se nedan)
Inledningsvis när det finns misstanke om en it-säkerhetsincident genomförs insamling samt analys av information och data för att fastställa om en it-säkerhetsincident verkligen har inträffat eller inte. I denna fas kan det vara viktigt att samla in sk. flyktig data, dvs. data om kan försvinna om systemen startas om, för att skapa sig en bild om vad som händer i nätverket.
När en it-säkerhetsincident är identifierad övergår incidenthanteringen i fasen som har till syfte att begränsa eller minimera spridning genom isolering och avbrott av pågåe.nde angrepp samt ytterligare insamling av bevis för vidare analys. Hur detta genomförs beror på vilken typ av incident som har identifierats eller som man misstänker pågår. Här finns exempelvis rådgivning gällande DDoS och nätfiske:
Återställning av system handlar till stora delar om att säkerställa att systemet fungerar som det gjorde innan incidenten, att alla användarkonton är återställda, att användare kan logga in på systemet, att tidigare funktioner är återställda och fungerar tillfredställande. En återställning efter en DDoS-attack handlar i stort sett om förebyggande åtgärder (länk till tema: DDoS). Detsamma gäller även för återställning efter ett nätfiskeangrepp, eftersom system som används finns utanför den drabbade organisationens nät finns det inte så mycket att göra i ett återställande skede när det gäller nätfiske. Det handlar även om att säkerställa att systemet är skyddat så att incidenten inte kan ske igen. Dessutom handlar det om att förebygga att andra incidenter inte kan inträffa samt att underlätta för undersökningar om organisationen blir drabbad av en incident i framtiden.
Det sista steget i incidenthanteringsprocessen är att avsluta incidenten genom att samla in de lärdomar och erfarenheter som hanteringen av incidenten har gett. Det är också vanligt att man i det här skedet sammanställer en incidentrapport. En metod som brukar fungera bra vid större incidenter är att samla in synpunkter och erfarenheter från de som deltagit i incidenthanteringen, sammanställa dessa och sedan presentera dem vid ett uppföljningsmöte där samtliga deltagare har möjlighet att diskutera rapporten. Rör det sig om mindre incidenter, med ett fåtal inblandade, kan synpunkter och erfarenheter samlas in direkt på uppföljningsmötet.