Senaste inläggen
Lagar & Regelverk
Rättsligt skydd för viss typ av information
Rättsliga krav på informationssäkerhet i olika verksamheter
IT-brott och IT-relaterad brottslighet
Förordningar och föreskrifter
På de här sidorna hittar du länkar till ett urval av föreskrifter ur olika statliga myndigheters författningssamlingar samt relevanta förordningar. De föreskrifter som ingår här endast sådana som rör informationssäkethet i snäv bemärkelse.
Förordningar
Förordningar är regler som beslutas av regeringen. Förordningar är underordnade lagar och de får inte strida mot någon lag. Regeringen har dock viss egen normgivningskompetens som innebär en rätt att utfärda vissa förordningar utan riksdagens bemyndigande.
- Förordning (2006:637) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap
- Förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap
- Säkerhetsskyddsförordningen (2018:658)
Föreskrifter
Föreskrifter är, precis som lagar och förordningar, bindande regler, det vill säga de bestämmer hur enskilda och myndigheter ska handla. Föreskrifter är detaljregler inom vissa sakområden och beslutas av myndigheter, till exempel MSB. Föreskrifter preciserar t.ex de krav som ställs i lagar och förordningar.
Utgivna av Myndigheten för samhällsskydd och beredskap
Föreskrifter som berör statliga myndigheter
- MSBFS 2016:7 föreskrifter och allmänna råd om statliga myndigheters risk- och sårbarhetsanalyser
- MSBFS 2020:6 föreskrifter om informationssäkerhet för statliga myndigheter
- MSBFS 2020:7 föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter
- MSBFS 2020:8 föreskrifter om rapportering av it-incidenter för statliga myndigheter
Föreskrifter som berör kommuner och landsting
- MSBFS 2015:5 föreskrifter och allmänna råd om kommuners risk- och sårbarhetanalyser
- MSBFS 2015:4 föreskrifter och allmänna råd om landstings risk- och sårbarhetsanalyser
Föreskrifter som berör kryptoberedskap
Föreskrifter som berör leverantörer av samhällsviktiga tjänster och vissa digitala tjänster
- MSBFS 2018:7 föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster
- MSBFS 2020:8 föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster
- MSBFS 2018:9 föreskrifter och allmänna råd om rapportering av incidenter för leverantörer av samhällsviktiga tjänster
- MSBFS 2018:10 föreskrifter och allmänna råd om rapportering av incidenter för leverantörer av digitala tjänster
- MSBFS 2018:11 föreskrifter och allmänna råd om frivillig rapportering av incidenter i tjänster som är viktiga för samhällets funktionalitet
Utgivna av Säkerhetspolisen
Rättsligt skydd för viss typ av information
Vissa särskilda typer av information skyddas på olika sätt genom bestämmelser i olika författningar (lag, förordning och föreskrift).
Se även sidan om Förordningar och föreskrifter.
Typer av information
Allmänna handlingar
Offentlighetsprincipen, som framgår av tryckfrihetsförordningens andra kapitel, reglerar vilken typ av information hos myndigheterna som ska betraktas som allmänna handlingar och då enligt huvudregeln vara tillgängliga, offentliga. Vissa allmänna handlingar innehåller dock känsliga uppgifter, exempelvis rörande rikets säkerhet eller den enskildes personliga förhållanden. Offentlighets- och sekretesslagen specificerar därför vilka av de allmänna handlingarna som ska beläggas med sekretess.
Tryckfrihetsförordning (1949:105)
Offentlighets- och sekretesslag (2009:400)
Sekretessbelagd information rörande Sveriges säkerhet
Information som är sekretessbelagd med hänsyn till Sveriges säkerhet ges ett särskilt skydd genom säkerhetsskyddslagen. Säkerhetsskyddet ska bland annat förebygga att sådana uppgifter på ett obehörigt sätt röjs, ändras eller förstörs samt hindra obehöriga att få tillträde till platser där de kan få tillgång till den typen av uppgifter. Regleringen innehåller regler om vilken kontroll man får göra av personer som hanterar den här typen av information. I säkerhetsskyddsförordningen finns bland annat regler kring kryptering och behörighetskontroll.
Säkerhetsskyddsförordning (2021:955)
Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1)
Personuppgifter
Dataskyddsförordningen (GDPR) är till att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen gäller i hela EU och har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras. Samma regler gäller inom hela EU.
Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person i livet. Genom att i lagstiftning begränsa och styra de sätt på vilka man får hantera personuppgifter ges informationen ett särskilt skydd. Lagstiftningen innehåller även regler om vilka tekniska och organisatoriska säkerhetsåtgärder den som hanterar personuppgifter ska vidta.
Integritetsskyddsmyndigheten är den myndighet i Sverige som genom sin stöd- och tillsynsverksamhet ska bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet.
I samhället finns det ett behov av stöd för att kunna hantera informationssäkerhetsaspekten av de krav som finns i dataskyddsförordningen, dvs. säkerställa informationens tillgänglighet, riktighet och konfidentialitet.
Metodstöd för systematiskt informationssäkerhetsarbete på informationssäkerhet.se riktar sig till dig som arbetar med informationssäkerhet i en organisation. I detta arbete är personuppgifter en typ av information som det systematiska informationssäkerhetsarbetet ska omhänderta. Metodstödet ger därmed ett bra stöd i arbetet med att uppfylla delar av de krav som finns i dataskyddsförordningen.
Svensk version av dataskyddsförordningen
Integritetsskyddsmyndighetens webbsida om dataskyddsförordningen
Företagshemligheter
Lagen om skydd av företagshemligheter är ytterligare ett exempel på reglering som ger en viss typ av information ett särskilt skydd. I det här fallet gäller det information om affärs- eller driftförhållanden i en näringsidkares rörelse som näringsidkaren håller hemlig och vars röjande är ägnat att medföra skada för honom i konkurrenshänseende.
Uppgifter som företag väljer att skydda genom särskilda tekniska åtgärder får även ett rättsligt skydd genom att det blir brottsligt att olovligen skaffa sig tillgång till företagshemligheten. Den som gör sig skyldig till företagsspioneri kan dömas till böter eller fängelse i högst två år. Om brottet är grovt kan straffet bli fängelse upp till 6 år.
Lag (1990:409) om skydd av företagshemligheter
Information som ska arkiveras
En viktig uppgift med många kopplingar till informationssäkerhet är att över tid säkra riktigheten hos och skapa tillgänglighet till allmänna handlingar. Arkivering ställer särskilda krav, särskilt när det gäller elektronisk information. Riksarkivet utfärdar föreskrifter på området.
Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar, RA-FS 2009:1
Riksarkivets föreskrifter och allmänna råd om gallring av säkerhetshandlingar, RA-FS 2021:3
Rättsliga krav på informationssäkerhet i olika verksamheter
Samhällsviktiga tjänster och NIS-regleringen
EU:s NIS-direktiv ställer krav på säkerhet i nätverk och informationssystem. Reglerna omfattar leverantörer av samhällsviktiga tjänster och vissa digitala tjänster. Direktivet införlivas i den svenska rättsordningen genom lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (SFS 2018:1174) och regeringen har beslutat om en förordning (2018:1175) kopplat till den nya lagen. Lagen och förordningen träder i kraft 1 augusti 2018.
MSB:s föreskrifter och annat informationsmaterial finns på msb.se/nis.
Statliga myndigheter
Informationssäkerhet i verksamheter byggs i stor utsträckning upp genom systematiskt arbete som involverar ledningen, grundas på risk- och sårbarhetsanalyser och rätt vidtagna åtgärder. Krav på att statliga myndigheter ska se till att informationshanteringen uppfyller krav på säkerhet finns i förordning (2015:1052) om krisberedskap och höjd beredskap. Myndigheten för samhällsskydd och beredskap föreskriver dessutom att myndigheterna dels ska rapportera it-incidenter och dels ska införa ett ledningssystem för informationssäkerhet. I det arbetet ska standarderna SS-EN ISO/IEC 27001:2017 och SS-EN ISO/IEC 27002:2017 beaktas.
MSBFS 2020:6 föreskrifter om informationssäkerhet för statliga myndigheter;
MSBFS 2020:7 föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter
MSBFS 2020:8 föreskrifter om rapportering av it-incidenter för statliga myndigheter
Samlad information om dessa föreskrifter finns på msb.se.
Elektronisk kommunikation
Lagen om elektronisk kommunikation reglerar hur information ska hanteras i elektroniska medier och vänder sig främst till telekommunikationsoperatörer. Den som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster ska se till att verksamheten uppfyller rimliga krav på god funktion och teknisk säkerhet. Detta bland annat för att säkerställa att de elektroniska kommunikationerna fungerar.
Det är även viktigt att skydda uppgifterna som hanteras i de elektroniska näten. Enligt lagen ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst även vidta lämpliga åtgärder för att skydda behandlade uppgifter. Vilka åtgärder som vidtas är beroende på risken för integritetsintrång, tillgänglig teknik och kostnaderna.
Lag (2003:389) om elektronisk kommunikation
Hälso- och sjukvård
Inom hälso- och sjukvården hanteras stora mängder ur integritetssynpunkt känslig information. Det är av stor vikt att informationshanteringen inom hälso- och sjukvården är organiserad så att den tillgodoser patientsäkerhet och god kvalitet och kostnadseffektivitet. Att säkerställa respekt för patienters och övriga registrerades integritet är prioriterat liksom arbetet med att säkerställa att inga obehöriga får tillgång till dokumenterade personuppgifter.
Patientdatalag (2008:355)
Patientdataförordning (2008:360)
Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40)
IT-brott och IT-relaterad brottslighet
Brottsbalken
Rättslig reglering bidrar till informationssäkerhet genom att ställa krav på att vidta åtgärder men även genom att kriminalisera vissa handlingar. Många brott, som bedrägeri, begås idag ofta med hjälp av informationsteknik. Ett brott med uttrycklig koppling till IT är dataintrång.
Dataintrång
Enligt brottsbalken 4 kap 9c§ är det förbjudet olovligen bereda sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändra, utplåna, blockera eller i register föra in en sådan uppgift. Det är heller inte tillåtet att olovligen allvarligt störa eller hindra användningen av en sådan uppgift. Den som bryter mot detta kan dömas för dataintrång till böter eller fängelse i högst två år.
Grovt dataintrång
Ett nytt brott, grovt dataintrång, infördes i brottsbalken 2014. Enligt brottsbalken 4 kap 9c§ 2st. ska ett dataintrång bedömas som grovt om det har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit särskilt farlig. Straffet för grovt dataintrång är fängelse i lägst sex månader och max sex år.
Årsrapporten för 2023 publicerad
2023 var ett år av ökande osäkerhet kring hur de omvärldshot, som fortsatte att växa, skulle utveckla sig. Behoven av goda underrättelser är i sådana tider höga, för att uppdragsgivarna ska kunna dimensionera, prioritera och agera.
https://www.regeringen.se/regeringens-politik/totalforsvar/
Totalförsvar
Sveriges totalförsvar berör hela samhället. Totalförsvar är verksamhet som behövs för att förbereda Sverige för krig. Det består av två delar: det militära försvaret och det civila försvaret.
”Uppbyggnaden av totalförsvaret är en angelägenhet för hela samhället”
Den 20 februari samlade Försvarsdepartementet representanter från garnisonskommuner och civilområdesansvariga länsstyrelser för dialog om utvecklingen av totalförsvaret. Försvarsmakten och Myndigheten för samhällsskydd och beredskap (MSB) deltog också för att informera om sitt arbete.
Inriktning för totalförsvaret
Riksdagen beslutar om den övergripande inriktningen för totalförsvaret. Det har historiskt skett ungefär vart femte år. Den nuvarande utvecklingen av totalförsvaret bygger på propositionen Totalförsvaret 2021–2025 som antogs av riksdagen 2020.
Försvarsberedningen är ett forum för konsultationer mellan regeringen och samtliga politiska partier i riksdagen. Försvarsberedningen förbereder underlag till regeringen inför nästa försvarsproposition.
Aktuellt säkerhetsläge
Rysslands fullskaliga invasion av Ukraina i februari 2022 innebär att Sverige nu befinner sig i det allvarligaste säkerhetspolitiska läget sedan andra världskriget. Regeringen och Försvarsmakten informerar om det aktuella säkerhetsläget när det gäller försvarsfrågor.
Vid kriser och höjd beredskap
Vid olyckor, allvarliga händelser och störningar i viktiga samhällsfunktioner såväl som vid höjd beredskap sprids viktigt meddelande till allmänheten (VMA) via till exempel radio och TV. I vissa fall kan även SMS och utomhusvarningssystemet användas.
https://www.informationssakerhet.se/stod--vagledning/
Stöd & Vägledning
Lagar & Regelverk
Lagar, förordningar och föreskrifter är exempel på rättsliga regelverk som styr samhällets informationssäkerhet
Lagar och andra författningar är ett av samhällets starkaste styrmedel och fyller en viktig roll för att bygga upp informationssäkerhet både nationellt och internationellt. I vissa fall handlar det om att specificera ett särskilt skydd för viss typ av information medan i andra påbjuds ett sätt att arbeta med informationssäkerhet på mer generell nivå.
På de här sidorna finner du kortare redogörelser för ett antal centrala lagar, förordningar, myndighetsföreskrifter och allmänna råd som är centrala ur ett informationssäkerhetsperspektiv. Vi har valta att dela in författningarna i tre kategorier:
- Rättsligt skydd för viss typ av information,
- Rättsliga krav på informationssäkerhet i olika verksamheter
- IT-brott och IT-relaterad brottslighet
Standarder för informationssäkerhet spelar också en viktigt roll för samhällets informationssäkerhet. De kan fungera som verktyg vid exempelvis upphandling eller för att kvalitetsäkra och effektivisera sin verksamhet.
Lagar & Regelverk
Rättsligt skydd för viss typ av information
Vissa särskilda typer av information skyddas på olika sätt genom bestämmelser i olika författningar (lag, förordning och föreskrift).
Se även sidan om Förordningar och föreskrifter.
Typer av information
Allmänna handlingar
Offentlighetsprincipen, som framgår av tryckfrihetsförordningens andra kapitel, reglerar vilken typ av information hos myndigheterna som ska betraktas som allmänna handlingar och då enligt huvudregeln vara tillgängliga, offentliga. Vissa allmänna handlingar innehåller dock känsliga uppgifter, exempelvis rörande rikets säkerhet eller den enskildes personliga förhållanden. Offentlighets- och sekretesslagen specificerar därför vilka av de allmänna handlingarna som ska beläggas med sekretess.
Tryckfrihetsförordning (1949:105)
Offentlighets- och sekretesslag (2009:400)
Sekretessbelagd information rörande Sveriges säkerhet
Information som är sekretessbelagd med hänsyn till Sveriges säkerhet ges ett särskilt skydd genom säkerhetsskyddslagen. Säkerhetsskyddet ska bland annat förebygga att sådana uppgifter på ett obehörigt sätt röjs, ändras eller förstörs samt hindra obehöriga att få tillträde till platser där de kan få tillgång till den typen av uppgifter. Regleringen innehåller regler om vilken kontroll man får göra av personer som hanterar den här typen av information. I säkerhetsskyddsförordningen finns bland annat regler kring kryptering och behörighetskontroll.
Säkerhetsskyddsförordning (2021:955)
Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1)
Personuppgifter
Dataskyddsförordningen (GDPR) är till att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen gäller i hela EU och har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras. Samma regler gäller inom hela EU.
Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person i livet. Genom att i lagstiftning begränsa och styra de sätt på vilka man får hantera personuppgifter ges informationen ett särskilt skydd. Lagstiftningen innehåller även regler om vilka tekniska och organisatoriska säkerhetsåtgärder den som hanterar personuppgifter ska vidta.
Integritetsskyddsmyndigheten är den myndighet i Sverige som genom sin stöd- och tillsynsverksamhet ska bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet.
I samhället finns det ett behov av stöd för att kunna hantera informationssäkerhetsaspekten av de krav som finns i dataskyddsförordningen, dvs. säkerställa informationens tillgänglighet, riktighet och konfidentialitet.
Metodstöd för systematiskt informationssäkerhetsarbete på informationssäkerhet.se riktar sig till dig som arbetar med informationssäkerhet i en organisation. I detta arbete är personuppgifter en typ av information som det systematiska informationssäkerhetsarbetet ska omhänderta. Metodstödet ger därmed ett bra stöd i arbetet med att uppfylla delar av de krav som finns i dataskyddsförordningen.
Svensk version av dataskyddsförordningen
Integritetsskyddsmyndighetens webbsida om dataskyddsförordningen
Företagshemligheter
Lagen om skydd av företagshemligheter är ytterligare ett exempel på reglering som ger en viss typ av information ett särskilt skydd. I det här fallet gäller det information om affärs- eller driftförhållanden i en näringsidkares rörelse som näringsidkaren håller hemlig och vars röjande är ägnat att medföra skada för honom i konkurrenshänseende.
Uppgifter som företag väljer att skydda genom särskilda tekniska åtgärder får även ett rättsligt skydd genom att det blir brottsligt att olovligen skaffa sig tillgång till företagshemligheten. Den som gör sig skyldig till företagsspioneri kan dömas till böter eller fängelse i högst två år. Om brottet är grovt kan straffet bli fängelse upp till 6 år.
Lag (1990:409) om skydd av företagshemligheter
Information som ska arkiveras
En viktig uppgift med många kopplingar till informationssäkerhet är att över tid säkra riktigheten hos och skapa tillgänglighet till allmänna handlingar. Arkivering ställer särskilda krav, särskilt när det gäller elektronisk information. Riksarkivet utfärdar föreskrifter på området.
Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar, RA-FS 2009:1
Riksarkivets föreskrifter och allmänna råd om gallring av säkerhetshandlingar, RA-FS 2021:3
https://www.digg.se/ledning-och-samordning/europeisk-digital-identitet
Europeisk digital identitet
Med den europeiska digitala identiteten får medborgare i EU-länder tillgång till tjänster online utan att behöva dela med sig av personuppgifter i onödan. De kan till exempel öppna ett bankkonto eller hyra en lägenhet i sitt hemland eller ett annat europeiskt land. Fördelen är att ha full kontroll över de data som delas. Målet är att medlemsländerna ska kunna erbjuda sina medborgare en digital identitetslösning inom de kommande åren.
Vad innebär en europeisk digital identitet?
Kort sagt innebär förslaget att alla EU-länder ska kunna erbjuda medborgare och företag digitala plånböcker som kan kopplas till deras nationella digitala identitet som till exempel körkort, utbildningsbevis och bankkonton.
De kommer att kunna styrka sin identitet och dela med sig av elektroniska handlingar med sina identitetsplånböcker som de har laddat ner på exempelvis sina mobiltelefoner. Identitetsplånböckerna kan tillhandahållas av offentliga myndigheter eller privata aktörer, om dessa godkänns av ett EU-land.
Identitetsplånböcker kommer att:
- vara tillgänglig för alla
- ha en bred användning genom att ge tillgång till offentliga och privata digitala tjänster i hela unionen
- ge användarna kontroll över sina data.
På EU-kommissionens webbplats om digital identitet och identitetsplånböcker finns mer information:
EU Digital Identity Wallet (europa.eu)Länk till annan webbplats.
Vad händer nu?
Förordningen om digital identitet möjliggör att fler tjänster kan nås digitalt, inklusive över gränserna.
Medlemmar från eIDAS Expert Group, utsedda av medlemsstaterna, arbetar för att ta fram en teknisk verktygslåda bestående av arkitektur och referensramverk, tekniska specifikationer och riktlinjer som behövs för att bygga EU:s digitala identitetsplånbok.
EU-kommissionen tillhandahåller en referensimplementation av plånboken, baserad på det arkitekturella ramverket.
EU:s digitala identitetsplånbok markerar nästa steg i Europas digitala transformation
https://www.digg.se/ledning-och-samordning/europeisk-digital-identitet
Storskaliga pilotprojekt används för att testa identitetsplånböcker
Fyra pilotprojekt testar EU:s digitala identitetsplånbok i en mängd olika vardagsscenarier, relevanta för européernas dagliga liv och pågår till 2025.
Piloterna bygger på specifikationerna i Architecture and Reference Framework (ARF).
Resultaten av testerna delas för att ytterligare förbättra säkerheten, interoperabiliteten och designen av identitetsplånboken.
Sverige deltar i två av piloter
Digital Credentials for Europe (DC4EU) fokuserar på utbildningsbevis och yrkeskvalifikationer samt socialförsäkringsområdet.
Digital Credentials for Europe (dc4eu.eu)Länk till annan webbplats.
EU Digital Identity Wallet Consortium (EWC) som fokuserar på digitala organisationsplånböcker, resor och initiering av betalningar.
EU Digital Identity Wallet Consortium (eudiwalletconsortium.org)Länk till annan webbplats.
Dokument och länkar
- EU Digital Identity Wallet Consortium (eudiwalletconsortium.org)Länk till annan webbplats.
- Digital Credentials for Europe (dc4eu.eu)Länk till annan webbplats.
- EU Digital Identity Wallet (europa.eu)Länk till annan webbplats.
https://www.digg.se/digitala-tjanster/sveriges-dataportal
Sveriges dataportal
Sveriges dataportal samordnar och tillgängliggör datamängder som tillhandahålls av offentliga och privata organisationer.
Besök Dataportalen
Sök och utforska data på Sveriges dataportal, www.dataportal.se.
Sveriges dataportal för ökad innovationskraft
Dataportalen är till för er som har data, för er som redan använder och utvecklar kring data,
såväl som för er som precis har börjat fundera på hur den samlade kraften i vår data kan förflytta samhället framåt.
https://www.dataportal.se/om-oss#sa_har_fungerar_sveriges_dataportal
https://www.dataportal.se/om-oss#hur_kan_du_bidra_till_sveriges_dataportal?
https://www.dataportal.se/om-oss#oppen_kallkod_for_okad_transparens_och_innovation
https://www.dataportal.se/om-oss#kontakta_oss
https://www.dataportal.se/om-oss#vanliga_fragor_och_svar
Stöd och verktyg
Verktygslåda för att dela data
Vad innebär de nya EU-reglerna om e-legitimering?
Den reviderade eIDAS-förordningen som träder i kraft under våren syftar till att stärka användarens kontroll över sina data, införa en digital identitetsplånbok och bidra till att öka spridningen av gränsöverskridande e-legitimering. I den här filmen fokuserar vi på eID-delen av eIDAS.
Filmen är särskilt intressant för personer intresserade av vad som händer på eID-området, för aktörer med register gällande fysisk eller juridisk person samt för alla som ska förlita sig på plånboken.
Mer inom området Digital identitet
Läs mer om Digital identitet
E-legitimering
Idag används e-legitimationer dagligen för att logga in i e-tjänster. 93 procent av den svenska befolkningen har en e-legitimation (2023). Digg ansvarar för den gemensamma digitala infrastrukturen inom den offentliga förvaltningen, däribland den för elektronisk identifiering.
Andra webbplatser
https://www.digg.se/kunskap-och-stod/oppna-och-delade-data/offentliga-aktorer
Offentliga aktörer
Data från offentliga förvaltningar är en samhällsresurs som kan skapa nya värden, ny kunskap och innovation. Här kan du läsa viktig information om vägledningar kring detta ämne och om vilka som använder öppna och delade data.
https://www.digg.se/kunskap-och-stod/oppna-och-delade-data/offentliga-aktorer/vardefulla-datamangder
Användare av öppna och delade data utgör ingen homogen grupp av människor utan kan återfinnas i olika delar av samhället och kan vara drivna av olika intressen. Den öppna och digitala tillgången gör också att dataanvändare idag kan ses som gränsöverskridande i bemärkelsen att användningen är frikopplad från såväl organisatoriska som nationella eller regionala gränser. För att man ändå ska kunna skapa sig en förståelse av vilka som använder öppna och delade data, och varför, beskrivs här fyra förenklade typanvändare. Det är dock viktigt att komma ihåg att dessa konkretiserade användargrupper inte fullt ut ger en bild av alla möjliga användare.
Informationsdrivna användare
Målgruppen informationsdrivna användare avser personer som har ett mer allmänt intresse av att hitta information och fakta. Denna användarkategori kan bestå av personer från hela samhället och som både kan vara driven utifrån en specialkompetens inom olika områden eller av allmänt intresse.
Exempel på roller man hittar i denna kategori är bl.a politiker, studenter, forskare, journalister, entreprenörer, kulturarvsintresserade, historiker, media i allmänhet och olika typer av intresseorganisationer.
Vanligt förekommande drivkrafter är bl.a insyn och delaktighet i offentlig verksamhet, att förstå och delta i arbetet med att adressera samhällsutmaningar, samt att få information som rör deras geografiska närområde. För att denna kategori av användare ska kunna ta till sig datamängderna och den information som de innehåller är det särskilt viktigt att informationen visualiseras, att beskrivningar och tillhörande dokumentation håller bra kvalitet och lätt att ta till sig.
Verksamhetsdrivna användare
Målgruppen verksamhetsdrivna användare avser personer som primärt ämnar att förbättra verksamheten, dess processer eller tjänster i en befintlig eller ny organisation med hjälp av data. Detta kan innebära att man själv agerar som dataanvändare, men också att man kan ta rollen som facilitator för möjliggöra datadrivna förbättringar.
Dessa kan antingen ske i den egna organisationen eller genom samverkan med andra aktörer, t.ex att förbättra befintliga processer med mer strukturerade data som möjliggör nya tekniska lösningar eller att effektivisera samarbeten genom förbättrad tillgång till gemensamma data.
Utvecklardrivna användare
Målgruppen utvecklingsdrivna användare avser primärt personer med teknisk kompetens inom data och programmering som använder öppna data för utveckling av tjänster, system eller applikationer. Dessa användare kan använda data både i egen regi via t.ex start-ups, eller vara anställda på större företag eller organisationer i olika branscher och verksamhetsområden.
För denna användarkategori är behovet av ett API och strukturerade datamängder ofta stort eftersom det gör det enklare att utveckla nya innovativa tjänster som blir hållbara över tid. Om data ska användas för AI-applikationer är det viktigt att kunna förstå omfattningen och storleken på datamängden.
Mer generellt är det viktigt att datamängderna följer etablerade standarder, både för innehåll och metadata, har gedigen dokumentation och öppna licenser, är särskilt viktigt för tjänster som bygger på data från flera olika aktörer.
Analysdrivna användare
Målgruppen analysdrivna användare avser primärt personer med kompetens inom datahantering och dataanalys som är intresserade av att t.ex ladda ner data i sin helhet för att göra analyser eller prognoser, jämföra med annan data (t.ex. från privat sektor) eller granska innehållet utifrån olika perspektiv.
Exempel på roller som kan hamna i denna kategori är bl.a journalister, utredare, dataanalytiker, forskare, eller studenter. För denna användarkategori är tillgången till komplett data i standardformat, med tillhörande dokumentation kring t.ex hur datamängden togs fram, ofta viktiga aspekter. Att kunna ställa frågor kring datamängden och kunna begära ut kompletterande information är också något som kan vara viktigt ur ett analysperspektiv.
Innehåll på sidan
AI-förordningen
Proposal for a regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (artificial intelligence act) 2021/0106 (COD).
Syftet med en EU-gemensam lagstiftning om AI är att säkerställa att användning av AI-system på EU:s inre marknad är säkra, respekterar mänskliga rättigheter och underlättar för innovation och investering inom AI.
Vad handlar förordningen om?
AI-förordningen ska reglera användningen av AI-system med en EU-gemensam lagstiftning. Användningen av AI-system kommer att regleras med en riskbaserad modell där viss användning kan förbjudas och annat tillåtas med restriktioner och krav i form av bland annat tillsyn och registrering. Det är främst AI-system med hög risk som nu får krav på transparens, kvalitetssäkring och möjlighet till granskning. Det är bara sådana AI-lösningar som omfattas av definitionen av ”AI-system” som möste följa kraven.
Vilka påverkas av AI-förordningen?
AI-förordningen ska gälla för alla som använder AI-system, både inom privat och offentlig verksamhet. Bestämmelserna i AI-förordningen riktas i första hand mot användning av AI-system inom vissa verksamhetsområden och för vissa syften, som till exempel inom bedömningar av människors beteenden, värderingar och för övervakning.
När börjar förordningen gälla?
EU-kommissionen lämnade förslag på AI-förordningen den 21 april 2021 och därefter har Europeiska rådet och Parlamentet förhandlat under andra halvåret 2023. AI-akten är nu i sista steget av lagstiftningsarbetet och kommer sannolikt att beslutas under våren 2024. Kommissionen har föreslagit att AI-förordningen ska börja gälla 24 månader efter att den har trätt i kraft, men undantag finns för viss användning av AI-system som träder i kraft tidigare och annan senare.
Finns det några sanktioner?
Ja, det kommer att finnas administrativa sanktionsavgifter för överträdelser som fastställs genom en procentandel av årsomsättningen. Det kommer även att inrättas möjligheter för fysiska eller juridiska personer att lämna in klagomål till den nationella myndighet som får i uppdrag att utöva tillsyn över AI-förordningen.
Vilken användning av AI omfattas?
Vilken typ av AI som kommer att räknas som AI-system och omfattas av förordningen är ännu inte beslutat och definitionen av ”AI-system” ingår i förhandlingen.
Förberedelsearbete
Ett sätt att förbereda sig inför kommande lagstiftning är att inventera i sin organisation vilka typer av AI-lösningar som redan används eller som planeras eller testas. Det är bra att göra en inledande bedömning om det är frågan om automatiserde beslutsprocesser eller mer avancerade AI-system som kan omfattas av AI-förordningen.
I förordningen kommer det att ställas krav på bland annat spårbarhet för beslut och dokumentation om de AI-system som används. Det kan därför vara bra att redan nu se över denna typ av rutiner inom verksamheten. Ett bra stöd finns i den förtroendemodell som Digg med flera myndigheter har tagit fram.
Lär dig mer
Artificial intelligence act: Council and Parliament strike a deal on the first rules for AI in the world
This press release was updated on 2 February 2024 to add the final compromise text with a view to agreement.
Following 3-day ‘marathon’ talks, the Council presidency and the European Parliament’s negotiators have reached a provisional agreement on the proposal on harmonised rules on artificial intelligence (AI), the so-called artificial intelligence act. The draft regulation aims to ensure that AI systems placed on the European market and used in the EU are safe and respect fundamental rights and EU values. This landmark proposal also aims to stimulate investment and innovation on AI in Europe.
This is a historical achievement, and a huge milestone towards the future! Today’s agreement effectively addresses a global challenge in a fast-evolving technological environment on a key area for the future of our societies and economies. And in this endeavour, we managed to keep an extremely delicate balance: boosting innovation and uptake of artificial intelligence across Europe whilst fully respecting the fundamental rights of our citizens.
Carme Artigas, Spanish secretary of state for digitalisation and artificial intelligence
The AI act is a flagship legislative initiative with the potential to foster the development and uptake of safe and trustworthy AI across the EU’s single market by both private and public actors. The main idea is to regulate AI based on the latter’s capacity to cause harm to society following a ‘risk-based’ approach: the higher the risk, the stricter the rules. As the first legislative proposal of its kind in the world, it can set a global standard for AI regulation in other jurisdictions, just as the GDPR has done, thus promoting the European approach to tech regulation in the world stage.
The main elements of the provisional agreement
Compared to the initial Commission proposal, the main new elements of the provisional agreement can be summarised as follows:
- rules on high-impact general-purpose AI models that can cause systemic risk in the future, as well as on high-risk AI systems
- a revised system of governance with some enforcement powers at EU level
- extension of the list of prohibitions but with the possibility to use remote biometric identification by law enforcement authorities in public spaces, subject to safeguards
- better protection of rights through the obligation for deployers of high-risk AI systems to conduct a fundamental rights impact assessment prior to putting an AI system into use.
In more concrete terms, the provisional agreement covers the following aspects:
Definitions and scope
To ensure that the definition of an AI system provides sufficiently clear criteria for distinguishing AI from simpler software systems, the compromise agreement aligns the definition with the approach proposed by the OECD.
The provisional agreement also clarifies that the regulation does not apply to areas outside the scope of EU law and should not, in any case, affect member states’ competences in national security or any entity entrusted with tasks in this area. Furthermore, the AI act will not apply to systems which are used exclusively for military or defence purposes. Similarly, the agreement provides that the regulation would not apply to AI systems used for the sole purpose of research and innovation, or for people using AI for non-professional reasons.
Classification of AI systems as high-risk and prohibited AI practices
The compromise agreement provides for a horizontal layer of protection, including a high-risk classification, to ensure that AI systems that are not likely to cause serious fundamental rights violations or other significant risks are not captured. AI systems presenting only limited risk would be subject to very light transparency obligations, for example disclosing that the content was AI-generated so users can make informed decisions on further use.
A wide range of high-risk AI systems would be authorised, but subject to a set of requirements and obligations to gain access to the EU market. These requirements have been clarified and adjusted by the co-legislators in such a way that they are more technically feasible and less burdensome for stakeholders to comply with, for example as regards the quality of data, or in relation to the technical documentation that should be drawn up by SMEs to demonstrate that their high-risk AI systems comply with the requirements.
Since AI systems are developed and distributed through complex value chains, the compromise agreement includes changes clarifying the allocation of responsibilities and roles of the various actors in those chains, in particular providers and users of AI systems. It also clarifies the relationship between responsibilities under the AI Act and responsibilities that already exist under other legislation, such as the relevant EU data protection or sectorial legislation.
For some uses of AI, risk is deemed unacceptable and, therefore, these systems will be banned from the EU. The provisional agreement bans, for example, cognitive behavioural manipulation, the untargeted scraping of facial images from the internet or CCTV footage, emotion recognition in the workplace and educational institutions, social scoring, biometric categorisation to infer sensitive data, such as sexual orientation or religious beliefs, and some cases of predictive policing for individuals.
Law enforcement exceptions
Considering the specificities of law enforcement authorities and the need to preserve their ability to use AI in their vital work, several changes to the Commission proposal were agreed relating to the use of AI systems for law enforcement purposes. Subject to appropriate safeguards, these changes are meant to reflect the need to respect the confidentiality of sensitive operational data in relation to their activities. For example, an emergency procedure was introduced allowing law enforcement agencies to deploy a high-risk AI tool that has not passed the conformity assessment procedure in case of urgency. However, a specific mechanism has been also introduced to ensure that fundamental rights will be sufficiently protected against any potential misuses of AI systems.
Moreover, as regards the use of real-time remote biometric identification systems in publicly accessible spaces, the provisional agreement clarifies the objectives where such use is strictly necessary for law enforcement purposes and for which law enforcement authorities should therefore be exceptionally allowed to use such systems. The compromise agreement provides for additional safeguards and limits these exceptions to cases of victims of certain crimes, prevention of genuine, present, or foreseeable threats, such as terrorist attacks, and searches for people suspected of the most serious crimes.
General purpose AI systems and foundation models
New provisions have been added to take into account situations where AI systems can be used for many different purposes (general purpose AI), and where general-purpose AI technology is subsequently integrated into another high-risk system. The provisional agreement also addresses the specific cases of general-purpose AI (GPAI) systems.
Specific rules have been also agreed for foundation models, large systems capable to competently perform a wide range of distinctive tasks, such as generating video, text, images, conversing in lateral language, computing, or generating computer code. The provisional agreement provides that foundation models must comply with specific transparency obligations before they are placed in the market. A stricter regime was introduced for ‘high impact’ foundation models. These are foundation models trained with large amount of data and with advanced complexity, capabilities, and performance well above the average, which can disseminate systemic risks along the value chain.
A new governance architecture
Following the new rules on GPAI models and the obvious need for their enforcement at EU level, an AI Office within the Commission is set up tasked to oversee these most advanced AI models, contribute to fostering standards and testing practices, and enforce the common rules in all member states. A scientific panel of independent experts will advise the AI Office about GPAI models, by contributing to the development of methodologies for evaluating the capabilities of foundation models, advising on the designation and the emergence of high impact foundation models, and monitoring possible material safety risks related to foundation models.
The AI Board, which would comprise member states’ representatives, will remain as a coordination platform and an advisory body to the Commission and will give an important role to Member States on the implementation of the regulation, including the design of codes of practice for foundation models. Finally, an advisory forum for stakeholders, such as industry representatives, SMEs, start-ups, civil society, and academia, will be set up to provide technical expertise to the AI Board.
Penalties
The fines for violations of the AI act were set as a percentage of the offending company’s global annual turnover in the previous financial year or a predetermined amount, whichever is higher. This would be €35 million or 7% for violations of the banned AI applications, €15 million or 3% for violations of the AI act’s obligations and €7,5 million or 1,5% for the supply of incorrect information. However, the provisional agreement provides for more proportionate caps on administrative fines for SMEs and start-ups in case of infringements of the provisions of the AI act.
The compromise agreement also makes clear that a natural or legal person may make a complaint to the relevant market surveillance authority concerning non-compliance with the AI act and may expect that such a complaint will be handled in line with the dedicated procedures of that authority.
Transparency and protection of fundamental rights
The provisional agreement provides for a fundamental rights impact assessment before a high-risk AI system is put in the market by its deployers. The provisional agreement also provides for increased transparency regarding the use of high-risk AI systems. Notably, some provisions of the Commission proposal have been amended to indicate that certain users of a high-risk AI system that are public entities will also be obliged to register in the EU database for high-risk AI systems. Moreover, newly added provisions put emphasis on an obligation for users of an emotion recognition system to inform natural persons when they are being exposed to such a system.
Measures in support of innovation
With a view to creating a legal framework that is more innovation-friendly and to promoting evidence-based regulatory learning, the provisions concerning measures in support of innovation have been substantially modified compared to the Commission proposal.
Notably, it has been clarified that AI regulatory sandboxes, which are supposed to establish a controlled environment for the development, testing and validation of innovative AI systems, should also allow for testing of innovative AI systems in real world conditions. Furthermore, new provisions have been added allowing testing of AI systems in real world conditions, under specific conditions and safeguards. To alleviate the administrative burden for smaller companies, the provisional agreement includes a list of actions to be undertaken to support such operators and provides for some limited and clearly specified derogations.
Entry into force
The provisional agreement provides that the AI act should apply two years after its entry into force, with some exceptions for specific provisions.
Next steps
Following today’s provisional agreement, work will continue at technical level in the coming weeks to finalise the details of the new regulation. The presidency will submit the compromise text to the member states’ representatives (Coreper) for endorsement once this work has been concluded.
The entire text will need to be confirmed by both institutions and undergo legal-linguistic revision before formal adoption by the co-legislators.
Background information
The Commission proposal, presented in April 2021, is a key element of the EU’s policy to foster the development and uptake across the single market of safe and lawful AI that respects fundamental rights.
The proposal follows a risk-based approach and lays down a uniform, horizontal legal framework for AI that aims to ensure legal certainty. The draft regulation aims to promote investment and innovation in AI, enhance governance and effective enforcement of existing law on fundamental rights and safety, and facilitate the development of a single market for AI applications. It goes hand in hand with other initiatives, including the coordinated plan on artificial intelligence which aims to accelerate investment in AI in Europe. On 6 December 2022, the Council reached an agreement for a general approach (negotiating mandate) on this file and entered interinstitutional talks with the European Parliament (‘trilogues’) in mid-June 2023.
- Artificial Intelligence Act, Text of the provisional agreement, 2 February 2024
- Artificial intelligence act, Council’s General Approach, 6 December 2022
- Artificial intelligence act, Commission proposal, 14 April 2021
- A European approach to artificial intelligence (European Commission information)
- A digital future for Europe (background information)
- Your life online: how the EU is making it easier and safer for you (feature story)
- Artificial intelligence (background information)
https://www.digg.se/kunskap-och-stod/metodstod-for-dataskydd-vid-innovation
Metodstöd för dataskydd vid innovation
Metodstödet ger dig som offentlig aktör stöd i dataskyddsfrågor som du behöver hantera när du arbetar med innovation, digitalisering och digital verksamhetsutveckling. Syftet är att ge dig vägledning i hur du utformar en personuppgiftsbehandling som följer dataskyddsförordningen.
https://www.digg.se/kunskap-och-stod/metodstod-for-dataskydd-vid-innovation/dataskydd-och-innovation
https://www.digg.se/kunskap-och-stod/metodstod-for-dataskydd-vid-innovation/checklista
Inledning
Sverige är mitt i en digital transformation som berör alla samhällssektorer och hela samhället. Digitaliseringen innebär att allt fler personuppgifter samlas in, används och återanvänds. Behandling av personuppgifter bidrar till bra och effektiva tjänster för medborgarna, men medför också stora utmaningar kopplat till den personliga integriteten.
Frågan om personlig integritet handlar i grunden om vilken typ av samhälle vi vill leva i, idag och i framtiden. Det är inte ett smalt expert- eller nischområde. Det är nödvändigt att integritet förstås som ett värde som bidrar till att värna och bygga förtroende i samhället, inte som en broms eller ett nödvändigt ont för att undvika sanktioner.
När offentliga aktörer innoverar och med hjälp av teknik tar fram nya processer, tjänster och produkter är det viktigt att säkerställa att insamling och användning av personuppgifter sker på ett etiskt, lagligt och långsiktigt hållbart sätt. Som offentlig aktör bör du sträva efter att vara förebilder för en hållbar digitalisering och bygga in dataskydd från början.
Dataskyddsförordningen beskrivs ofta som ett komplicerat regelverk som hindrar eller hämmar utveckling av ny teknik och digitalisering, men den är till för att skydda grundläggande rättigheter och friheter, särskilt rätten till personlig integritet. Dataskyddsförordningen ska trygga att vår personliga integritet inte kränks, genom att våra personuppgifter exempelvis sprids och används för andra syften än vad som var tänkt från början. Dataskyddsförordningen har syftet att säkerställa ett fritt flöde av personuppgifter inom EU och EES. Den ska dessutom hindra integritetshotande teknik som utför överdriven eller obefogad behandling av personuppgifter.
Reglerna i förordningen gäller i hela EU. Förordningen innehåller bland annat skyldigheter för verksamheter som behandlar personuppgifter. Det är Integritetsskyddsmyndigheten (IMY), Sveriges nationella tillsynsmyndighet för behandling av personuppgifter, som granskar att reglerna på dataskyddsområdet följs, till exempel genom att utöva tillsyn och ge vägledning. Verksamheter som bryter mot reglerna riskerar exempelvis sanktionsavgifter eller förelägganden om att rätta till brister som upptäckts vid tillsyn.
Om metodstödet
Metodstödet är framtaget av Digg och IMY i samverkan. Det ska vara ett stöd om dataskyddsfrågor för offentliga aktörer att använda vid innovation, digitalisering och digital verksamhetsutveckling. Metodstödet kan användas både om du och din organisation ska påbörja en ny person-uppgiftsbehandling eller digitalisera en pågående behandling. Syftet är att vägleda dig att utforma en personuppgiftsbehandling som följer dataskyddsförordningen.
Metodstödet utgår från två övergripande förutsättningar:
- En organisation som ska innovera måste beakta dataskyddsförordningen löpande under innovationsarbetets gång.
- Det krävs kontinuerligt och strukturerat tvärfunktionellt samarbete mellan de funktioner – jurister, tekniker och chefer – som deltar i innovationsarbetet.
I detta metodstöd föreslås en modell för hur det tvärfunktionella samarbetet kan se ut. Att använda metodstödet skapar inga garantier för att personuppgiftsbehandlingen kommer följa dataskyddsförordningen. Metodstödet bidrar dock till att skapa en grundlig dokumentation om personuppgiftsbehandlingen. Underlaget är en viktig beståndsdel i att uppfylla dataskyddsförordningens princip om ansvarsskyldighet, som innebär att den personuppgiftsansvariga ansvarar för att behandlingen följer förordningen. Underlaget kan också ligga till grund för en konsekvensbedömning om dataskydd.
Innovation i offentlig förvaltning kan ske med olika syften och i olika former, det kan till exempel handla om att utföra befintliga uppgifter på nya sätt, eller att införa nya delar till verksamheter. Detta metodstöd tar i huvudsak sikte på när innovation innebär att en teknisk tjänst eller produkt ska utvecklas eller köpas för att användas i offentliga aktörers verksamhet.
Metodstödet riktar sig till offentlig förvaltning
Metodstödet riktar sig till verksamheter i offentlig förvaltning. Inom dessa verksamheter är tanken att jurister, utvecklare, it-arkitekter, beslutsfattare och projektledare med flera, som är inblandade i ett innovationsprojekt, ska hitta stöd i samarbetet med andra kompetenser än den egna. Även om avsnittet Rättslig bedömning av personuppgiftsbehandlingen utgår från regelverket i dataskyddsregleringarna är det vår förhoppning att detta metodstöd ska vara ett verktyg för att tillämpa den juridiska metoden tillsammans med utvecklingsmetodik.
Film om metodstödet
I filmen berättar vi om innehållet i metodstödet och hur det är uppbyggt.
https://www.digg.se/kunskap-och-stod/metodstod-for-dataskydd-vid-innovation
Innehåll på sidan
https://www.digg.se/kunskap-och-stod/eu-rattsakter/ai-forordningen#h-Lardigmer
Civilsamhället och frivilliga
Enskilda individer och civilsamhället med frivilliga, ideella organisationer och trossamfund har en viktig roll i totalförsvaret. Några som har särskilt utpekade uppdrag inom krisberedskap och totalförsvar är de 18 frivilliga försvarsorganisationerna.
Näringslivet
Förbättrad försörjningsberedskap genom privat-offentlig samverkan är en viktig del i återuppbyggnaden av totalförsvaret. Under 2023 tillsatte regeringen Näringslivsrådet för totalförsvar och krisberedskap med representanter från näringslivet, arbetstagar- samt arbetsgivarorganisationer och staten. Rådet leds av ministern för civilt försvar och regeringen representeras även av försvarsministern, energi- och näringsministern samt landsbygdsminstern.
Nationell strategi för samhällets informations- och cybersäkerhet, skr. 2016/17:213, bilaga: Uppdatering om genomförandet av Nationell strategi för samhällets informations- och cybersäkerhet
https://www.regeringen.se/rattsliga-dokument/skrivelse/2017/06/skr.-201617213/
För att öka samverkan mellan samhällets olika aktörer, och därmed den samlade effektiviteten i genomförandet av den Nationella strategin för samhällets informations- och cybersäkerhet (skr. 2016/17:213), har regeringen beslutat om en komplettering av strategin i form av en bilaga. Syftet med kompletteringen är att utveckla och tydliggöra ansvar och roller för genomförandet av strategin i en styrningsram. Kompletteringen innehåller vidare ett avsnitt om hur NIS-direktivet genomförts i svensk rätt. Slutligen innehåller kompletteringen en översikt över regeringens pågående aktiviteter för att genomföra strategin.
Ladda ner:
I samband med detta uppdrar regeringen åt Myndigheten för samhällsskydd och beredskap, Försvarets radioanstalt, Försvarets materielverk, Försvarsmakten, Post- och telestyrelsen, Polismyndigheten och Säkerhetspolisen att ta fram en samlad handlingsplan för dessa myndigheters arbete utifrån målen i Nationell strategi för samhällets informations- och cybersäkerhet (skr. 2016/17:213). Handlingsplanen ska omfatta åren 2019–2022. Myndigheten för samhällsskydd och beredskap ska vara sammanhållande för arbetet med handlingsplanen.
Relaterat
- Förbättrad operativ krishantering vid cyberattacker i betalningssystemet
Publicerad 26 februari 2024 · Pressmeddelande från Niklas Wykman, Finansdepartementet
- Mats Persson och Carl-Oskar Bohlin inviger Cybercampus Sverige
Publicerad 06 februari 2024 · Pressmeddelande från Carl-Oskar Bohlin, Mats Persson, Försvarsdepartementet, Utbildningsdepartementet
Metodstöd
MSB:s Metodstöd för systematiskt informationssäkerhetsarbete riktar sig till dig som arbetar med informationssäkerhet i en organisation, oavsett verksamhetsområde och storlek på organisation. Metodstödet ska kunna användas om din organisation står i startgroparna för att införa det systematiska arbetssättet men också om din organisation redan har mycket på plats.
Om Metodstödet
Metodstödet bygger på standarden SS-EN ISO/IEC 27001 Ledningssystem för informationssäkerhet. Mer om vad själva Metodstödet innehåller läser du i texten Att använda metodstödet. Mer om standardserien ISO/IEC 27000 läser du i texten Ledningssystem för informationssäkerhet.
År 2011 lanserades det första metodstödet för systematiskt informationssäkerhetsarbete, då under namnet metodstöd för LIS (ledningssystem för informationssäkerhet). Det reviderade Metodstödet är textmässigt avskalat och innehållsmässigt strukturerat på ett delvis annat sätt. Det är förstås även uppdaterat där så behövdes. Den stora skillnaden är att 2011 års version fokuserar mer på införandet av ett systematiskt informationssäkerhetsarbete och att detta är upplagt som ett projekt. Det finns inga motsättningar mellan 2011 års version och den reviderade versionen som lanserades 2018.
Metodstödet - en översikt
En översikt av Metodstödet finns att ladda ner och läsa här.
I den tillhörande bilagan Framgångsfaktorer och exempel får du praktiska råd och tips på hur ett systematiskt informationssäkerhetsarbete kan gå till.
Ledningens roll inom informationssäkerhet - ett stöd för dig med en ledande funktion
En publikation som vänder sig direkt till ledningen finns att ladda ner och läsa här.
Få hjälp att använda metodstödet
Nu erbjuder MSB en rådgivningstjänst som stödjer er i ert förebyggande arbete och underlättar för din organisation att anpassa informationssäkerhetsarbetet till er specifika verksamhet. Tjänsten kompletterar de vägledningar och stödmaterial som tagits fram genom att erbjuda personlig rådgivning via mail, telefon eller videosamtal. Ställ din fråga till rådgivningen för att få vägledning i hur just din organisation kan använda MSB:s olika stöd inom det systematiska informationssäkerhetsarbetet.
Klicka här för att komma till rådgivningen
Nya färger
Under slutet av 2020 och början av 2021 kommer Metodstödet att få nya färger för att bättre passa MSB:s grafiska profil. Bytet av färger i tidigare publicerat material kommer att utföras löpande.
Vi önskar synpunkter och exempel
Metodstödet kommer att ständigt förbättras och utvecklas. Nya texter och verktyg kommer att tillkomma. Succesivt kommer vägledningarna och verktygen att kompletteras med utbildningsmaterial, fördjupningstexter och kompletterande texter samt exempel från de organisationer som vill dela med sig.
Du får gärna lämna synpunkter på Metodstödet och tipsa oss om på vilka områden du skulle behöva mer stöd. Vi är också väldigt tacksamma om du vill dela med dig av goda exempel från din organisation. Vi kan inte lova att återkoppla personligen på dina synpunkter men alla synpunkter tas om hand och övervägs. Delar du med dig av goda exempel så kommer även dessa att övervägas för publicering. Om du inte uttryckligen vill att det ska framgå från vilken organisation exemplet kommer så kommer vi att anonymisera det du skickar in. Dina synpunkter och exempel skickar du till informationssakerhet@informationssakerhet.se.
Använd Metodstödet som det passar dig
Du får använda Metodstödet på det sätt som passar dig med villkor som följer licensen ”Creative Commons Erkännande 4.0 Internationella Publika Licens” (CC BY 4.0), https://creativecommons.org/licenses/by/4.0/legalcode.sv. Kortfattat innebär detta att du får använda och anpassa alla delar av Metodstödet så att det passar dina behov, till exempel kopiera, distribuera, överföra samt skapa egna bearbetningar av innehållet, även för kommersiellt bruk. Upphovsmannen måste alltid anges som ”MSB, www.informationssäkerhet.se”. Vid egna bearbetningar får det inte antydas att MSB godkänt eller rekommenderar bearbetningen eller användningen av det bearbetade verket.
Det reviderade metodstödet arbetades fram av en arbetsgrupp bestående av personer från både offentlig sektor och näringslivet.
INTERNETMUSEUM
Guidad tur om när internet tog sig in i våra svenska hem
▼
https://internetmuseum.se/guidade-turer/nar-internet-kom-till-vara-svenska-hem/
Utställningar
Här hittar du alla våra utställningar. Lär dig allt om onlinespelens historia, hur katten tog över internet eller se en intervju med en av Sveriges internetpionjärer.
▼
https://internetmuseum.se/utstallningar/
BROSCHYR
Hjälp oss att sprida kunskap
Vill du sprida kunskap om säkerhet på nätet? Beställ vår broschyr och sprid i ditt nätverk. Broschyren är kostnadsfri och finns på svenska, engelska och arabiska.
Beställ genom att skicka ett mejl till oss där du fyller i hur många exemplar du vill ha, på vilket språk och vilken adress de ska skickas till. E-post: info@internetstiftelsen.se
Broschyrens innehåll
Broschyren innehåller information om hur de vanligaste bedrägerierna går till och hur du kan skydda dig.
Du kanske har hört begreppet nätfiske. Det är ett samlingsnamn för när bedragare försöker lura dig att dela med dig av din personliga information. Bedragare kan använda kontaktvägar såsom mejl, sms och telefon.
För att lura dig är det vanligt att bedragarna som kontaktar dig låtsas jobba på en bank, en myndighet eller ett välkänt företag eller organisation. Bedragarnas ärenden varierar, men av olika anledningar uppmanas du nästan alltid att klicka på en länk eller att öppna en bifogad fil i ett mejl.
Bedragarna kan också be dig att dela koder från din bankdosa, använda din e-legitimation eller ladda hem ett program från nätet. För att du ska följa uppmaningen försöker bedragarna stressa dig med sina påhittade ärenden och de spelar ofta på dina känslor genom att göra dig nyfiken, glad eller orolig.
Undvik att bli lurad på nätet och hjälp andra bli säkrare på nätet – beställ broschyren och dela med dig av kunskapen.
https://internetkunskap.se/snabbkurser/
Snabbkurser – i förebyggande syfte
Ta någon av våra snabba kurser i säkerhet på nätet. På så sätt kan du bli en mer medveten internetanvändare och förebygga att bli lurad av bedragare.
https://internetkunskap.se/snabbkurser/handla-pa-natet/handla-begagnat-pa-natet-utan-att-bli-lurad/
https://internetkunskap.se/snabbkurser/handla-pa-natet/handla-sakert-pa-natet/
https://internetkunskap.se/snabbkurser/losenord-och-e-legitimation/sa-skyddar-du-din-e-legitimation/
https://internetkunskap.se/snabbkurser/losenord-och-e-legitimation/sa-skapar-du-starka-losenord/
https://internetkunskap.se/snabbkurser/natverk-och-prylar/skydda-ditt-tradlosa-hemnatverk/
https://internetkunskap.se/snabbkurser/natverk-och-prylar/sa-haller-du-dina-smarta-prylar-sakra/
https://internetkunskap.se/snabbkurser/natverk-och-prylar/sa-skyddar-du-din-mobil/
https://internetkunskap.se/snabbkurser/natverk-och-prylar/riskerna-med-publika-natverk/
https://internetkunskap.se/snabbkurser/mejl-sms-och-telefonbedragerier/skydda-dig-mot-bluff-sms/
https://internetkunskap.se/snabbkurser/mejl-sms-och-telefonbedragerier/undvik-kortbedragerier/
https://internetkunskap.se/snabbkurser/mejl-sms-och-telefonbedragerier/skydda-dig-mot-natfiske/
https://internetkunskap.se/snabbkurser/falska-sajter-och-annonser/skydda-dig-mot-falska-webbsidor/
https://internetkunskap.se/snabbkurser/mejl-sms-och-telefonbedragerier/skydda-dig-mot-bluffsamtal/
https://internetkunskap.se/snabbkurser/mejl-sms-och-telefonbedragerier/skydda-dig-mot-bluffmejl/
https://internetkunskap.se/snabbkurser/sociala-medier/om-ditt-sociala-medie-konto-kapats/
https://internetkunskap.se/snabbkurser/falska-sajter-och-annonser/kann-igen-falska-annonser/
https://internetkunskap.se/snabbkurser/mejl-sms-och-telefonbedragerier/kann-igen-bluffmejl/
https://internetkunskap.se/snabbkurser/sociala-medier/avsloja-falska-profiler-pa-sociala-medier/
Ordlista – vanliga internetord och begrepp
I Internetkunskaps ordlista hittar du ord, tjänster och begrepp kopplade till internet och digitalisering förklarade på ett enkelt och lättbegripligt sätt. Ordlistan fylls på löpande.
https://internetkunskap.se/amne/ordlista/
Visste du att du kan hållas ansvarig för att ha delat något?
Det är lätt att tro att man kan och får göra precis som man vill på nätet. Men du har ett ansvar för nästan allt du skriver, du kan till och med hållas ansvarig om du delar något någon annan skrivit.
Sverige är ett av de länder i världen där invånarna har bäst tillgång till internet. Trots det är det många av oss som inte vet vilka skyldigheter vi har när vi skriver och postar saker på nätet.
– Det är en vanlig missuppfattning att det inte finns några lagar som styr vad man får och inte får göra på nätet. När internet kom saknades tydliga kontrollerande organ, det blev lite som en fritidsgård utan någon som såg till den, säger Ängla Eklund, ordförande för institutet för juridik och internet och it-jurist på advokatbyrån Delphi.
Det är en vanlig missuppfattning att det inte finns några lagar som styr vad man får och inte får göra på nätet.
Vår rätt att utrycka våra åsikter och känslor i tal eller skrift på nätet skyddas framförallt av tre grundlagar, Regeringsformen, Tryckfrihetsförordningen och Yttrandefrihetsgrundlagen.
Men bara för att Sverige har yttrandefrihet innebär det inte att vi får säga eller skriva vad vi vill. Yttrandefriheten får inskränkas och ofta när vi postar saker på nätet använder vi oss av privata företag som Facebook, som har egna regler vi måste förhålla oss till.
Se upp med vad du delar!
Rent juridiskt styrs internet i stort sett av samma lagar som vårt övriga samhälle.
Många av Sveriges lagar hade inte för avsikt att tillämpas för internet när de stiftades och enligt Ängla Eklund har lagstiftningen länge släpat efter när det gäller nätet. Men det sker en förbättring, menar hon.
Ett exempel är lagen om olaga integritetsintrång som instiftades i början av 2018 och innebär att det är brottsligt att sprida kränkande material med syftet att skada den som utsätts.
– Det handlar om att man sprider integritetskänslig information. Det brottet saknade vi helt innan. Det visade sig tydligt i situationer som spridande av olycksfallsbilder, läkarjournaler eller hämndporr, säger hon.
Andra brott man kan göra sig skyldig till på internet är förtal, förolämpning, olaga hot, ofredande, sexuellt ofredande och hets mot folkgrupp.
Både den som skrev den ursprungliga kommentaren och den som sprider den vidare kan bli ansvarig.
En viktig sak att ha koll på är också att det inte bara är den som postar något som ska följa lagarna. Även den som delar har ett ansvar.
Att till exempel dela ett inlägg på Facebook eller Twitter där någon pekas ut som brottsling eller på något annat sätt missaktas kan vara lika allvarligt och till och med allvarligare än att ha skrivit originalinlägget. Delningen kan innebära att du förvärrar skadan för den som utsatts genom att fler kan ta del av informationen.
– Då kan två bli ansvariga, den som skrev den ursprungliga kommentaren och den som sprider den vidare. Det är ingen domstol som skulle ta hänsyn till att någon säger "men det var ju inte jag som skrev det där". Sprider du en förtalsaktig uppgift vidare är det ett brott i sig. Och ju mer spritt ett yttrande blir desto allvarligare brukar påföljden bli, säger Nils Funcke, journalist och expert på yttrandefrihetsfrågor.
Få koll på kommentarsfälten
Brukar du skriva i kommentarsfält finns det ytterligare några saker du måste känna till.
Det är en skillnad på modererade och omodererade kommentarsfält.
Modererade kommentarsfältet innebär att kommentarerna kontrolleras innan de publiceras. Så fungerar det ofta på sajter som omfattas av grundlagsskydd, till exempel nyhetstidningar, och på sajter med utgivningsbevis. Utgivningsbeviset slår fast att företagen måste ha en ansvarig utgivare som har det juridiska ansvaret för allt som publiceras, även vanliga privatpersoners kommentarer.
– Om kommentarsfältet är modererat så innebär det att det är den ansvarige utgivaren som blir ansvarig för inläggen, den enskilde som skrivit kommentaren kan då aldrig hållas ansvarig för det den skrivit, säger Nils Funcke.
Saknar webbplatsen en ansvarig utgivare, som till exempel en Facebook-sida eller en blogg, där kommentarsfälten ofta är omodererade, är det istället den som skrivit kommentaren som är ansvarig för dess innehåll.
– Skriver man i ett kommentarsfält som är omodererat och det publiceras direkt är man ansvarig för det man skriver. Skulle det man skrivit till exempel utgöra hets mot folkgrupp ska åklagaren väcka åtal mot den som skrivit, säger han.
Men det är inte bara den som skriver i det omodererade kommentarsfältet som kan hållas ansvarig. Lagen om ansvar för elektroniska anslagstavlor (även kallad BBS-lagen efter engelskans Bulletin Board System) kräver till exempel att den som tillhandahåller tjänsten ska hålla uppsikt över kommentarerna och ta bort det som uppenbart utgör otillåtna personuppgifter, uppvigling, hets mot folkgrupp, barnpornografi, olaga våldsskildring eller upphovsrättsbrott. Sedan 2018 omfattas även olaga hot och olaga integritetsintrång av BBS-lagen. Det kan vara bra att känna till om du ansvarar för ett omodererat kommentarsfält.
Ett avslutande tips
Så, tycker du att allt detta känns krångligt och svårt att hålla koll på?
Lugn, du är inte ensam. När det gäller vad man har laglig rätt att skriva och posta på internet har Nils Funcke ett tips man kan använda sig av:
– Det är rätt komplext, det är inte lätt för den enskilde att orientera sig i allt det här. Men det du inte är beredd att säga inför kompisarna ska du naturligtvis heller inte skriva på Facebook eller på nätet. Det är lite grann samma sociala spelregler som gäller på nätet som när vi träffas runt middagsbordet, säger han.
https://internetkunskap.se/artiklar/nathat-och-yttrandefrihet/vad-far-man-egentligen-saga-pa-natet/
Yttrandefriheten gör att du fritt får uttrycka dina känslor och åsikter – vilket är viktigt i en demokrati. Men får man säga precis vad man vill? Och kan yttrandefriheten hotas av aktörer som Facebook?
"Jag får säga så! Vi har faktiskt yttrandefrihet i det här landet!"
Du känner kanske igen resonemanget. Då och då stöter vi på någon som menar att yttrandefriheten är hotad för att den fått ett inlägg på sociala medier eller kanske en kommentar på en tidningssajt borttagen.
Att det skulle handla om ett brott mot yttrandefriheten är dock felaktigt.
Sveriges grundlagar skyddar medborgarnas rätt att uttrycka "tankar, åsikter och känslor" offentligt. Ur juridisk synvinkel är rättigheterna i stort sett desamma på nätet som utanför.
– Samma regler gäller på gatan som på internet. Yttrandefriheten gäller oberoende av var vi befinner oss, säger Ängla Eklund som är jurist och ordförande för den ideella organisationen Juridikinstitutet som arbetar mot kränkningar på nätet.
Grundlagarna skyddar dock inte bara medborgarnas rätt att uttrycka sig offentligt. De slår även fast att yttrandefriheten får begränsas "med hänsyn till rikets säkerhet, folkförsörjningen, allmän ordning och säkerhet, enskilds anseende, privatlivets helgd eller förebyggandet och beivrandet av brott."
Yttrandefriheten innebär alltså inte att man får säga eller skriva precis vad som helst. Du får till exempel inte sprida hot, förtal, uppvigling, hets mot folkgrupp, barnpornografi eller upphovsrättsskyddat material som du inte äger rättigheterna till, förklarar Ängla Eklund.
Så kallat näthat är förbjudet om det tar formen av hot, ärekränkning eller förtal, men till största delen är det faktiskt lagligt.
– Man får hata, man får tycka att andra är dumma. Det är tillåtet enligt lagen. Men det finns förstås väldigt mycket som är tillåtet som ändå är olämpligt, säger Ängla Eklund.
Var går då gränsen för yttrandefriheten?
Enligt journalisten och yttrandefrihetsexperten Nils Funcke tillåter yttrandefriheten de flesta hätska meningsutbyten, på nätet och utanför. Han menar att den som ger sig in i en offentlig diskussion får acceptera att motståndet kan bli hårt.
– Så länge man polemiserar i sak finns det egentligen ingen gräns. Man får uttrycka att ett resonemang är enfaldigt och inskränkt. Man får till och med uttrycka att en person är enfaldig. Men så fort man börjar lämna sakuppgifter om en person, som är avsedda att få människor att se ner på henne, tassar man närmare det olagliga, säger han.
Det är inte heller bara grundlagarna som reglerar vad vi får eller inte får skriva på nätet.
När vi uttrycker oss på internet gör vi det ofta via privata företags tekniska plattformar. Det innebär att vi både måste följa våra internetleverantörers regler och de publiceringsregler som företag som Twitter och Google tagit fram. Tidningar och medieföretag har också regler för vad som får skrivas i de kommentarsfält som de ansvarar för.
Är yttrandefriheten hotad?
Ett regelverk som berör väldigt många människor på internet är det som Facebook tillämpar. Över två miljarder människor använder Facebook varje månad och plattformen har flera gånger blivit föremål för diskussion och kritik på grund av reglerna.
Sommaren 2015 resulterade till exempel Facebooks förbud mot nakenhet i att Moderna Museets konto stängdes ned efter att de lagt upp en bild tagen av den kände konstnären Anders Zorn, föreställande en naken kvinna. Något som bland annat DN skrivit om i artikeln "Facebook censurerade Zorn – nu ska Fotografiska täcka nakenhet" .
Länge fick Facebook också kritik för att deras regler var höljda i dunkel, men i april 2018 offentliggjorde företaget det regelverk som gäller för innehåll som sprids via tjänsten. Dessutom introducerades en överklagandeprocess för den som anser att ett inlägg raderats på felaktiga grunder. Enligt företagets talespersoner är detta ett steg för Facebook mot att ta ett större ansvar för sin roll som demokratisk arena.
Det är naturligtvis inte bra om gränserna för yttrandefriheten dras av privata företag.
Så, är yttrandefriheten hotad på grund av att vi inte får skriva precis vad vi vill på sociala medie-plattformar eller för att en tidning väljer att ta bort kommentarer som inte håller god ton?
Enligt Nils Funcke är svaret på den frågan nej. I alla fall så länge det finns ett rikt utbud av plattformar att uttrycka sig på. Det som inte tillåts på Facebook går, så länge det inte bryter mot några lagar, förmodligen att publicera på andra plattformar eller bloggar. Man når kanske inte lika många läsare där, men det är likväl arenor där man kan utöva sin yttrandefrihet.
– Det är naturligtvis inte bra om gränserna för yttrandefriheten dras av privata företag. Men det är först när vi närmar oss en monopolsituation, där man i praktiken inte kan nå ut utan att ha tillgång till en viss plattform, som det blir problematiskt, säger Nils Funcke.
Det styr vad du får skriva och säga på nätet:
Svenska medborgares rätt att utrycka ”tankar, åsikter och känslor” offentligt skyddas av Sveriges grundlagar. De gäller även på nätet. Yttrandefrihet betyder dock inte att vi får säga vad vi vill.
- Yttrandefriheten är inte heller det enda som reglerar vad vi får säga eller skriva på nätet. När vi uttrycker oss på internet gör vi det ofta via privata företags tekniska plattformar. Det innebär att vi både måste följa våra internetleverantörers regler och de publiceringsregler som företag som Facebook tagit fram.
- Tidningar och medieföretag har också regler för vad som får skrivas i de kommentarsfält som de ansvarar för.
- Friheten får begränsas ”med hänsyn till rikets säkerhet, folkförsörjningen, allmän ordning och säkerhet, enskilds anseende, privatlivets helgd eller förebyggandet och beivrandet av brott.” Du får till exempel inte sprida hot, förtal, hets mot folkgrupp och barnpornografi.
https://internetkunskap.se/artiklar/nathat-och-yttrandefrihet/jag-ser-nathat-nastan-varje-dag/
Vad är näthat och hur vanligt är det?
Kändisar, politiker – men även du och jag. Moa Bladini, som är lektor i straffrätt, menar att hat via nätet har blivit en del av vår vardag. Men vad är egentligen näthat och vad görs för att stoppa utvecklingen?
Allt oftare hör vi människor berätta att de utsatts för näthat.
Det kan vara politiker som hotats för sina åsikter, kändisar som fått ta emot kränkande kommentarer om sitt utseende eller helt vanliga privatpersoner som bara utryckt sig på Facebook.
Näthat är ett vitt begrepp och innefattar både sådant som är brottsligt och inte. Gemensamt är dock att hatet kränker och sårar. Exakt hur vanligt näthat är vet ingen. Mörkertalet är stort och dessutom är alla inte medvetna om att vad de utsätts för kategoriseras som näthat.
Moa Bladini, som är lektor i straffrätt vid Göteborgs universitet, menar att hot och hat blivit en del av vardagen på internet.
– Jag ser nästan näthat varje dag på olika sätt, i kommentarsfält eller om det är någon som delar en artikel. Jag tror de flesta människor har utsatts för det, säger hon.
Hat finns i det vanliga samhället också, men vissa saker särskiljer näthatet.
– I det fysiska rummet kan någon bli arg på någon annan på spårvagnen, eller knuffa till någon när den går förbi på gatan. Men på internet finns det kvar i tid och rum och blir synligare för oss, säger Moa Bladini.
Det har blivit allt lättare att hata
Att allt fler av oss ständigt är uppkopplade på nätet innebär också att vi är mer mottagliga för hat. Det leder också till att det är lättare att hata.
– Det är lättare att kränka någon bakom en skärm än att göra det när man ser en människa i ögonen. När jag har min mobil kan jag följa mina impulser hela tiden, det tror jag gör att hatet blir mer frekvent, säger Moa Bladini och fortsätter:
Det är lättare att kränka någon bakom en skärm än att göra det när man ser en människa i ögonen.
– Utifrån ett offerperspektiv betyder det att du inte kan skydda dig någonstans mot andras kränkningar, inte ens i din egen säng om du har din telefon där.
Näthat kan drabba alla, ung som gammal, kvinna som man. I rapporten Hat och hot på nätet från 2017 sammanställer Moa Bladini vad vi vet om näthat i de nordiska länderna utifrån forskning.
https://internetkunskap.se/artiklar/nathat-och-yttrandefrihet/darfor-hatar-vi-pa-natet/
https://www.informationssakerhet.se/nyheter/oka-motstandskraften-mot-ransomware/
Öka motståndskraften mot ransomware
Gränserna för vad hälso- och sjukvården kan klara av testas hårt under nu pågående covid-19-pandemi. Dessutom försöker kriminella på olika sätt att utnyttja situationen. Phishing-kampanjer som får covid-19-skepnad eller riktade ransomware-attacker mot sjukvården, har redan observerats och inträffat i andra länder. Risken för att detta kan inträffa i Sverige går inte att bortse från. Därför genomförs nu en särskild informationsinsats mot hälso- och sjukvårdssektorn med i synnerhet förebyggande åtgärder mot ransomware.
Ett angrepp av ransomware, kan innebära att hela eller delar av en verksamhets it-system med dess information blir krypterad och inte tillgänglig för personalen. I många fall stjäls även information och sedan hotar angriparna med att publicera den känsliga informationen om inte en lösensumma betalas. Organisationen behöver ha en uppfattning om vilka konsekvenser ett sådant angrepp skulle få för både verksamheten och patientsäkerheten.
I Sverige har både offentlig och privat verksamhet drabbats av ransomware det senaste året. Ett angrepp av ransomware skulle slå hårt mot sjukvården som nu är under ett oerhört påfrestat läge. Risken att detta kan inträffa i Sverige går inte att bortse från. Det är svårt att helt skydda sig från angrepp, men förebyggande åtgärder såsom kontinuerligt it-säkerhetsarbete med bra rutiner för säkerhetskopiering och återställning, samt utbildning av personal, underlättar hanteringen och begränsar skadan. Möjligheten att snabbt kunna återställa it-miljön så att verksamheten kan återgå till normalitet och hålla nere kostnaderna för hanteringen av angreppet, kan göra betydande skillnad. Det är viktigt att även i ett ansträngt läge fortsätta att prioritera säkerhetsunderhåll av it-miljön, även om vissa av dessa arbeten kan innebära kortare avbrott i tjänsterna.
Flera myndigheter har i samverkan gemensamma tagit fram rekommendationer som riktar sig till ansvariga för it-infrastruktur inom hälso- och sjukvårdsverksamhet – såväl beslutsfattare som tekniker och till användarna av verksamhetens it-system.
Rekommendationerna i Öka motståndskraften mot ransomware ska ses som ett underlag och stöd. Respektive organisation/verksamhet inom hälso- och sjukvårdssektorn ska kunna använda innehållet för riskanalyser, beslutsunderlag, utbildning och kommunikation på det sätt som bedöms vara lämpligt för verksamheten. Exempelvis kan ytterligare målgruppsanpassning av budskapen således behöva göras. Vi ser gärna att dessa rekommendationer sprids och delas vidare till såväl offentlig som privat verksamhet.
Ytterligare stöd i arbetet att öka motståndskraften mot många cyberhot, finns i rapporten Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder. Där presenteras tio åtgärdsområden som bör prioriteras. Rekommendationerna ersätter inte systematiskt säkerhetsarbete.
Rekommendationerna
Materialet finns i ett antal olika format:
Rekommendationer: Öka motståndskraften mot ransomware [pdf]
Rekommendationer: Öka motståndskraften mot ransomware [odt]
Rekommendationer: Öka motståndskraften mot ransomware [rtf]
https://www.tjugofyra7.se/amnesomraden/cybersakerhet/
NYHET Bara en av fem samhällsviktiga verksamheter har i dag ett heltäckande verksamhetsskydd för att motverka inre och yttre hot. Det visar undersökningen Svenskt säkerhetsindex.
https://www.cert.se/tema/ransomware/
Ransomware
Råd gällande förebyggande och hantering av ransomware-angrepp.
Det förebyggande säkerhetsarbetet är avgörande för vilken motståndskraft en organisation har för att kunna hantera ett ransomware-angrepp. Nedan följer översiktliga rekommendationer om vad som kan göras, för att både förebygga och hantera den här typen av angrepp.
Utpressningsprogramvara eller utpressningstrojan (eng. ransomware), kan innebära att hela eller delar av en verksamhets it-system och dess information blir krypterad och otillgänglig. Därefter är det vanligt att angriparna kräver den drabbade verksamheten på en lösensumma för att ge tillbaka informationen och återställa miljön. I många fall sker också så kallad exfiltrering, vilket innebär att informationen kopieras till en extern plats som angriparen kontrollerar. Angriparna utövar därmed dubbel utpressning med hot att offentliggöra informationen om inte lösensumman betalas.
Om du misstänker att er organisation har drabbats av ransomware, kontakta gärna CERT-SE för råd och stöd i ett tidigt skede på cert@cert.se eller 010-240 40 40.sstänker att er organisation har drabbats av ransomware, kontakta gärna CERT-SE för råd och stöd i ett tidigt skede på cert@cert.se eller 010-240 40 4
Vid pågående angrepp
- Ett viktigt första steg i incidenthanteringen att identifiera vad som hänt och vilka system som är påverkade, för att därefter kunna börja vidta skadebegränsande åtgärder. Se CERT-SE:s incidenthanteringsprocess.
- Finns ej rätt kompetens tillgänglig - ta hjälp av experter på området.
- Isolera påverkade enheter.
- Betala aldrig lösensumma. Det finns inga garantier att system återställs, att filer dekrypteras eller att angriparen inte återkommer med nya krav och hot.
- Anmäl händelsen i ett tidigt skede, tex. till Polisen. Incidentrapportera också till lämpliga myndigheter efter bedömning av incidentens art, enligt NIS-direktivet eller enligt säkerhetsskyddslagen för säkerhetskänslig verksamhet.
- Säkerställ i er utredning att angreppet är åtgärdat och att angriparen inte har fått fotfäste it-miljön genom till exempel behörigheter och/eller skadlig kod.
- Innan återställning genomförs med säkerhetskopior, säkerställ att kopiorna inte också är påverkade av angreppet.
Finska cybersäkerhetscentret har publicerat en vägledning som riktar sig till ledningen och beslutsfattare i organisationer som beskriver hur de bör agera vid angrepp med utpressningsprogram, Åtgärder vid angrepp med utpressningsprogram – ledningens anvisningar.
Försvåra angrepp med förebyggande arbete
Organisationer behöver på förhand skapa sig en uppfattning om vilka konsekvenser den här typen av angrepp skulle kunna få för verksamheten, för att på bästa sätt bygga, anpassa och underhålla sitt skydd.
Grunden för att skydda sig mot cyberangrepp, (inkl. ransomware) är att bedriva ett systematiskt arbete med informations- och cybersäkerhet, att arbeta förebyggande och att kontinuerligt anpassa skyddet utifrån organisationens behov och risker. Mer information och metodstöd finns på MSB:s webbplats, Systematiskt informationssäkerhetsarbete.
Ett systematiskt arbetssätt i kombination med olika säkerhetsåtgärder som berör både system/teknik och användare, försvårar eller gör angreppet kostsammare för angriparen. MSB:s föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:07) samt vägledning om säkerhetsåtgärder i informationssystem kan med fördel användas av alla organisationer som stöd i it-säkerhetsarbetet. Det nationella cybersäkerhetscentret (NCSC) har tagit fram även rapporten Cybersäkerhet i Sverige 2022 – Rekommenderade säkerhetsåtgärder vilken ska utgöra ett stöd i arbetet med att prioritera vad som behöver göras.
Rekommendationer för driftpersonal
Det finns anledning att ytterligare skärpa säkerhetsråden för att skydda verksamheten som specifikt berör utpressningsvirus mot bakgrund av senast rapporterade händelser. Här följer en del konkreta åtgärder som kan behöva ses över.
Jobba för en god säkerhetsmedvetenhet
Informera och utbilda organisationens användare om förekomsten av olika typer av phishing, även kallat nätfiske. Utbilda dem i att göra en rimlighetsbedömning innan de klickar på länkar eller bifogade filer i ett e-postmeddelande. Se MSB:s kampanj Tänk säkert! för råd och material att dela inom den egna organisationen för att höja användarnas säkerhetsmedvetenhet samt CERT-SE:s temasida för nätfiske och artikel om god cyberhygien.
Översyn av säkerhetslösningar
Gör en översyn av de säkerhetslösningar och tjänster som organisationen nyttjar, och aktivera de säkerhetsfunktioner som finns tillgängliga. Sådana lösningar kan exempelvis vara:
- Aktivera klientskydd och då även på servrar.
- Applicera en vitlista där endast godkända program får exekveras med hjälp av exempelvis Applocker (i Windows-miljöer).
- Aktivera DMARC-policy med SPF och DKIM i e-postsystemet för att försvåra för angripare att imitera legitima användare.
- Implementera lösningar som kan identifiera och blockera skadliga länkar och filer i e-post samt en lösning som kan blockera åtkomst till skadliga hemsidor och IP-adresser för användarna.
- Aktivera multifaktorsautentisering (MFA) där det är möjligt. Detta försvårar för en angripare att återanvända stulna inloggningsuppgifter, vilket är särskilt viktigt för system för fjärranslutning.
Ta regelbundna säkerhetskopior
- Skapa säkerhetskopior av data och systemkonfigurationer/-inställningar.
- Testa säkerhetskopiorna och återställningsrutiner med jämna mellanrum. Öva på återställning.
- Säkra era kopior genom att tillämpa den så kallade ”3-2-1-regeln”, som innebär tre säkerhetskopior lagras på två olika media, varav en av dessa är helt frånskild från nätverket (exempelvis på lagringsmedia offline).
Härda er it-miljö
- Uppdatera operativsystem och mjukvaror till den senaste versionen, så de överensstämmer med leverantörens rekommendationer, i synnerhet för de system som är exponerade mot internet.
- Använd endast säkra och i första hand krypterade protokoll. Inaktivera tjänster och protokoll som inte behövs eller används.
- Minska exponeringen mot internet. Endast servrar som levererar publika tjänster bör vara åtkomliga via internet och bara på de portar som krävs för ändamålet. Övriga portar som inte behöver vara åtkomliga utanför det lokala nätverket ska blockeras.
- Använd säkra programinställningar, särskilt för e-post, ordbehandlare och webbläsare. Utgå ifrån leverantörers egna härdningsguider för säkrande av it- miljön
- Förhindra att oönskade makron kan exekveras, genom att centralt styra inställningarna så att inte användaren själv tillåts välja lägre säkerhetsnivå.
- Aktivera den lokala brandväggen på både klienter och servrar. Håll regelverket i dessa uppdaterat och revidera kontinuerligt.
- Sträva mot ett segmenterat nätverk, med både fysisk och logisk separation.
Begränsa behörigheter
- Använd inte gemensamma inloggningsuppgifter. För spårbarhet ska varje användare och administratör använda ett personligt konto.
- Använd inte administratörskonton till vardagliga sysslor, t.ex läsa e-post eller surfa.
- Begränsa behörigheterna till de strikt nödvändiga för att era användare ska kunna genomföra sina arbetsuppgifter.
- Inaktivera och rensa behörigheter på oanvända konton, missa inte grupptillhörigheter.
- Minska antalet permanenta medlemmar i grupper med höga behörigheter som t.ex Domain Admins till ett absolut minimum.
Övervaka
En god inblick i it-miljön är avgörande för förmågan att upptäcka cyberangrepp eller andra anomalier. Ta hjälp av er lösning för övervakning i syfte att få en uppfattning om vad som motsvarar organisationens normalläge. Att känna sin egen organisation är en förutsättning för att kunna tillhandahålla ett fullgott skydd för it-miljön. Vilka är er organisations ”crown jewels”?
Alla varningar och anomalier som rapporteras från säkerhetsprodukter bör utredas noggrant. Konfigurera därför er övervakning så att de larm och varningar som ges går att agera effektivt på.
Det är viktigt att spara loggar under en lång tidsperiod eftersom det är vanligt att det initiala intrånget har skett relativt långt innan angreppet blir synligt. Att genom loggar kunna följa intrånget är viktigt för att kunna genomföra en lyckad utredning och också minimera skadan.
Överväg att införskaffa ett logghanteringssystem som gör det enklare att, vid behov, analysera logdata från olika verktyg över tid. Dessa system kan även hjälpa att bibehålla logginformationen om en aktör raderar loggarna på ursprungssystemen och förenklar utredning vid incident.
Exempel på system/tjänster/händelser att övervaka är:
- Lösningar för fjärråtkomst (t.ex. RDP eller VPN).
- Inspektera nätverkstrafik, både intern och extern (inkommande/utgående) trafik.
- Förändringar och tömning av säkerhetsloggar, samt användning av PowerShell.
- Nyttjande av administratörskonton.
- Förändringar av behörigheter.Anslutningar mot tredjepartsleverantörer, samarbetspartners eller andra externa aktörer som möjligtvis har en lägre säkerhetsnivå och därmed gör er organisation sårbar.
- Skapande av nya konton
- Suspekta inloggningar som t ex inloggningar utanför arbetstid eller från andra länder om detta är onormalt i er organisation.
Mer information
Föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7)
Vägledning: säkerhetsåtgärder i informationssystem
Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder
https://www.cert.se/rad-och-stod/
Råd och stöd
För att förebygga och hantera it-säkerhetsincidenter och it-säkerhetsrelaterade kriser kan myndigheter, företag och organisationer behöva olika typer av stöd. CERT-SE ger stöd vid inträffade eller pågående it-relaterade störningar och it-säkerhetsincidenter. Syftet är att hjälpa aktörerna i utredningen av, och vid konstaterad it-säkerhetsincident, minska konsekvenserna av det inträffade genom konkreta råd och vägledning genom incidenthanteringen. Stödet vid incidenthantering anpassas utifrån den drabbades behov men löpande tillhandahåller CERT-SE råd i det förbyggande it-säkerhetsarbetet.
CERT-SE:s incidenthanteringsprocess har mycket likheter med andra processer för incidenthantering, som till exempel SANS och NIST:s. CERT-SE arbetar främst med de tre första stegen - Förebygga, Identifiera och Begränsa – i det råd och stöd vi erbjuder i den operativa verksamheten till dem vi är i kontakt med.
Alla delprocesser behandlas helt separat och fungerar som egna entiteter. Eftersom incidenthanterare kan kallas in i en incident under t.ex identifiera-fasen, så måste den processen vara fullständig i sig själv och inte bero på tidigare delprocesser.
Förebygga
Förebyggande arbete och förberedande åtgärder påverkar i hög grad hur väl en organisation lyckas med incidenthanteringen när en it-säkerhetsincident inträffar. På en övergripande nivå behöver man ha eskaleringsrutiner, it-säkerhetspolicys, kontinuitetplaner, krisplaner, utbildat sina användare, klargjort ansvar och mandat, etablerat kontakter och skapat kontaktlistor samt veta hur kommunikationen ska genomföras vid en incident. Läs mer om Systematisk informationssäkerhet på MSB:s webbplats.
Förutom detta behöver man ha genomfört tekniska förberedelser samt ha ett arbetssätt där man löpande omvärldsbevakar och övervakar sin it-miljö. Några av dessa beskrivs i en rapport från det nationella cybersäkerhetscentret (NCSC) Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder (se nedan)
- Prenumerera på CERT-SE:s blixtmeddelanden
- Prenumerera på CERT-SE:s veckobrev
- Rekommenderade it-säkerhetsåtgärder från Nationella cybersäkerhetscentret (ncsc.se)
Identifiera
Inledningsvis när det finns misstanke om en it-säkerhetsincident genomförs insamling samt analys av information och data för att fastställa om en it-säkerhetsincident verkligen har inträffat eller inte. I denna fas kan det vara viktigt att samla in sk. flyktig data, dvs. data om kan försvinna om systemen startas om, för att skapa sig en bild om vad som händer i nätverket.
Begränsa
När en it-säkerhetsincident är identifierad övergår incidenthanteringen i fasen som har till syfte att begränsa eller minimera spridning genom isolering och avbrott av pågåe.nde angrepp samt ytterligare insamling av bevis för vidare analys. Hur detta genomförs beror på vilken typ av incident som har identifierats eller som man misstänker pågår. Här finns exempelvis rådgivning gällande DDoS och nätfiske:
Återställa
Återställning av system handlar till stora delar om att säkerställa att systemet fungerar som det gjorde innan incidenten, att alla användarkonton är återställda, att användare kan logga in på systemet, att tidigare funktioner är återställda och fungerar tillfredställande. En återställning efter en DDoS-attack handlar i stort sett om förebyggande åtgärder (länk till tema: DDoS). Detsamma gäller även för återställning efter ett nätfiskeangrepp, eftersom system som används finns utanför den drabbade organisationens nät finns det inte så mycket att göra i ett återställande skede när det gäller nätfiske. Det handlar även om att säkerställa att systemet är skyddat så att incidenten inte kan ske igen. Dessutom handlar det om att förebygga att andra incidenter inte kan inträffa samt att underlätta för undersökningar om organisationen blir drabbad av en incident i framtiden.
Erfarenheter
Det sista steget i incidenthanteringsprocessen är att avsluta incidenten genom att samla in de lärdomar och erfarenheter som hanteringen av incidenten har gett. Det är också vanligt att man i det här skedet sammanställer en incidentrapport. En metod som brukar fungera bra vid större incidenter är att samla in synpunkter och erfarenheter från de som deltagit i incidenthanteringen, sammanställa dessa och sedan presentera dem vid ett uppföljningsmöte där samtliga deltagare har möjlighet att diskutera rapporten. Rör det sig om mindre incidenter, med ett fåtal inblandade, kan synpunkter och erfarenheter samlas in direkt på uppföljningsmötet.
Så används AI-verktyg i hackerattacker
https://www.svt.se/nyheter/inrikes/sa-har-hacker-nyheterna-sett-ut-genom-aren
Så har hacker-nyheterna sett ut genom åren
https://www.svt.se/nyheter/inrikes/experten-om-hackerattackerna-stigmat-ar-borta
Experten om hackerattackerna: ”Stigmat är borta”
https://www.svt.se/nyheter/inrikes/sa-forbereder-du-dig-for-cyberattacker
Så förbereder du dig på cyberattacker
https://www.svt.se/nyheter/inrikes/antalet-cyberangrepp-okade-kraftigt-2023
Antalet cyberangrepp ökade kraftigt 2023
https://www.svt.se/nyheter/inrikes/sa-skyddar-du-dig-mot-cyberattacker
Så skyddar du dig mot cyberattacker
https://www.svt.se/nyheter/inrikes/120-myndigheter-drabbade-av-it-attack-tiotusentals-anstallda
120 myndigheter drabbade av it-attack – tiotusentals anställda påverkade
https://www.svt.se/nyheter/lokalt/skane/efter-hackerattacken-journaler-sparlost-borta-i-vellinge
Efter hackerattacken i Vellinge: Journaler spårlöst borta
https://www.svt.se/nyheter/lokalt/vasterbotten/personuppgifter-kan-ha-lackt-fran-region-vasterbotten
Personuppgifter kan ha läckt från Region Västerbotten
IT-problemen lösta på Region Västerbotten – avvecklar stabsläge
Experten om IT-attacken mot regionerna: ”Alltid allvarligt”
https://www.svt.se/nyheter/inrikes/riksdagen-drabbad-i-hackerattacken-mot-tietoevry
Riksdagen drabbad i hackerattacken mot Tietoevry
Om informationssäkerhet
Detta är informationssäkerhet
Information är värdefullt och behöver skyddas efter behov. Ett bra informationssäkerhetsarbete är en förutsättning för effektiv och korrekt informationshantering. Detta skapar förtroende både inom och utanför organisationen.
Därför är informationssäkerhet viktigt
Information är medlet för att förmedla kunskap. Vi kan kommunicera information, vi kan lagra den, vi kan förädla den och vi kan styra processer med den – vi behöver den för det mesta vi gör helt enkelt.
En del av vår information är värdefull, både för organisationer och för den enskilda människan. Allt från forskningsresultat och fotografier till fastighetsförteckningar och saldot på vårt bankkonto. Ibland till och med livsviktig såsom informationen i patientjournaler eller styrsystemen i kärnkraftverk. Är den informationen förlorad eller felaktig kan det få katastrofala följder.
Därför måste vi skydda vår information så:
- att den alltid finns när vi behöver den (tillgänglighet)
- att vi kan lita på att den är korrekt och inte manipulerad eller förstörd (riktighet)
- att endast behöriga personer får ta del av den (konfidentialitet)
Skyddet behöver givetvis anpassas efter behovet så att det är tillräckligt bra och inte för svagt eller alltför krångligt och dyrt. De konsekvenser som kan inträffa med bristande skydd är för höga för att försummas.
Brister i hantering av information leder till ett försämrat förtroende för tjänster och bakomliggande aktörer. Allvarliga och upprepade störningar kan leda till förtroendekriser, som också kan sprida sig till fler aktörer och tjänster och även till andra sektorer. Exempelvis kan ett försämrat förtroende för Internetbanker smitta av sig till andra sektorer i samhället som erbjuder Internetbaserade tjänster.
Skydda dina tillgångar
Information är en grundläggande byggsten i en organisation, på samma sätt som medarbetare, lokaler och utrustning. Genom ett systematiskt arbete med informationssäkerhet kan organisationer öka kvaliteten i och förtroendet för sin verksamhet. Att utgå från etablerade standarder i arbetet med informationssäkerhet ökar chansen att lyckas väl.
Arbetet med informationssäkerhet omfattar att införa och förvalta administrativa regelverk så som policys och riktlinjer, tekniskt skydd med bland annat brandväggar och kryptering samt fysiskt skydd med till exempel skal- och brandskydd. Det handlar om att ta ett helhetsgrepp och skapa ett fungerande långsiktigt arbetssätt för att ge organisationens information det skydd den behöver.
På informationssäkerhet.se hittar du det metodstöd som hjälper dig med att komma igång med och förbättra informationssäkerhetsarbetet i din organisation.
Till dig som småföretagare
MSB har tagit fram en vägledning om hur du som småföretagare kan tänka kring informationssäkerhet. I den skriften har vi sammanställt grundläggande praktiska råd och rekommendationer om informationssäkerhet för att göra dig bättre rustad att möta it- och internetrelaterade risker. Råden riktar sig till dig som ska starta eller redan driver ett företag med färre än tio anställda.
Fakta
Genom god informationssäkerhet i samhället kan man främja:
- samhällets effektivitet och kvalitet i informationshantering
- näringslivets lönsamhet och tillväxt
- samhällets brottsbekämpning och beredskap mot allvarliga störningar och kriser
- medborgares fri- och rättigheter samt personliga integritet
- medborgares och verksamheters förtroende för informationshantering och it-system
Introduktionsfilm till informationssäkerhet
En kort film om behovet av informationssäkerhet på drygt tre minuter.
Samverkansgruppen för informationssäkerhet
Samverkansformer och aktiviteter
Myndigheterna i Samfi stödjer varandra i arbetet med samhällets informationssäkerhet genom informationsutbyte och samverkan. Informationssäkerhet.se är till exempel en gemensam satsning av Samfi.
Följande myndigheter ingår för närvarande i Samfi:
- Myndigheten för samhällsskydd och beredskap (MSB)
- Post- och telestyrelsen (PTS)
- Polismyndigheten
- Försvarets radioanstalt (FRA)
- Säkerhetspolisen (Säpo)
- Försvarets materielverk (FMV)/Sveriges Certifieringsorgan för IT-säkerhet (CSEC)
- Försvarsmakten (FM)/Militära underrättelse- och säkerhetstjänsten (MUST)
Samfi berör frågeställningar inom huvudsakligen följande aktivitetsområden:
- Strategi, handlingsplan och regelverk
- Tekniska frågor och standardiseringsfrågor
- Nationell och internationell utveckling inom informationssäkerhetsområdet
- Informationsaktiviteter
- Övningar och utbildning
- Hantering och förebyggande av IT-incidenter
MSB avsätter resurser för ett Samfi-kansli. Övriga Samfi–myndigheter bidrar med resurser vid behov och efter förmåga.
CERT-SE
CERT-SE är Sveriges nationella Computer Emergency Response Team med uppgift att stödja samhället i arbetet med att hantera och förebygga IT-incidenter.
CERT-SE förebygger IT-incidenter
- Agera skyndsamt vid inträffade IT-incidenter genom att sprida information samt vid behov arbeta med samordning av åtgärder och medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade.
- Samverka med myndigheter med särskilda uppgifter inom informationssäkerhetsområdet.
- Vara Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder samt utveckla samarbetet och informationsutbytet med dessa.
Ökat säkerhetsmedvetande viktigt mål
Internationell kontaktpunkt
Regeringsuppdrag att öka kunskap om informationssäkerhet
Samhällets informations-och cybersäkerhet behöver utvecklas samtidigt som Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. För att klara detta behövs ökad kunskap om sårbarheter och risker samt vilka behov av säkerhetsåtgärder som finns hela offentlig sektor.
En förutsättning för detta är att ett systematiskt och riskbaserat informationssäkerhetsarbete genomsyrar organisationerna.
Riktade utbildningsinsatser till kommuner, regioner och länsstyrelser gjordes redan under 2019 och regeringen har sett ett behov av att fortsätta satsningen och vidga den till att även innefatta samtliga statliga myndigheter. Därför har regeringen gett Myndigheten för samhällsskydd och beredskap, MSB, i uppdrag att genomföra riktade utbildningsinsatser på informationssäkerhetsområdet till offentlig sektor.
Inom ramen för uppdraget:
- Tillhandahålls tidigare framtagna utbildningar till hela offentlig sektor.
- Utbildning tas fram för att ytterligare stötta organisationerna i sitt systematiska informationssäkerhetsarbete. Detta är delvis kopplat till nya föreskrifter för statliga myndigheter.
- Vid behov utreds och skapas även stöd till mindre myndigheter.
Regeringsuppdraget redovisas 1 mars 2021.
Åtgärder för ett säkrare digitalt privatliv
Är ditt privata digitala liv en språngbräda för hotaktörer som vill påverka din organisation? När organisationens säkerhetsarbete uppnått en grundnivå letar hotakörer inom cyberområdet efter nya angreppssätt – ett sådant sätt kan vara ditt digitala privatliv, som blir en väg in till organisationens information.
NCSC rekommenderar ett antal åtgärder för dig som arbetar i svensk offentlig sektor eller i näringslivet. Även om du redan själv vidtagit grundläggande åtgärder, är det alltid viktigt att följa din säkerhetsorganisations råd och rekommendationer.
Är du en ledande befattningshavare, nyckelperson eller expert, rekommenderar myndigheterna i NCSC att du snarast inför säkerhets-åtgärderna beskrivna här, både för att skydda ditt digitala privatliv och din organisation.
Använd din arbetsgivares digitala tjänster, enheter och appar för att utföra arbetsuppgifter och utbyta arbetsrelaterad information. Där finns avvägda skyddsåtgärder införda för att säkerställa att informationen i din organisation har rätt skydd.
Ladda ner: Åtgärder för ett säkrare digitalt privatliv.pdf
https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/informationssakerhetsmanaden/tank-sakert/
Beredskap för företag
https://www.msb.se/sv/amnesomraden/krisberedskap--civilt-forsvar/beredskap-for-foretag/
Med förberedda företag blir Sveriges beredskap starkare. För att samhället ska fungera vid fredstida kriser, höjd beredskap eller krig är företagens förmåga att bedriva sin verksamhet, eller ställa om den till produktion av varor och tjänster som efterfrågas, av yttersta vikt.
På de här sidorna finns information och stöd till dig som vill veta mer om företagens betydelse för Sveriges beredskap i kris och krig och hur ditt företag kan bli mindre sårbart. Förberedda företag får Sverige att rulla vidare!
https://www.msb.se/sv/om-msb/informationskanaler/nyhetsbrev/
Lär dig mer om beredskap
Här har vi samlat länkar till kurser, utbildningar, rapporter och utredningar som kan vara intressanta för dig som har ett företag. Du kan till exempel få en introduktion till området beredskap för kriser och krig, eller fördjupa dina kunskaper i ett visst ämne.
På den här sidan
- För dig som vill ha en introduktion
- Översikter och samlingssidor
- För dig som vill fördjupa dina kunskaper
För dig som vill ha en introduktion
Webbkurs: Introduktion till totalförsvar – ett gemensamt ansvar
Kursen ger grundläggande kunskap om området totalförsvar. Gratis. Cirka 45–60 minuter.
Webbkurs: Kontinuitetshantering
Kursen lär ut hur du kan arbeta med kontinuitetshantering, en plan B, för att hjälpa företaget att stå emot eller klara av både mindre och mer allvarliga störningar. Gratis. Cirka 90 minuter.
Webbutbildning: Informationssäkerhet (DISA)
Grundutbildningen i informationssäkerhet består av korta filmer på 1–2 minuter, fördjupande texter, frågor och en checklista som knyter an utbildningens innehåll till reglerna i er egen organisation. Gratis.
Försvarshögskolans grundläggande säkerhetsskyddsutbildning
Webbutbildningen lotsar dig igenom säkerhetsskyddets olika delar, bland annat personalsäkerhet, informationssäkerhet och fysisk säkerhet. Du får kunskap om din egen viktiga roll för att stärka arbetsplatsens säkerhetsskyddsarbete. Kostnadsfri. Cirka 45 minuter.
Översikter och samlingssidor
Här finns alla kurser som MSB ger, sorterade på ämne.
Metodstöd för systematiskt informationssäkerhetsarbete – en översikt
Stödet utgår från att ni ska påbörja ett arbete med att implementera ett systematiskt informationssäkerhetsarbete.
Här samlas utbildningar och underlag för klimatanpassning från statliga myndigheter.
För dig som vill fördjupa dina kunskaper
Rapporter och utredningar
Näringslivets roll i totalförsvaret – centrala frågor och vägar framåt, FOI
Näringslivets syn på roller och ansvar i totalförsvaret, FOI
Näringslivets roll inom totalförsvaret, SOU 2019:51Livsmedels- och läkemedelsförsörjning – samhällets säkerhet och viktiga samhällsfunktioner, Riksrevisionen
Personal för ett nytt civilt försvar: Förutsättningar, problem och möjligheter, FOI
Utbildningar
Regelverk och ansvar i totalförsvaret
Kursen ger kunskap om totalförsvaret i Sverige, utifrån både ett systemperspektiv och ett lagstiftningsperspektiv. Några av syftena med kursen är att bidra till utvecklingen av det civila försvaret och att öka deltagarnas förmåga att bidra till totalförsvarsplaneringen.
Högre kurs i samhällets krisberedskap och totalförsvar steg 1
Högre kurs i samhällets krisberedskap och totalförsvar steg 2
Utbildningen vänder sig till högre chefer och tjänstemän inom offentlig och privat sektor. Den innehåller både teoretiska moment om den svenska krisberedskapen och praktiska övningar inom krisberedskap.Krisberedskap för yrkesverksamma specialister
Lunds universitet har olika kurser för yrkesverksamma specialister inom krisberedskap, civilt försvar och skydd mot olyckor som vill utveckla sin kompetens.
Det här menas med krisberedskap
Samhällets krisberedskap brukar beskrivas som förmågan att förebygga, motstå och hantera krissituationer. Målen för krisberedskapen är att minska risken för olyckor och kriser som hotar vår säkerhet samt värna människors liv och hälsa samt grundläggande värden som demokrati, rättssäkerhet och mänskliga fri- och rättigheter.
Det görs genom att upprätthålla samhällsviktig verksamhet och hindra eller begränsa skador på egendom och miljö då olyckor och krissituationer inträffar. Arbetet med krisberedskapen bör även bidra till att minska lidande och konsekvenser av allvarliga olyckor och katastrofer i andra länder. Krisberedskapsarbetet utgör en utgångspunkt för arbete med det civila försvaret.
Det här menas med totalförsvar och civilt försvar
Totalförsvar är all verksamhet som behövs för att förbereda Sverige för krig. I totalförsvaret ingår dels militärt försvar, dels civilt försvar. Civilt försvar är den verksamhet som centrala myndigheter, länsstyrelser, kommuner, regioner, företag, frivilligorganisationer och privatpersoner genomför för att samhället ska kunna fortsätta fungera när beredskapen höjs. Till exempel sjukvård, skola, barn- och äldreomsorg, el- och vattenförsörjning, transporter och kommunikation
Mer om det svenska civila beredskapssystemet
Det här menas med civil beredskap
Civil beredskap är ett samlingsnamn för krisberedskap och civilt försvar. Det civila försvaret och krisberedskapen ska förstärka varandra i gemensamma processer för samordning, planering och förberedelser. Den yttersta krisen, det vill säga ett väpnat angrepp, är dimensionerande för den civila beredskapen. Ytterst syftar den civila beredskapen till att förbereda oss på alla slags samhällsstörningar som riskerar att skada oss.
MSB har tagit fram filmer och bilder som du kan dela i din organisations sociala medier.
För 2024 har det tagits fram AI-genererade bilder, som finns både med och utan i text. Bilderna finns i högupplöst TIFF-format för tryck samt i jpg-format.
Samtliga filmer har undertexter och det finns även en syntolkad version. Du kan länka till kortadressen msb.se/beredskapforforetag.
Ladda ner kampanjbilder för kampanjen 2024
Ladda ned kampanjmaterialet här
Du hittar även filmerna i en spellista på MSB:s Youtubekanal
Så källkritiska är svenskarna
I en ny rapport hittar du siffror och fakta om svenskarnas källkritiska förmåga. Hur många delar nyheter utan att ha läst dem först och när är det som svårast att vara källkritisk?
https://svenskarnaochinternet.se
https://svenskarnaochinternet.se/utvalt/kallkritik-i-sverige/
Så avgör sökalgoritmer vilka sökresultat du får på Google
https://internetkunskap.se/artiklar/kallkritik/den-som-soker-finner-men-vad-exakt-ar-det-vi-hittar/
Du och en vän söker efter precis samma sak på nätet med samma sökfraser. Men ni får olika sökresultat. Hur är det egentligen möjligt?
Att fundera över internets storlek är ungefär som att fundera på hur stort universum är. Och varje sekund fylls internet med mer material. På sajten worldwidewebsize.com som mäter hur stor den indexerade webben är kan man få en uppfattning om hur ofantligt många webbsidor den består av.
På något sätt måste vi kunna hitta det vi söker i den här stora massan av information.
Sökmotorns algoritm avgör hur sökresultat rangordnas
Det är där sökmotorn och algoritmens funktion kommer in. En algoritms uppgift är att hantera stora mängder information efter på förhand inprogrammerade instruktioner. När du använder en sökmotor är det just algoritmen som bestämmer hur dina sökträffar ska rangordnas.
Den första sökmotorn Archie, kom 1990, och när internet slog igenom på allvar i mitten på 1990-talet fanns flera olika sökmotorer, bland de mest populära var Altavista och Yahoo.
I dag dominerar en aktör fullständigt marknaden för sök. 1998 startades Google från ett garage i Kalifornien och hos webbanalysföretaget Statcounter kan man se hur pass stora de är globalt idag. Sverige är inget undantag. Företaget har till och med gett upphov till ett eget verb, googla, som finns med i Svenska Akademiens ordlista.
Så vad var det som gjorde att Google fick världsherravälde på sök?
Enligt Olof Sundin, professor i biblioteks- och informationsvetenskap vid Lunds universitet, revolutionerade företaget marknaden för sök genom sin page rank-algoritm som innebar att du och jag helt enkelt i högre utsträckning blev nöjda med våra sökningar på Google jämfört med andra sökmotorer.
– Den var väldigt effektiv. Den byggde på att man viktade sökresultat mot vilka sidor som blivit länkade till. Det var en slags demokratisk princip, grundsynen blir att det många människor anser vara viktigt blir viktigt, säger han.
Men när du söker på Google söker du egentligen bara på de sidor av internet som Google själv har hittat. Med hjälp av så kallade webbspindlar, datorprogram som först söker upp ett par webbsidor och sen systematiskt följer de länkar det hittar på alla sidor, sammanställs ett index över internet. Det är just i det indexet som dina sökningar sker. De webbsidor som spindlarna inte hittar ingår alltså inte i Googles index.
Sökordsoptimering avgörande för att synas
Att vi skulle missa viktig information som aldrig blir indexerat tror inte Olof Sundin är den största utmaningen. I stället pekar han på betydelsen att komma högt upp i sökresultatet.
Problemet är att de flesta av oss sällan tar del av annat än de allra översta länkarna.
– Googles index är ju väldigt omfattande och inkluderar väldigt mycket. Problemet är snarare att de flesta av oss sällan tar del av annat än de allra översta länkarna. Så det är ju naturligtvis oerhört viktigt för företag eller andra att komma överst, säger han.
Resultatet blir alltså att den som bäst behärskar sökordsoptimering, det vill säga hur bra du är på att få din webbsida att rankas högt av Google, blir mest läst.
Din geografiska plats viktig för vilka resultat sökmotorn visar
Förutom länkar tar sökalgoritmerna hänsyn till en rad olika faktorer för att rangordna dina sökträffar.
Till exempel vilka sökningar du har gjort tidigare, var du befinner dig geografiskt och vika sidor du har besökt. Använder du något av Googles alla andra program, till exempel Google Mail, Google Maps, Google Calender eller om du brukar kolla på videoklipp på Youtube, som ägs av Google, kan information därifrån också användas.
Olof Sundin menar att det är främst din geografiska plats som är betydande för ditt sökresultat, men exakt hur algoritmerna för sökningar jobbar vet bara Google.
– I övrigt finns en viss personalisering av sökresultaten men den är inte alls lika stor som i sociala medier. Exakt hur stor den är är svårt att säga och det är också svårt att säga hur stor den är i morgon. Personaliseringen har större betydelse i dag för skräddarsydd reklam. Men det är klart att det finns stora möjligheter att skruva på rattarna och öka den där personaliseringen, säger han.
Neutral algoritm – en omöjlighet
Olof Sundin tror inte att Google skulle öka personalisering för mycket – då frångår företaget nämligen en viktigt faktor vid sök. Nämligen den att ju fler sök som görs på något desto högre ska det rankas.
– Vid en fullständig personalisering av sökresultaten så minskar ju den här popularitetsaspekten i relevansbedömningen, säger han.
Sök måste bygga på vissa premisser.
Tanken om att en sökmotor borde vara helt neutral eller objektiv går emot hela syftet med en sökmotor enligt Olof Sundin.
– Algoritmer går inte att undvika och det finns ingen neutral algoritm. Även om Google försöker att framställa det så. Idén om att det skulle finnas är feltänkt från början. Sök måste bygga på vissa premisser, säger han.
Utan en viss personalisering och framför allt utan en algoritm som tar fram de svar som bäst överensstämmer med det som sökmotorn bedömer vara relevant för dig, skulle du alltså ägna timmar varje dag åt att tröska igenom länkar för att få svar på en enkel fråga. Lättillgängligheten som kännetecknar internet skulle försvinna. De resultat vi får genom en till viss grad personaliserad sökning behövs alltså för att vi ska ha möjlighet att hitta på internet.
Skulle däremot personaliseringen av sökresultat öka inom sökmotorer och algoritmen ger oss sökresultat som enbart baseras på vårt beteende på internet, exempelvis vad vi läser, vilka vi följer i sociala medier, vad vi kommenterar, så kan en följd bli att vi inte tar del av åsikter eller information som ifrågasätter den egna synen utan att vi mest läser det som bekräftar den. Alltså det som en del medieforskare kallar för filterbubbla.
Samtidigt använder inte Google information om dig bara för att förbättra din sökupplevelse – utan också för att tjäna pengar. Googles moderbolag Alphabet inc. har länge varit ett av världens absolut största företag sett till börsvärde. Märkligt kanske kan tyckas för ett företag som är känt för alla sina gratisprodukter. Eller inte. Den informationen om dig själv som du ger Google genom att använda företagets gratisprogram används för att sälja annonser.
– Det är den stora inkomstkällan. Och i någon mån också att man säljer data till andra, säger Olof Sundin.
Att vara medveten om allt detta, hur sökmotorer fungerar och hur de tjänar pengar, är en viktig del i det som kallas sökkritik.
Gör affär av beteendedata
Gör du en sökning på en särskild produkt eller en resa så kommer det alltid länkar märkta med annons överst i rankingen av sökresultaten. Här spelar personaliseringen i dag den största rollen.
– Sen får man ju hoppas att den enskilda användaren kan skilja mellan det man kallar för organiskt sökresultat, det vill säga sånt som inte är betalat, och reklamfinansierat sökresultat. Men där tror jag det finns en svårighet hos många, säger Olof Sundin.
Jan Nolin, professor och internetforskare vid högskolan i Borås, utvecklar hur Google tjänar pengar på uppgifterna om oss:
– En aktör som Google är intresserad av beteendedata. Av den här beteendedatan så skapar de olika algoritmiska identiteter om alla sina olika användare. Det är väldigt precisa algoritmiska identiteter, helt enkelt bilder av vilka vi är. När ett företag sen undrar "vilka är de lämpliga kunderna för oss?", så kan Google berätta det, säger han.
Den 25 maj 2018 trädde EU:s dataskyddsförordning, GDPR, i kraft med syftet att öka skyddet för hur våra personuppgifter hanteras. Förordningen innebär bland annat att alla har rätt att se vilken data ett företag har samlat in om en. Företagen måste få ett medgivande från besökaren för att hantera dennes personuppgifter och dessutom innehåller förordningen rätten att "bli glömd". Det innebär att en person kan begära att få sitt namn raderat från ett företags register eller från ett sökresultat på Google. När det gäller att få ett sökresultat raderat är det dock inte säkert att en person får sin begäran godkänd, det måste nämligen vara klarlagt att länken innehåller falsk eller felaktig information.
Kostsamt att bryta mot GDPR
Bryter ett företag mot GDPR så kan det tvingas betala fyra procent av sin årsomsättning i böter. Google tillsammans med Facebook har redan anmälts för att ha brutit mot förordningen. Förutom risken för böter kan dataförordningen också innebära att fler besökare inte ger sitt medgivande till behandlingen av personuppgifter.
Det finns stora anledningar att, om inte vara rädd, så åtminstone vara misstänksam och ställa krav på Google att agera och öka transparensen.
Vill man inte använda Google för sök så finns många andra alternativ. Bing, Yahoo och Duckduckgo är några av dem. Den sistnämnda har som affärsidé att skydda din personliga integritet och lagrar därför ingen information om dig. Olof Sundin menar att det är just informationslagringen som många kan tycka är obehaglig med Google, men det är samtidigt den som gör tjänsten så effektiv.
– Duck duck go kan inte anpassa sig till dig som individ på samma sätt. För min del så förser Google mig med bättre sökresultat även om jag stöder den grundläggande idén om att inte spåra min data. Men här har du det här om vad du är beredd att offra i form av din personliga integritet, säger han.
Olof Sundin menar dock att vi måste vara vaksamma på vilken information vi lämnar ut om oss själva. Att företag kan kartlägga oss och har uppgifter om vad vi gör på nätet, vilka vi är och till och med vad vi funderar på ibland kan aldrig bara vara bra. Särskilt inte när insynen och informationen om hur våra uppgifter hanteras är så bristfällig. Med den information som Google har om dig och vad du gör i företagets olika program och produkter kanske uttrycket "storebror ser dig" borde döpas om till "Google ser dig".
– Det finns stora anledningar att om inte vara rädd så åtminstone vara misstänksam och ställa krav på Google att agera och öka transparensen, säger Olof Sundin.
Så här gör du din sökning mer effektiv
Har du ibland svårt att hitta det du söker på nätet? Här är några konkreta tips på hur du blir mer effektiv i din sökning.
- Använd enkla och specifika ord i din sökning. Använd alltså inte fullständiga meningar, utan i stället nyckelord för det du söker.
- Använd inga slang- eller dialektala uttryck, utan det språk som man kan förvänta sig finns på den sida där informationen du söker finns.
- Sök på exakt fras genom att sätta citationstecken runt din sökning. Till exempel, "Så gör du din sökning mer effektiv". Då får du upp webbsidor med samma fras och orden i samma ordning.
- Om du är intresserad av vad just en speciell sajt har skrivit om ett visst ämne så skriver du site: framför din sökning. Till exempel, site:aftonbladet.se kungahuset. Då får du alltså upp alla dokument som innehåller ordet kungahuset på Aftonbladets sajt.
- Är du ute efter en viss filtyp? Då skriver du bara filetype: efter dina sökord och lägger till antingen PPT, DOC, PDF eller XLS, beroende på om det är powerpoint, worddokument, pdf eller excel du letar efter. Alltså så här om du letar efter en pdf-fil, filetype:pdf.
- Uteslut ord i din sökning genom att skriva ett minustecken framför det ord du inte vill ska förekomma i sökresultatet. Till exempel, pajrecept -spenat. Då får du upp recept på paj som inte innehåller spenat.
- Letar du efter en webbsajt som liknar en annan webbsajt? Då skriver du bara related: följt av den webbadress du vill dina sökresultat ska påminna om.
- Om du är osäker på en fras eller ett fullständigt ordspråk, då kan du använda asterisktecknet *. Då vet sökmotorn att det är ett ord som du inte känner till och hjälper dig hitta det. Använd tillsammans med exakt fras för bästa resultat.
- Hittar du fortfarande inte det du letar efter? Tänk då på att Google kan ha rankat ditt sökresultat annorlunda mot vad du förväntat dig. Ofta kan det du är ute efter ha hamnat längre ned bland sökträffarna eller på en annan resultatsida. Många har dessutom sökinställningen på "allt". Genom att förfina din sökning utifrån vilka träffar du är ute efter så blir sökningen effektivare. Du kan till exempel filtrera fram dina sökresultat efter tid eller datum eller om du vet att det du söker finns på en blogg.
Fler söktips finns på Googles webbplats
Ta kontroll och bli medveten om vilka spår du lämnar
Känns det obehagligt att nätjättarna vet vad du gör på nätet? Då kanske det är dags att bli mer medveten om vilka spår du lämnar efter dig på nätet och hur du gör för att de ska få veta mindre om dig. Det finns inget självklart svar på hur man bäst förhåller sig till tredjepartskakor, Google och Facebook.
Hur just du vill balansera integritet och användarupplevelse mot varandra vet bara du, men det kan vara bra att vara medveten om för- och nackdelar.
Expertens 4 tips för en data detox
Åke Nygren är projektledare på Stockholms stads digitala bibliotek, med fokus på digitalt självförsvar. Här ger han fyra tips till dig som vill göra en data detox och ta kontroll över din egen data.
Upptäck dina digitala fotspår
Genom tjänsten Firefox lightbeam kan du se vilka kakor från sajter du besökt som finns lagrade på din dator. Du kan också ladda ner och upptäcka din samlade data från Facebook och Google.
Rensa bort din historik och radera appar du inte använder
Rensa din sök, besöks- och platshistorik och radera appar du inte använder. Avsluta tillhörande konton. Rensa i din data genom att slänga onödiga bilder, avtagga dig från uppdateringar.
Lås in och sätt gränser för behörigheter
Gå igenom kontoinställningarna och begränsa behörigheter, till exempel åtkomst till kontakter, bilder eller platshistorik. Blockera tredjepartskakor, de används av företag för att följa vilka sidor du besöker på nätet. Installera också ett webbläsartillägg som skyddar dig från spårare, det vill säga företag och andra kommersiella aktörer som vill kartlägga hur du surfar, ett exempel på webbläsartillägg är Private badger. Du kan också välja en webbläsare som motverkar spårning, till exempel Firefox eller TOR. Det finns risk att din användarupplevelse påverkas vid någon av åtgärderna men då kan du lätt häva blockeringen.
Starta om ditt digitala jag
Ha koll på mobilens grundinställningar, stäng av wifi, bluetooth och platstjänster när du inte behöver använda tjänsterna. Då kan de inte samla in data om dig. Upptäck också alternativ till Googles tjänster. Välj krypterade appar som inte överför din data till någon annan och vars innehåll ingen annan kan ta del av.
Lär dig mer.
Nyttiga länkar för dig som vill veta mer:
Myshadow.org . Här får du också konkreta tips och guidning i hur du tar kontroll över din data.
Datadetox.se . Drivs av Stockholms stads digitala bibliotek. Där kan du också ladda ner ett eget Data detox kit.
Dataskydd.net . En svensk organisation som verkar för ett ökat skydd för den personliga integriteten på nätet. Här kan du läsa om vilka rättigheter du har till din egen data och vilka lagar alla måste följa.
https://internetkunskap.se/artiklar/kallkritik/sa-styr-algoritmerna-dig/
Så styr algoritmerna vad som visas på sociala medier
interrobangit
Svenn Dybvik presentation ▼
Svenn Dybvik
