statliga myndigheter för att stärka den offentliga sektorns informationssäkerhet. MSB är även den myndighet som ger ut föreskrifter och råd till statliga myndigheter gällande informationssäkerhet. MSB tillhandahåller även säkra och robusta kommunikationstjänster för aktörer inom allmän ordning, säkerhet, hälsa och försvar. Myndigheten verkar även för att främja nyttjandet av skyddade satellittjänster för samhällskritiska funktioner samt genomför en nationell satsning på ökad säkerhet i cyberfysiska system. Stöd till övriga myndigheter har även lämnats.123
BA2: Vilka åtgärder kopplat till i det passiva cyberförsvaret har PTS vidtagit?
Förutom att stödja de övriga myndigheterna så PTS har tillsammans med teleoperatörer tydliggjort de egenskaper som bör eftersträvas för att öka motståndskraft och uthållighet i tillgängliga elektroniska kommunikationsnät i ett regionalt perspektiv. Myndigheten genomför även ett projekt som syftar till att minska beroendet av centrala funktioner i elektroniska kommunikationsnät och elektroniska tjänster. PTS utreder även i vilken grad som elektronisk kommunikation är beroende av funktioner utomlands i syfte att kunna minska detta beroende. Myndigheten upprätthåller ett nationellt system för produktion och distribution av tid och frekvens inom sektorn för elektronisk kommunikation. Detta för att öka robusthet och säkerhet nationellt.124
BA3: Vilka åtgärder kopplat till i det passiva cyberförsvaret har Polismyndigheten vidtagit?
Polismyndigheten har förutom det stöd eller samverkan som skett till övriga myndigheter genomfört en etablering av regionala IT-brottscentrum i alla sju polisregionerna. För att öka kvaliteten i brottsutredningar så har Åklagarmyndigheten och Polismyndigheten genomfört gemensamma kurser. Polismyndigheten har även resurser vid Europol som ger en bättre möjlighet att bekämpa gränsöverskridande cyberrelaterad brottslighet.125
123 Myndigheten för samhällsskydd och beredskap, ”Samlad informations- och cybersäkerhets- handlingsplan för åren 2019–2022. Redovisning mars 2020”, 19,21,25-26,31,35-36.
124 Ibid., 18, 30, 32. 125 Ibid., 19, 21. 39.
Sida 46 av 70
BA4: Vilka åtgärder kopplat till i det passiva cyberförsvaret har SÄPO vidtagit?
SÄPO och FRA har tillsammans börjat utveckla en gemensam lägesbild kring skyddsvärden, hot och sårbarheter. SÄPO, FRA och Försvarsmakten har tillsammans genomfört ett antal aktiviteter som ej specificeras närmare. Genom samverkan har myndigheterna ökat egna förmågorna att förebygga, upptäcka och hantera cyberattacker från kvalificerade aktörer. Det sker en regelbunden samverkan kring kompetensförsörjning inom det aktuella området. Det genomförs ett systematiskt proaktivt stöd till de mest skyddsvärda verksamheterna. Myndigheterna levererar aggregerat underlag om hot och sårbarheter till beslutsfattare på olika nivåer. Tillsammans utvecklar man förmågan att upptäcka cyberangrepp och stöd med incidenthantering till de mest skyddsvärda verksamheterna. I Nationell samverkan till skydd
mot allvarliga IT-hot (NSIT) sker analys och bedömning av hot eller sårbarheter när det gäller
allvarliga och kvalificerade angrepp mot de mest skyddsvärda intressena. Tillsammans med Försvarsmakten så tar SÄPO fram stödjande material för tillämpning av ny säkerhetsskyddslag som till exempel handböcker, utbildningsmaterial med mera. Även framtagande och utveckling av föreskrifter för säkerhetsskydd sker i denna konstellation. I övrigt så stödjer SÄPO de övriga myndigheterna i olika former.126
BA5: Vilka åtgärder kopplat till i det passiva cyberförsvaret har FMV vidtagit?
FVM har bidragit till att ta fram ett internationellt ramverk för stöd till att kunna hantera cyberhot, sårbarheter och motåtgärder. Vidare har FMV medverkat i olika internationella arbetsgrupper som syftar till att ta fram detaljerade krav på IT-säkerhet och evalueringsmetodik för specifika IT-produkter som är av svenskt intresse. Myndigheten stödjer även Försvarsmakten med utveckling, anskaffning och säkerhetsgranskning av generella IT- produkter. Detta arbete kommer även övriga myndigheter till gagn. FMV deltar även i internationella standardiseringsorgan för att utveckla och förbättra standarder inom IT-säkerhet och kryptografi. Även deltagande i internationella samarbetsforum för industrisäkerhet genomförs av FMV. I övrigt så stödjer FMV de övriga myndigheterna men framför allt Försvarsmakten.127
126 Ibid., 18–20, 25–25, 29, 36–37. 127 Ibid., 21, 29, 36, 45–46.
Sida 47 av 70
BA6: Vilka åtgärder kopplat till i det passiva cyberförsvaret har Försvarsmakten vidtagit?
Försvarsmakten har med stöd av FRA utvecklat sin förmåga till att genomföra defensiva operationer mot en kvalificerad motståndare i cybermiljön. Vidare har en kampanj genomförts för att sprida kunskap om varför information behöver skyddas. Även fokuserad forskning har bedrivit för att stärka cybersäkerheten både i Försvarsmakten men även i resten av samhället. Även en etablering med pliktutbildning till cybersoldat har påbörjats. Myndigheten har även genomfört övningen SAFE Cyber 2019, också deltagande i andra övningar har genomförts både nationellt och internationellt. Utbildning av privata aktörer samt kontraktsskrivande av beredskapsavtal med näringslivet har skett. Försvarsmakten stödjer andra myndigheter efter förfrågan med värdering och klassificering av informationsmängder i tekniska system och genomför träffar med säkerhetsskyddschefer på myndigheter där Försvarsmakten är tillsynsansvarig. Myndigheten har även utökat samverkan med andra myndigheter, internationella partners och civila företag inom försvarssektorn för att förbättra lägesbild och incidenthanteringsförmåga. Försvarsmakten etablerar även nya robusta och säkra kommunikationer för de olika aktörerna inom totalförsvaret som har särskilda säkerhetsskyddsbehov. Vidare lämnar Försvarsmakten veckovis en militärstrategisk lägesbild över statusen i Försvarsmaktens informations och ledningsstödsystem som presenteras för myndighetsledningen. Försvarsmakten stärker och vidareutvecklar även forskning och teknikutveckling inom cyberförsvarsområdet. Detta stödjs av FOI, FHS, KTH et al. I övrigt så stödjer Försvarsmakten de övriga myndigheterna.128
BA7: Vilka åtgärder kopplat till i det passiva cyberförsvaret har FRA vidtagit?
FRA har ökat sin kunskap och kompetens inom analys av hårdvarurelaterade hot och sårbarheter. Denna ökade kunskap har kommit till användning i FRA:s stödverksamhet inom IT-säkerhet. Myndigheten erbjuder dessutom intresserade ungdomar att praktisera en vecka på sommaren i syfte att få upp intresse för IT-säkerhet. Det har även startats en poddradio om cyberförsvar. Utvecklingen av TDV som genomförs tillsammans med Säkerhetspolisen samt utplacering hos de mest skyddsvärda verksamheterna har genomförts. FRA har även deltagit i övningar kopplat till cyberförsvar. Förutom att tillhandahålla TDV är huvuddelen av FRA:s uppgifter att stödja övriga myndigheter.129
128 Ibid., 19–20, 21, 28–31, 38, 42–44. 129 Ibid., 20, 38, 40, 44.
Sida 48 av 70
BA8: Finns det någon central samlad funktion som ansvarar för riskbedömning?
Idag finns ingen samlad funktion som ansvarar för detta. Den närmaste funktionen som kan anses hantera detta är CERT-SE är Sveriges nationella Computer Security Incident Response
Teams (CSIRT) inom ramen för NIS-direktivet. CERT-SE har till uppgift att stödja samhället
med att hantera och förebygga IT-incidenter och riktar sig till såväl den offentliga sektorn som näringslivet.130 Regeringen har dock gett i uppdrag till FRA, Försvarsmakten, MSB och
Säkerhetspolisen att vidta åtgärder så att en nationellt cybersäkerhetscentrum ska kunna inrättas under 2020. Detta centrum ska kunna samla förmågan att kunna förebygga, upptäcka och hantera cyberhot mot Sverige.131
BA9: Hur klassificeras och medvetandegörs personal avseende cyberhotet hos de olika myndigheterna inom SAMFI?
Oavsett om det är myndigheterna inom SAMFI eller övriga delar av den statliga förvaltningen så är det Säkerhetsskyddslag (2018:585) som reglar detta. I det 3 kap. framgår det att den som
genom anställningen eller på annat sätt ska delta i säkerhetskänslig verksamhet ska säkerhetsprövas. Olika befattningar kräver olika nivåer på säkerhetsklass med tillhörande säkerhetsprövning beroende på vilken typ av arbetsuppgifter som ska utföras. Respektive myndighet har ansvar för att säkerhetspröva sin egen personal.132 Att utbilda och
medvetandegöra den egna personalen sker genom att Säkerhetspolisen, FRA och Försvarsmakten stöttar statliga myndigheter, kommuner och landsting med utbildning så att de ska ha kännedom om hot och risker, kunna ta ansvar för sin informationssäkerhet och bedriva ett systematiskt informationssäkerhetsarbete.133
130 Myndigheten för samhällsskydd och beredskap, ”Om CERT-SE − www.cert.se”.
131 Försvarets radioanstalt et al., ”Svar på uppdrag (Fö2019/01000/SUND) inför inrättandet av ett nationellt cybersäkerhetscenter”, 3.
132 Justitiedepartementet, ”Säkerhetsskyddslag (2018:585)”, 2018:585 Svensk Författningssamling § (2018). 133 Myndigheten för samhällsskydd och beredskap, ”Samlad informations- och cybersäkerhets- handlingsplan för åren 2019–2022. Redovisning mars 2020”, 20, 25.
Sida 49 av 70
Lager 2 Resiliens
BB1: Hur ser förmågan att upptäcka cyberhot kopplat till cybersäkerhet och hur hanteras dessa?
Genom att systematiskt arbeta med informationssäkerhet kan cyberhot identifieras och upptäckas. MSB har via Enheten för systematisk informationssäkerhet (CS-SI) uppgiften att ge råd och stöd om informations- och cybersäkerhet, om systematiskt och riskbaserat informationssäkerhetsarbete till statliga myndigheter, kommuner och regioner samt företag och organisationer. Detta sker via webbplatsen Informationssäkerhet.se.134 Genom skyldigheten att
rapportera incidenter som regleras i Lag (2018:1174) om informationssäkerhet för
samhällsviktiga och digitala tjänster kan CERT-SE omhänderta de cyberhot som uppstår.135
Detta sker genom att CERT-SE sprider information och vid behov samordnar åtgärder och medverkar i det arbete som krävs för att lindra effekterna.136 MSB erbjuder även leverantörer
av samhällsviktiga och digitala tjänster möjlighet att ansluta sig till ett sensorsystem. Detta system ger möjlighet att erhålla en utökad förmåga att upptäcka och sydda sig mot allvarligare IT-angrepp.137 FRA har från regeringen uppgiften att på begäran från myndigheter eller statligt
ägda bolag att tillhandahålla tekniska detekterings- och varningssystem (TDV). Utplaceringen kan ske efter samverkan med SÄPO. En genomförd utvärdering av informationssäkerhetsnivå samt förmågan till incidenthantering på den som efterfrågat TDV ska genomföras till exempel genom en IT-säkerhetsanalys.138 Uppgiften om vilka som har TDV installerat är hemlig men
det är myndigheter och statliga företag som viktiga för samhällets grundläggande funktioner.139
Försvarsmakten hanterar cyberhotet genom de egna driftcentralerna för IT och telekommunikationer där de incidenter som uppstår omhändertas. Detta sker i nära samarbete med FM CERT som hanterar IT-säkerhetsincidenter inom Försvarsmakten samt analyserar och
134 Myndigheten för samhällsskydd och beredskap, ”Avdelningen för cybersäkerhet och säkra
kommunikationer”, åtkomstdatum 22 april 2020, https://www.msb.se/sv/om-msb/organisation/avdelningen-for- cybersakerhet-och-sakra-kommunikationer/.
135 Justitiedepartementet, ”Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster”, 2018:1174 Svensk Författningssamling § (2018).
136 Myndigheten för samhällsskydd och beredskap, ”Hantering och förebyggande av it-incidenter - CERT-SE”. 137 Myndigheten för samhällsskydd och beredskap, ”Samlad informations- och cybersäkerhets- handlingsplan för åren 2019–2022. Redovisning mars 2020”, 36.
138 Försvarsdepartementet, Regleringsbrev för budgetåret 2019 avseende Försvarets radioanstalt, 2. 139 Försvarets radioanstalt, ”FRA Årsrapport 2019”, 23.
Sida 50 av 70