Beredskap mot skadlig kod - Myndigheten för samhällsskydd och ...

More documents

Recommendations

Info

varit allvarliga, men skadorna har begränsats till att gälla de administrativa stödfunktionerna. I och med att kärnverksamheten inte påverkats nämnvärt har det inte funnits många exempel på externa kaskadeffekter. I de fall där avbrotten var märkbara utanför organisationen har effekterna varit ganska kortvariga och av lokal karaktär. Internt har skadorna dock varit större, både i förlorad produktion och i en kraftigt ökad arbetsbelastning för IT-personalen. De typer av skadlig kod som oftast nämndes bland de drabbade organisationerna var Loveletter, Nimda, Sasser och Blaster. Bara ett fåtal organisationer har sluppit incidenter helt och hållet. Den främsta skillnaden mellan statliga organisationer och privata företag är att kraven på IT- och informationssäkerhet inom näringslivet generellt är något lägre än på den offentliga sidan. Visserligen är de kommersiella intressena inom näringslivet mycket stora, men ett stort avbrott skulle i många fall inte ha lika stor påverkan på den interna verksamheten eller på samhällskritisk infrastruktur. Mot bakgrund av att ITsäkerhetsnivån inom de företag som ingår i denna studie ändå bedöms vara lika hög som säkerhetsnivån för myndigheter och statliga bolag kan man dra slutsatsen att privata företag ligger närmare den för dem optimala IT- och informationssäkerhetsnivån än statliga organisationer. Ett annat konstaterande är att privata företag i större utsträckning än statliga organisationer verkar ha varit pro-aktiva i sina satsningar på förbättrad IT-säkerhet. En majoritet av företagen har visserligen blivit drabbade av incidenter i samband med intrång av skadlig kod, men konsekvenserna har varit förhållandevis lindriga och intrången har inte nödvändigtvis varit den viktigaste anledningen att skynda på eller påbörja förbättringsarbetet. En gemensam nämnare för aktörer inom den privata och den statliga sidan är att det är samma aspekter som främst bekymrar IT-ansvariga, t.ex. den generella medvetenheten i organisationen, hur IT-regler och -rutiner följs och kompetensbredden på området ITsäkerhet. Det finns dock ett påtagligt större fokus inom näringslivet på möjligheten att behöriga kan utgöra ett hot mot IT-säkerheten om de inte längre är lojala mot organisationen. sammanfattning | 9
Rekommendationer Utifrån det som kommit fram i undersökningen rekommenderar Opticom följande för att förbättra skyddet av samhällsviktig infrastruktur: 1. Verka för mer central styrning! Det som myndigheter och statliga bolag enligt dem själva skulle vara mest behjälpta av är mer central styrning och tydligare krav uppifrån. Myndigheter i Sverige är i regel mycket självständiga, vilket har en del fördelar. En nackdel är däremot att de är som öar i ett stort hav och att man är tvungen att själv uppfinna hjulet i många avseenden. Många uppfattar att de får alldeles för lite hjälp på vissa områden och att det finns en brist på tydliga direktiv. Ett stort antal respondenter efterlyser därför: 1. Tydligare regler och direktiv uppifrån. 2. En gemensam kravställare mot leverantörer av viktiga IT-lösningar från statens sida. 3. En kanalisering av information av gemensamt intresse för myndigheter och statliga bolag för att främja ett ökat erfarenhetsutbyte. Att befrämja och stimulera spontan informationsutväxling mellan myndigheter skulle kunna förstärka dessa synergieffekter. 10 | beredskap mot skadlig kod 2. Låt en myndighet bli rösten utåt för alla myndigheter som verkar för att befrämja IT-säkerheten! En vanlig kommentar som kommit fram i undersökningen är att myndigheter och statliga bolag anser att det finns för många instanser som har en egen roll i den gemensamma strävan från staten att höja IT-säkerheten och skydda viktig nationell infrastruktur. Det som efterlyses är färre kontaktytor och helst att en myndighet agerar som röst utåt på alla områden som är kopplade till IT- och informationssäkerhet. Utöver ett mer enhetligt sätt att kommunicera bör denna myndighet även ha en samordnande funktion och kanalisera informationsutbyte mellan de berörda instanserna. 3. Kanalisera information om incidenter! Bara ett fåtal organisationer är helt pro-aktiva i sin satsning på förbättrad IT- och informationssäkerhet och det blir lätt så att man känner en falsk trygghet om man inte har drabbats av skadlig kod under en lång period. Det krävs dock stor kunskap och fantasi om vad som skulle kunna hända och på vilket sätt för att ständigt kunna vara proaktiv. Det vore bra om nyckelpersoner i alla dessa organisationer får omedelbar information om lyckade intrång av skadlig kod i Sverige och utomlands samt en inblick i vilka brister i säkerheten som har gett – eller kan ha gett – upphov till dessa incidenter. Denna
Page 1 and 2: Beredskap mot skadlig kod en kartl
Page 3 and 4: Titel: Beredskap mot skadlig kod -
Page 5 and 6: Kompetens på de som är involverad
Page 7 and 8: Presentation av författarna Under
Page 9: 2. I organisationer där en del av
Page 13 and 14: informationshantering, till exempel
Page 15 and 16: 10. Två av tre respondenter säger
Page 17 and 18: Rapportens disposition Sammanfattni
Page 19 and 20: • Hur är beredskapen vad det gä
Page 21 and 22: Samtliga organisationer, både mynd
Page 23 and 24: Organisationens IT-rutiner Vikten a
Page 25 and 26: Bild 2. Respondenternas bedömning
Page 27 and 28: vart fjärde svar). Att IT-systemen
Page 29 and 30: krav på IT-systemets säkerhetsniv
Page 31 and 32: gäller att deras verksamhet varken
Page 33 and 34: Bild 8. Andel av respondenter som v
Page 35 and 36: Bild 10. För och nackdelar med IP-
Page 37 and 38: jämförelse mellan statliga organi
Page 39 and 40: IT-säkerhet generellt och i krissi
Page 41 and 42: Bild 13. IT-relaterade faktorer ord
Page 43 and 44: Bild 15. Viktighet av IT/informatio
Page 45 and 46: Säkerhet och IT-säkerhet inom org
Page 47 and 48: Bild 18. Dokument som reglerar IT-s
Page 49 and 50: Bild 20. Respondenternas nöjdhet m
Page 51 and 52: framför allt kräver att de har en
Page 53 and 54: Genom att studera de existerande ko
Page 55 and 56: Bild 23. Viktigaste kommunikationsk
Page 57 and 58: Beredskap mot intrång av skadlig k
Page 59 and 60: Bild 26. De största enskilda fakto
Page 61 and 62:
jämförelse mellan statliga organi
Page 63 and 64:
Jämförelsebild 7. Kapacitet att s
Page 65 and 66:
Verkliga intrång av skadlig kod En
Page 67 and 68:
Bild 30. Långsiktiga förändringa
Page 69 and 70:
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Bild 34. Storlek på den grupp av p
Page 77 and 78:
Appendix: frågeformulär besöksin
Page 79 and 80:
6. Vilka anser du är de största s
Page 81 and 82:
19. På en skala från 1 till 10, i
Page 83 and 84:
III. IT-säkerhet generellt och i k
Page 85 and 86:
43. På en skala från 1-10, hur n
Page 87 and 88:
60. I vilken utsträckning skulle d
Page 89 and 90:
69. Var på denna tidsskala bedöme
Page 92:
kbm:s temaserie 2005:1 Beredskap mo
show all

Beredskap mot skadlig kod - Myndigheten för samhällsskydd och ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?