Beredskap mot skadlig kod - Myndigheten för samhällsskydd och ...
Beredskap mot skadlig kod - Myndigheten för samhällsskydd och ...
Beredskap mot skadlig kod - Myndigheten för samhällsskydd och ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Sammanfattning<br />
Övergripande slutsatser<br />
Under hösten 2004 har Opticom International<br />
Research ut<strong>för</strong>t en studie om<br />
IT- <strong>och</strong> informationssäkerhet <strong>och</strong> beredskap<br />
<strong>mot</strong> <strong>skadlig</strong> <strong>kod</strong> inom stora<br />
offentliga organisationer i Sverige.<br />
Studien har gjorts på uppdrag av Krisberedskapsmyndigheten<br />
(KBM). Utgångspunkten<br />
<strong>för</strong> studien har varit att<br />
kartlägga utformningen av, <strong>och</strong> rutinerna<br />
kring, IT- <strong>och</strong> informationssäkerheten<br />
på ett antal större myndigheter<br />
<strong>och</strong> statliga bolag i Sverige, med en <strong>för</strong>djupad<br />
analys av beredskapen <strong>mot</strong><br />
<strong>skadlig</strong> <strong>kod</strong>. För att få en djupare <strong>för</strong>ståelse<br />
av alla aspekter som är av intresse<br />
på detta område har Opticom valt att<br />
göra besöksintervjuer med 22 respondenter<br />
i fjorton olika organisationer,<br />
samtliga med viktiga samhällsfunktioner.<br />
Utöver dessa besöksintervjuer<br />
har en mindre tilläggsstudie gjorts per<br />
telefon bland 10 <strong>för</strong>etag inom det<br />
svenska näringslivet, med syfte att se<br />
hur resultatet <strong>för</strong> myndigheter <strong>och</strong> statliga<br />
bolag står sig i <strong>för</strong>hållande till IT<strong>och</strong><br />
informationssäkerhetsnivån på<br />
privata <strong>för</strong>etag.<br />
Opticoms övergripande slutsats är<br />
att IT- <strong>och</strong> informationssäkerheten inom<br />
myndigheter <strong>och</strong> statliga bolag har<br />
höjts betydligt under de senaste tre-fyra<br />
åren. I många fall är det intrång med<br />
<strong>skadlig</strong> <strong>kod</strong> i den egna organisationen<br />
som ligger till grund <strong>för</strong> en större satsning<br />
på IT-säkerhet. Denna grupp av<br />
myndigheter <strong>och</strong> statliga bolag skulle<br />
kunna betecknas som reaktiva<br />
drabbade. För ett antal andra organisationer<br />
är det snarare incidenter som<br />
andra aktörer råkat ut <strong>för</strong> som har satt<br />
igång den här processen. Här skulle<br />
man kunna tala om reaktiva ickedrabbade.<br />
Bara ytterst få aktörer tänker<br />
långsiktigt inom alla de av Opticom<br />
undersökta områdena <strong>och</strong> visar sig<br />
därmed vara pro-aktiva icke-drabbade.<br />
Det finns två viktiga interna skäl<br />
till var<strong>för</strong> det generella beteendet är<br />
reaktivt snarare än pro-aktivt:<br />
1. Brist på medvetande om att det finns<br />
sårbarheter i IT-miljön <strong>och</strong>/eller brist<br />
på kunskap om hur man ökar skyddet<br />
gör att man behåller vissa rutiner<br />
eller tekniska lösningar som inte är<br />
optimala ur IT-säkerhetssynpunkt.<br />
sammanfattning | 7