Är arbetet med informationssäkerhet i den civila statsförvaltningen

2015-09-11
1
2015-09-11
Ä R A R B E T E T M E D I N F O R M A T I ON S S Ä K E R H E T I D E N C I V I L A S T A T S F Ö R V A L T N I N G E N E F F E K T I V T ?
2
Informationssäkerhet – en utmaning för staten
›
›
›
›
›
E-förvaltning byggs ut raskt, men målkonflikt mellan tillgänglighet/funktionalitet och säkerhet
Riskerna ökar, men har vi koll på dem?
Redundans saknas ofta
Statsförvaltningen mer sårbar
En utmaning för staten
2015-09-11
1
2015-09-11
Ä R A R B E T E T M E D I N F O R M A T I ON S S Ä K E R H E T I D E N C I V I L A S T A T S F Ö R V A L T N I N G E N E F F E K T I V T ?
3
Tolv granskningar 2005–2007
›
›
›
›
›
Elva myndigheter granskade var för sig
Uppenbara brister i intern styrning och kontroll på myndigheterna
Regeringens styrning av området granskades
Regeringen brast i uppföljning
Regeringen hade inte gjort tillräckligt för att förbättra förutsättningarna för myndigheterna
2015-09-11
Ä R A R B E T E T M E D I N F O R M A T I ON S S Ä K E R H E T I D E N C I V I L A S T A T S F Ö R V A L T N I N G E N E F F E K T I V T ?
4
Granskning 2014
› Inriktning regeringen och dess stödmyndigheter
› Omfattande brister i informationssäkerheten
–
–
–
–
–
–
Allvarliga brister i RSA
Låg efterlevnad av LIS-föreskrifterna
Skyddet motsvarar sällan skyddsvärdet
Allvarliga brister i den mest skyddsvärda verksamheten
Ingen aggregerad redovisning av bristerna
Ingen obligatorisk incidentrapportering
› Samlad slutsats: arbetet med informationssäkerhet inte ändamålsenligt sett till hot och risker
2015-09-11
2
2015-09-11
Ä R A R B E T E T M E D I N F O R M A T I ON S S Ä K E R H E T I D E N C I V I L A S T A T S F Ö R V A L T N I N G E N E F F E K T I V T ?
5
Granskning 2014
›
›
›
›
Att risker bedöms är en förutsättning för lämpliga skyddsåtgärder
Kostnader för IT-incidenter är svårberäknade och oftast okända
Myndigheternas risk- och sårbarhetsanalyser aggregeras inte till central nivå
Myndigheterna genomför sina risk- och sårbarhetsanalyser på varierande sätt – svårt att jämföra och
skapa helhetsbild
› Kunskap saknas om läget, nödvändiga åtgärder och kostnader för skyddet – omöjligt väga
säkerhetsbehov mot skyddsåtgärder
2015-09-11
Ä R A R B E T E T M E D I N F O R M A T I ON S S Ä K E R H E T I D E N C I V I L A S T A T S F Ö R V A L T N I N G E N E F F E K T I V T ?
6
Granskning 2015
›
›
›
›
›
›
Inriktning myndighetsnivån
Följer upp de granskade myndigheterna från 2005–2007
Granskar den interna styrningen och kontrollen av informationssäkerhet på myndigheterna
Granskar om regeringen följer upp intern styrning och kontroll
Granskar myndigheternas rapportering till regeringen och hur regeringen hanterar det
Undersöker kostnadsbilden
2015-09-11
3
2015-09-11
Ä R A R B E T E T M E D I N F O R M A T I ON S S Ä K E R H E T I D E N C I V I L A S T A T S F Ö R V A L T N I N G E N E F F E K T I V T ?
7
Granskning 2015 ● IT-brott
›
›
›
›
›
›
Granskar hur polis och åklagare hanterar IT-brott och IT-relaterade brott
IT har skapat nya modus och arenor för brott
IT-brotten ökar och Sverige och EU är attraktivt som bas för att begå dessa brott
De flesta brott skrivs av snabbt
Få lagförs – uppklaringen endast 9 procent
Polisen och Åklagarmyndigheten arbetar för att förbättra hanteringen – men det krävs mycket arbete
för att nå dit
2015-09-11
Ä R A R B E T E T M E D I N F O R M A T I ON S S Ä K E R H E T I D E N C I V I L A S T A T S F Ö R V A L T N I N G E N E F F E K T I V T ?
8
Slutsatser
› Informationssäkerhet – ett väsentligt område för staten och samhället
› Erfarenheter från granskningarna visar att arbetet med informationssäkerhet inte är effektivt
› Riksrevisionen fortsätter granska informationssäkerheten
2015-09-11
4