Antalet försök till cyberattacker ökar och därför är det viktigt att vi ser till skyddet av statsförvaltningens e-tjänster i takt med att digitaliseringen av dem framskrider. När tjänsterna ordnas inbegriper det även cyberskyddet, vilket blir ännu viktigare i centraliserade tjänster.
En allt större andel av statsförvaltningens tjänster är i dag e-tjänster. Trots att försöken till cyberintrång fortsätter att öka måste kunderna kunna lita på att tjänsterna är tillgängliga och uppgifterna är skyddade.
Med cyberintrång avses att någon obehörig utnyttjar eller saboterar en e-tjänst. Förövaren kan till exempel ta del av, radera eller manipulera information, utnyttja tjänsten för andra brott, exempelvis bedrägerier, blockera tjänsten eller orsaka skada genom att använda tjänsten för att styra tekniska anordningar.
Med cyberskydd avses åtgärder för att förebygga cyberattacker med hjälp av tekniska metoder samt administrativa åtgärder som stöder dem. När det gäller att skydda sig mot cyberintrång är det också viktigt att de som använder tjänsterna är medvetna om attackmetoderna speciellt när de använder datorer och andra terminaler.
Vem har ansvar för cyberskyddet?
Den myndighet som organiserar tjänsten ska också se till cyberskyddet. Myndigheterna är inte ensamma i detta arbete, utan statsförvaltningens förmåga att motarbeta cyberattacker har byggts upp som en del av utvecklingen av informationssäkerheten och beredskapen under Finansministeriets ledning. Till dessa centraliserade åtgärder hör informationssäkerhetsanvisningarna som utarbetats av ledningsgruppen för digital säkerhet inom den offentliga förvaltningen (VAHTI). Anvisningarna innehåller också instruktioner för organiseringen av cyberskyddet.
Leverantören av de operativa tjänsterna sköter i regel den tekniska biten i tjänsterna. Ansvaret för att en tjänst är skyddad ligger ändå alltid hos den som ordnar tjänsten. Anordnaren ska känns till hur cyberskyddet för tjänsten är uppbyggd och säkerställa att skyddet är tillräckligt.
Statsförvaltningens branschoberoende IKT-tjänster (projektet TORI) levereras centraliserat av Statens center för informations- och kommunikationsteknik (Valtori). Härvid har också praktiska cyberskyddsåtgärder centraliserats till det statliga IKT-centret. Centralisering av tjänster innebär centralisering av risker, och därför är det synnerligen viktigt att man är extra noggrann med skyddet och funktionssäkerheten i tjänsterna.
Hur har skyddet ordnats?
Lägesbilden för cybersäkerheten bygger på uppgifter med vilka man kan avvärja och klara av cyberattacker. För lägesbilden samlas information om sårbarheter i tjänsterna och om hot som riktas eller riktats mot tjänsterna. Cyberattacker följs upp med hjälp av olika tekniska metoder för analysering av datakommunikationen och av funktionen hos både hårdvara och mjukvara.
Cybersäkerhetscentret, som hör till Kommunikationsverket, upprätthåller en nationell lägesbild om cybersäkerheten, och enskilda myndigheter kompletterar sina respektive lägesbilder genom egna åtgärder. Lägesbilden undermineras av att inte ens myndigheterna är skyldiga att anmäla cyberattacker som riktats mot tjänsterna. För att förbättra situationen vore det bra om myndigheterna alltid anmälde cyberattacker till Cybersäkerhetscentret.
För närvarande är kontrollen av informationssäkerheten spridd på flera olika myndigheter. Att centralisera kontrollerna ännu mer till det statliga IKT-centret skulle effektivisera sammansättningen och behandlingen av lägesbilden inom statsförvaltningen.
I praktiken finns det brister också i hur cyberattacker observeras, bland annat i vissa av de centraliserade tjänsterna. Lanseringen av det statliga IKT-centret har dragit ut på tiden och centret har av olika orsaker hamnat i en situation där mycket fortfarande göras för att förbättra bland annat utvärderingen av cyberskyddsmetoder, implementeringen av metoder och kommunikationen om läget till kunderna. Centret har under hösten fortsatt att arbeta för att förbättra situationen genom att utveckla organiseringen av informationssäkerhetsåtgärderna och resursallokeringen.
Myndigheterna har på sistone lyckats reagera på cyberattacker och attackförsök som riktats mot deras tjänster relativt väl och skadorna har varit rätt så små. De synligaste cyberattackerna har varit blockeringsattacker som kortvarigt slagit ut myndigheters webbplatser. Skadliga program har också infekterat enskilda datorer.
Cyberskyddets funktionssäkerhet tryggas genom att öva förmågan att hantera incidenter. Övningarna kan med fördel utvidgas till teknisk återhämtning. Cyberskyddets tillräcklighet verifieras genom kvalitetsgranskningar av informationssäkerheten, men alltid har man inte hunnit genomföra granskningarna förrän en tjänst tas i bruk.
Den operativa ledningen för hanteringen av omfattande cyberangrepp har inte planerats och ansvarsfördelning saknas. Det finns rutiner för samordningen av åtgärder mot enskilda cyberattacker, men statsrådet har tills vidare inte utsett någon instans som skulle leda hanteringen av extensiva cyberattacker och som skulle kunna fatta förvaltningsövergripande beslut. Med en fastställd process skulle sådana cyberattacker kunna motarbetas effektivare och återhämtningen skulle ske snabbare.