it och sårbarhet - ribrib.msb.se/filer/pdf/20230.pdfhällsvetare ofta fokuserar på vilka...

IT och sårbarhet

kritiska beroendeförhållandeni den nationella it-infrastrukturen

Andreas Malm, Jan Softa,

Jan Joel Andersson,

Klas Lindström

kbm:s temaserie | 2003:5

IT och sårbarhet

kritiska beroendeförhållanden i den nationella it-infrastrukturen

Andreas Malm, Jan Softa,

Jan Joel Andersson, Klas Lindström

kbm:s temaserie | 2003:5

Titel: IT och sårbarhet – Kritiska beroendeförhållanden i den nationella IT-infrastrukturen

Utgiven av Krisberedskapsmyndigheten (KBM)

Omslagsfoto: Jack Mikrut/Prb

Övriga bilder: sid 12 Creative Collection, sidan 17;1,2 Future image bank, 17;3 PhotoDisc,

17;4 Edelpix

Upplaga: 2 000 exemplar

ISBN: 91-85053-27-9

KBM:s dnr: 0907/2003

Grafisk form: AB Typoform

Tryck: Edita Ljunglöfs, Stockholm 2003

Skriften kan erhållas kostnadsfritt från

Krisberedskapsmyndigheten, materielförvaltning.

E-post: [email protected]

Skriften kan laddas ned från Krisberedskapsmyndighetens webbplats

www.krisberedskapsmyndigheten.se

KBM:s temaserie 2003:5

kbm:s temaserie

2003:1 Bagdad-Bob, menige Jessica Lynch och Cirkus Saddam

Irakkriget iscensatt i svenska medier

2003:2 Irakkrigets andra dag

En jämförelse mellan SVT och tidningspressen den 21 mars 2003

2003:3 Krisberedskap i omvärlden

Samordningsstrukturer i fem länder

2003:4 Från osäker källa

Bevakningen av Irakkriget i svenska medier

2003:5 IT och sårbarhet

Kritiska beroendeförhållanden i den nationella IT-infrastrukturen

Förord 5

Inledning 7

Säkerhet, sårbarhet och hot 9

Vilka är hoten? 11

Vilka är sårbarheterna? 15

Projektets belysning av sårbarheter 21

Slutsatser 29

Referenser 33

Innehåll

f ö r o r d | 5

Pilotprojektet Kritiska beroendeförhål-landen – i den nationella IT-infrastruk-turen utfördes under sommaren ochhösten 2003 av Krisberedskapsmyndig-heten. Syftet med pilotprojektet var attpröva och utvärdera scenarioplaneringsom metod för att identifiera kritiskaberoendeförhållanden mellan olikaaktörer i den nationella IT-infrastruktu-ren i Sverige.1

I denna skrift beskriver vi hur insik-ten om beroendeförhållanden utgör ennödvändig del i säkerhetsarbetet kringden allt mer kritiska nationella IT-infrastrukturen. I skriften ger vi exem-pel på olika beroendeförhållanden ochdiskuterar hur dessa kan hanteras föratt minska sårbarheten i det totalasystemet. Vi visar även på behovet avatt analysera beroendeförhållanden somen integrerad del i arbetet med att

reducera samhällets sårbarhet i IT-infra-strukturen. Vi drar en skiljelinje mellansårbarheter i och hot mot IT-infra-strukturen och kopplar dessa till detövergripande nationella arbetet medinformations- och IT-säkerhet.

Utan de deltagande parternas enga-gemang i detta pilotprojekt hade detinte varit möjligt för oss att genomföradetta arbete. Vi vill därför rikta ett storttack till alla deltagande och bidragandeparter och hoppas att vårt gemensam-ma arbete skall bära frukt i form avsäkerhetsförbättringar inom den natio-nella IT-infrastrukturen som kommernäringslivet, staten och den enskildemedborgaren till godo.

Konsultfirman 4C Strategies AB har på uppdrag av Krisberedskapsmyndig-heten utfört pilotprojektet.

Förord

1 I denna skrift definierar vi kritiska beroendeförhållanden i infrastrukturer som en koppling mellan aktörer iinfrastrukturer som innebär att funktionen i en infrastruktur påverkas av funktionen och agerandet i enannan infrastruktur. Om en kritisk infrastruktur inte kan användas kan det: Hota statens överlevnad; Ha all-varliga nedsättande konsekvenser för nationen i sin helhet; Negativt påverka stora delar av befolkningen;Kräva brådskande, om inte omedelbara, åtgärder.

Krisberedskapsmyndigheten

i n l e d n i n g | 7

Inledning

Det svenska samhället har under desenaste årtiondena successivt övergåttfrån ett industrisamhälle till ett infor-mationssamhälle. I dagens samhällepåverkar möjligheterna att sammanstäl-la och använda information vårt sätt attgöra affärer, vårt sätt att styra landetoch vårt sätt att hantera kriser. Dennasamhällsomvandling har möjliggjortstack vare utvecklingen inom informa-tionsteknologin (IT). Vissa forskareanser att utvecklingen av informa-tionsteknologin på sätt och vis är en”tyst revolution” men att det är myckettroligt att denna ”tysta revolution”kommer att påverka och förändra detinternationella systemet och männi-skors livsvillkor minst lika mycket somdet kalla krigets slut gjorde.1

Förvandlingen från industrisamhälletill informationssamhälle har inteenbart medfört optimism och förvänt-ningar utan även ovisshet och ängslan.

Dessa motstridiga uppfattningar är intehelt förvånande med tanke på den oer-hört snabba och stora strukturomvand-ling som den nya informationsteknolo-gin innebär för myndigheter, näringsliv,beslutsfattare och medborgare.

En del forskare menar även att detkalla krigets slut medfört en förskjut-ning från en värld av fiender till envärld av faror och risker.2 IT-revolutio-nen har utmålats som en sådan fara dåden trots sina många fördelar även letttill en ökad sårbarhet i samhället pågrund av beroendet av komplexa dato-riserade system.3 Redan 1978 påtaladeen statlig utredning att det datoriseradesvenska samhället blivit oacceptabeltsårbart, men utredningen ledde då intetill några större åtgärder.4 Sedan mittenav 1990-talet har dock statsmakternaägnat allt större uppmärksamhet åtinformationsteknologin (IT) som enkälla för allvarliga risker i samhället.5

1 Alberts & Papp, 1997. Sid. xiv. 2 Beck, 1999. Sid. 3.3 Castells, 1996. Sid. 4.4 Karlsson & Sturesson, 1995, Sid. 221.5 Den första proposition som uppmärksammar IT som hot mot säkerheten är Prop. 1995/96:12.

8 | i t o c h s å r b a r h e t

Som en följd av denna förändring isynsätt har informations- och IT-säker-heten kommit att bli allt viktigare.

Tills för ett par år sedan berördedock informationssäkerhet primärt stat-smakternas hantering av klassificeradinformation. När vi idag diskuterarinformationssäkerhet menar vi intebara säkerheten kring statshemligheter

utan även kring information som blivitkritisk för såväl näringslivet som sam-hället i stort. Säkerheten i bemärkelsenrobustheten, tillförlitligheten och uthål-ligheten i den nationella IT-infrastruk-turen har därför kommit att bli enfråga inte enbart för staten och närings-livet, utan för alla!

Säkerhet är idag ett centralt begreppinom IT och kan betecknas som etttillstånd som innebär skydd mot okon-trollerad insyn, förlust eller påverkan,oftast i samband med medvetna försökatt utnyttja eventuella svagheter. Ettsystem är säkert i den utsträckning mananser sig kunna lita på att det fungerar(eller kommer att fungera) på avsettsätt. Bedömningen av detta kopplassom regel till en uppskattning av existe-rande eller potentiella hot.1 Både teore-tiker och praktiker har funderat övervilka sårbarheter och hot den informa-tionsteknologiska utvecklingen medförför individ, samhälle och stat. Oftafokuserar tekniker på tekniska brister iIT-produkter och system, medan sam-hällsvetare ofta fokuserar på vilka kon-sekvenser störningar kan få för individ,samhälle och stat. Att olika grupper harolika betoning på vad informations-och IT-säkerhet utgör kan vara bra ochnödvändigt, men det kan även innebäraatt såväl förståelsen som analysen av

sårbarheter och hot inte blir heltäckan-de.

Med informationssäkerhet menar visäkerhet vid hantering av informationavseende önskad tillgänglighet, (infor-mations-) kvalitet, sekretess och spår-barhet.2

• Tillgänglighet: möjligheten attutnyttja resurser efter behov i för-väntad utsträckning och inom öns-kad tid.

• (Informations-) kvalitet: att en infor-mationsmängd inte avsiktligt elleroavsiktligt förändras eller förstörs.

• Sekretess: att information (elleribland även dess existens) inte fårgöras tillgängligt eller avslöjas förobehöriga.

• Spårbarhet: att en verksamhet ochtillhörande system skall innehållafunktioner som gör det möjligt attentydigt härleda utförda operatio-ner till enskilda individer.

s ä k e r h e t , s å r b a r h e t o c h h o t | 9

Säkerhet, sårbarhet och hot

1 Källa för denna begreppsbildning och terminologi, se Rapport ITS 6.2 PTS-ER-2002:24. Sid. 9.

1 0 | i t o c h s å r b a r h e t

Med IT-säkerhet avser vi de delar avbegreppet informationssäkerhet somavser säkerheten i den tekniska hanter-ingen av information som bearbetas,lagras och kommuniceras elektronisktsamt administrationen kring denna.1

För att kunna diskutera och analy-sera informations- och IT-säkerhet ärdet också viktigt att tydliggöra skillna-den mellan sårbarheter och hot. Dessabegrepp blandas ofta ihop men vi harfunnit det lämpligt att analytiskt skiljapå begreppen. I denna skrift betecknar

vi sårbarheter som härstammande fråninterna svagheter och brister i systemoch infrastrukturer betraktade såvälseparata som sammansatta i en störrehelhet. Hot, å andra sidan, har sittursprung i en vid systemkonstruktio-nen oförutsedd eller riskmedvetetaccepterad extern händelse eller påver-kan. I den följande analysen av kritiskaberoendeförhållanden i den nationellaIT-infrastrukturen utgår vi från dessatvå centrala begrepp.

1 KBM, 2003:5.

Hoten mot den nationella IT-infra-strukturen kan delas upp i två huvud-typer – aktörshot och icke-aktörshot.

Utgångspunkten för aktörshot är attdet är en aktör som är hotet. Aktörerkan vara unga ”hackare” eller ”cracka-re” som drivs av nyfikenhet, men kanäven vara andra stater, konkurrerandeföretag, industrispioner, terrorister ellertill och med egna medarbetare.1 Dessaaktörer kan sedan avsiktligt eller oav-siktligt använda sig av digitala eller fysis-ka medel för att hota den nationella IT-infrastrukturen. Cyberattacker riktademot företags eller myndigheters hemsi-dor, e-post eller IP-adresser är exempelpå aktörshot utförda med digitalamedel. Motivet för dessa attacker kanvara att aktörer ser en möjlighet attstjäla, manipulera eller förstöra data föratt till exempel kunna påverka beslut-sprocesser eller få tillgång till informa-tion i företag och myndigheter.2

Aktörer kan även använda sig avfysiska medel för att hota den nationellaIT-infrastrukturen. Aktörshot medfysiska medel kan vara både oavsiktligaoch avsiktliga. Ett exempel på ett oav-siktligt aktörshot med fysiska medel ärdåliga säkerhetsrutiner som kan leda tillolyckor och fysiska skador på IT-infra-strukturen i samband med monteringeller underhåll av utrustning. Även omoavsiktliga hot fortfarande kan ansesutgöra den större delen av aktörshotenhar de avsiktliga aktörshoten mot dennationella IT-infrastrukturen ökat iantal, bland annat till följd av den nyatyp av internationell terrorism som visett sedan det kalla krigets slut.3 Detgår inte att utesluta att icke-statligaaktörer med fysiska medel kan varaberedda att åstadkomma avsiktlig ochomfattande skada mot viktiga samhäll-sintressen, något 11-septemberattacker-na i New York och Washington DC iUSA år 2001 tydligt visade. Även

v i l k a ä r h o t e n ? | 1 1

Vilka är hoten?

1 Hackare – en individ som finner glädje i att ha en djup förståelse av interna arbetssystem, speciellt datoreroch datanätverk. Crackare – en individ som försöker att få tillgång till datasystem utan tillåtelse.

2 Softa, 2003. 3 KBM: 0753/2003, 2003.

Aktörshot

Icke aktörshot

Digitala Fysiska

Konstruktion Naturliga


matris över hot mot it-infrastrukturen

”elektronisk” störning av kommunika-tioner och aktörers begagnande avelektromagnetiska vapen hör till dennakategori av hot då de renderar en yttrepåverkan på elektronik/elektroniskutrustning.1

Icke-aktörshot, å andra sidan, utgörsav konstruktionsbrister och naturkata-strofer. Konstruktionsbrister uppkommernär ett system har otillräcklig säkerhets-nivå eller funktionalitet. Det kan exem-pelvis röra sig om funktionsfel (buggar)i för samhället kritiska IT-system. Y2K-buggen (också känd som millenniebug-gen) är kanske det mest kändaexemplet på en konstruktionsbrist som

gestaltades som ett hot mot hela sam-hällen och stater.2 Naturkatastrofer iform av oväder, jordbävningar, vulka-nutbrott och laviner utgör också hotmot den nationella IT-infrastrukturendå dessa kan skapa avbrott i elförsörj-ningen och telekommunikationer vilkaär en förutsättning för att Internet oche-post med mera skall kunna fungera.Naturkatastrofer som hot mot IT-infra-strukturen är något som betonas olikamycket från stat till stat. På Island tillexempel betonas den unika naturenoch de extrema väderförhållandena somett hot mot öns IT-infrastruktur.3

1 Elektronisk störning – En elektromagnetisk störning som avbryter, hämmar eller på annat sätt försämrareller begränsar ett effektivt användande av elektronik/elektronisk utrustning. En sådan störning kan skeavsiktlig, som i vissa former av elektronisk krigföring, eller oavsiktlig, som ett resultat av bristfällig funktioni hård- eller mjukvara.

2 Holmgren & Softa, 2001. 3 Gunnarsson, 2002.

v i l k a ä r h o t e n ? | 1 3

v i l k a ä r s å r b a r h e t e r n a ? | 1 5

För att nå hög säkerhet och robusthet iIT-infrastrukturen är det nödvändigtatt inte bara känna till de yttre hotenmot IT-infrastrukturen. Det är ävennödvändigt att veta vilka de inre sårbar-heterna är. Dessa kan påverka funktio-nen av IT-infrastrukturen samt påvisamöjliga konsekvenser av förverkligadehot. Som framgått vid flera tillfällen

under senare tid kan inre sårbarhetergenom förverkligade hot orsaka spon-tant inträffade sammanbrott i olika tek-niska system. Dessa sammanbrott ärsärskilt allvarliga om de drabbar elför-sörjningen, telekommunikationerna,vissa IT-system samt distributionen avradio- och TV-program.1

Vilka är sårbarheterna?

Frekvent

ås≥ 1.0

Mycket

möjligt

ås

0,1 ≥<1,0

Då och Då

ås0,01 ≥< 0,1

Avlägset

ås

0,0001

≥< 0,01

Ytterst

avlägset

ås

0,000001

≥< 0,0001

Omöjligt

ås

<0,000001

Katastrofal

Kritisk

Marginell

Försumbar

Hög Risk Moderat Risk Låg Risk

i k l t i

Rutinrisk

1 KBM: 0753/2003, 2003

riskanalysmatrisKonsekvens & Årlig sannolikhet (ås)

Robustheten i samhället i sin helhetoch i IT-infrastrukturen i synnerhetkan drastiskt ökas genom att tidigtidentifiera olika sårbarheter i den natio-nella IT-infrastrukturen. Dessa sårbar-heter kan sedan åtgärdas och därmedkan konsekvenserna av eventuella reali-serade hot minskas. I riskanalyssam-manhang används ofta en sannolikhets-och konsekvensmatris. En sådan kanmed fördel även användas i detta sam-manhang. I matrisen utgör sårbarhetenlänken mellan hot med en viss sanno-likhet och dess konsekvens om hotetrealiseras.

Under senare år har viktiga teknolo-giska, ekonomiska och juridiska för-ändringar dramatiskt påverkat sårbarhe-ten i den nationella IT-infrastrukturen:

• Informationsteknologin har skapatmer sammankopplade infrastruktu-rer med större centralisering avkontrollfunktioner.

• Avreglering, koncentrering till färreaktörer och ökad konkurrens inomnyckelinfrastrukturer (el och tele)har kraftigt reducerat den reservka-pacitet som tidigare kunde fungerasom stötdämpare vid störningar.

TransportOlja

ITEl

Telekom

Vatten

infrastrukturella beroenden ochberoendeförhållanden


• Så kallade ”Information and Com-munication Technologies” (ICT),eller SCADA-lösningar, har blivitkritiska i leveransen av el, telekom-munikationer, transport och hälso-och sjukvårdstjänster.

• Affärsverksamheters övergång till”Lean Production”-principer, exem-pelvis övergången från ”just in case”till ”just in time”, har minskat tole-ransen för störningar i kritiska IT-infrastrukturer.

Vilken som helst av dessa förändringarborde vara skäl nog till oro. Insiktenom den ökande sårbarheten har ävenlett till viktiga säkerhetsförbättringar iindividuella infrastrukturer. Det ärdock slående att de möjliga konsekven-serna av den ökade sammankopplingen

av infrastrukturer med såväl ensidigasom ömsesidiga beroenden och beroen-deförhållanden mellan aktörer nästaninte alls har uppmärksammats.1

På grund av beroenden mellan infra-strukturer och beroendeförhållandenmellan aktörer i dessa kan en störning ien infrastruktur enkelt spridas och all-varligt inverka på en annan infrastruk-tur som i sin tur kan påverka en tredjeinfrastruktur.2 I dagens informa-tionssamhälle är dessa intima koppling-ar mellan infrastrukturer omfattande,vilket exemplifieras i bilden “Infra-strukturella beroenden och beroende-förhållanden”.

För att beskriva spridningen av enstörning i en infrastruktur till en annankan begreppen kaskad- och eskalerings-fel användas. Ett kaskadfel uppstår när


1980-talet

Infrastrukturer

ICT (SCADA)

1990-talet

2000-talet

1 Schmitz, 2003a.2 Beroenden syftar på tekniska kopplingar mellan infrastrukturer. Beroendeförhållanden syftar på kopplingar

mellan aktörer/agenter i infrastrukturer.

det infrastrukturella landskapet


ett avbrott i en infrastruktur förorsakaravbrott i en annan infrastruktur. Etteskaleringsfel uppträder när ett avbrott ien infrastruktur förvärrar ett, från detförsta oberoende, avbrott i en annaninfrastruktur (till exempel då tiden föråterställning efter ett elavbrott förlängspå grund av att tillgången till telekom-munikationer är begränsad). Undersenare år har vi sett ett antal exempelpå förekomsten av dessa fel.

Med anledning av att ICT:s (Infor-mation and Communication Technolo-gies) blir allt vanligare i styrning ochkontroll av kritiska infrastrukturer ärdet från ett informations- och IT-säker-hetsperspektiv fruktbart att betraktadessa sammankopplingar mellan infra-strukturer utifrån ett evolutionärt per-spektiv, där IT-infrastrukturen succes-sivt har förskjutits mot centrum.

Denna successiva förändring av detinfrastrukturella landskapet, i Sverigeoch internationellt, föranleder enbreddning av det traditionella synsättetpå informations- och IT-säkerhet. Enanalys av sårbarheter i IT-infrastruktu-ren kan inte enbart fokusera på denprimära arkitekturen (t.ex. Internetsuppbyggnad) utan måste även analyseraförsörjnings- och nyttjandeförhållan-den. Om inte detta görs riskerar analy-sen att utelämna de kanske mest kritis-ka sårbarheterna. En modell utifrån vil-ken detta bredare perspektiv skullekunna beskrivas på en övergripande

samhällsnivå kan se ut som i bilden”Det bredare analysperspektivet”.

Då få tidigare analyser har gjortsmed detta bredare perspektiv finns detidag ett behov av att utveckla teknolo-gier och metoder för att identifiera sår-barheter och skydda den nationella IT-infrastrukturen mot allvarliga störning-ar. I Sverige ägs och styrs merparten avIT-infrastrukturen av näringslivet som iegenskap av affärsdrivande organisatio-ner ofta inte har en större drivkraft attinvestera i säkerhetsrelaterade teknolo-gier och metoder då dessa tenderar till:att vara mycket långsiktiga, innebärahög risk, kunna anammas av konkur-renter eller vara mindre troliga att ska-pa vinster till investerare. Sådana tek-nologier och metoder skulle visserligengynna samhället i sin helhet men sällanett enskilt företag i tillräcklig utsträck-ning för företaget att motivera invester-ingen.1 Det övergripande ansvaret föratt stimulera utvecklingen av teknologi-er och metoder för att nå en högrerobusthet i de infrastrukturer som ärkritiska för det svenska samhället måstedärför ligga på den statliga sektorn.

Flera internationella studier somanalyserat beroenden och beroendeför-hållanden har konstaterat att en sub-stantiell analys av framför allt beroen-den mellan infrastrukturer (primärt avteknisk natur) förutsätter modelleringsoch simuleringshjälpmedel på grund avden höga graden av komplexitet i bero-

1 Sådana tjänster och varor benämns ofta som ”Public Good”.


det bredare analysperspektivet

Nyttjande

Krishantering

Finans och Handel

Energistyrning

Telekomstyrning

Hälsa och sjukvård

Transportstyrning etc.

Tjänster

Elektroniska transaktioner

Datautbyte

Multimediaobjekt

Samverkansstöd

Resurssökning etc.

Bit vägar

Telekommunikationer

Satellit

Fiberoptik

Kabel-TV

Mobilt etc.

Försörjning

El

Vatten

Transporter etc.


endeanalysen. Beroendeförhållanden åandra sidan, primärt av mänsklig naturoch syftandes på kopplingar mellanaktörer och så kallade agenter i infra-strukturer, kan förmodligen analyseras

med hjälp av enklare och mer kost-nadseffektiva analysverktyg och meto-der, exempelvis scenarioplanering,något som vi har tagit fasta på i dennastudie.1

1 Se till exempel, Schmitz, 2003a.

p r o j e k t e t s b e l y s n i n g a v s å r b a r h e t e r | 2 1

I pilotprojektet Kritiska beroendeförhål-landen – i den nationella IT-infrastruk-turen som redovisas i denna skrift har viprövat scenarioplanering som metodför att identifiera kritiska beroendeför-hållanden mellan statliga och privataaktörer i den nationella IT-infrastruktu-ren.1 Inom projektet genomfördes trescenarioövningar med representanterfrån näringsliv, stat och kommuner.Utifrån resultaten från den första scena-rioövningen identifierades betydelsenav att ha en gemensam lägesuppfattningsamt att undvika beredskapskollisionersom nödvändiga komponenter för attöka robustheten i den nationella IT-infrastrukturen. Vid den andra scenari-oövningen prövades behovet av att haen gemensam lägesuppfattning ochnödvändigheten av att undvika bered-skapskollisioner. Scenarioövningen visa-de att de två faktorerna utgjorde reellakritiska beroendeförhållanden mellan

centrala aktörer i den nationella IT-infrastrukturen. Under den tredje ochavslutande scenarioövningen låg fokuspå att söka möjliga lösningar till de kri-tiska beroendeförhållanden som tidiga-re identifierats. Nedan följer en merdetaljerad analys och redovisning avdessa två beroendeförhållanden.

En gemensamlägesuppfattningVid den inledande scenarioövningenvisade det sig att en gemensam lägesup-pfattning är en viktig tillgång vid enstörning i samhället som påverkar dennationella IT-infrastrukturen. Om inteen gemensam lägesuppfattning existerarkan enskilda aktörers handlande ledatill en försämring för samhället i stort.

I händelse av en kris eller en allvarligstörning skulle de flesta aktörerna söka

Projektets belysning

av sårbarheter

1 Ett scenario visar på en tänkbar framtida utveckling. Bakom scenariot ligger en fri analys av hur framtidenkan utveckla sig. Scenarier är inte prognoser över framtiden utan fokus ligger snarare på ”tänk om detta hän-der”. För mer information rörande scenarioplanering och integreringen av såväl kognitiva som fysiska aspek-ter, se Heugens & van Oosterhout, 2001, och Schoemaker, 1988.

information om situationen från mångaolika källor.1 Detta beror på att i dags-läget har varken stat eller näringsliv enorganisation eller instans för att försemyndigheter och företag med analyse-rad och validerad information om lägetföre, under och efter en kris, något sominnebär att förutsättningarna för ensnabb och kostnadseffektiv krishanter-ing är svåra att uppnå. Vid den andrascenarioövningen visade det sig tydligtatt de IT-ansvarigas sätt att handla viden kris kan leda till framförallt tvåoönskade fenomen. Dessa fenomen harvi valt att beteckna förvrängd informa-tion och obearbetad information.

Med myndigheters och företagsnuvarande rutiner för att samla ininformation riskerar informationen attförvrängas innan den når andra myn-digheter och företag. Fenomenet kanliknas vid den populära viskningslekenhos barn där en rundgång av en relativtstor informationsmängd i slutändanhar påverkat informationen så till dengrad att den har fått en ny innebörd,informationen är förvrängd.

I dag genomförs även all väsentliganalys av obearbetad information hosenskilda myndigheter och företag, ettförhållande som kan innebära att detövergripande och mest kritiska perspek-tivet inte belyses. Det är till exempelsvårt för en teleoperatör att känna tillhur de ska agera vid störningar i deras

telekommunikationsnät utan att nega-tivt påverka andra infrastrukturer ochdärmed funktionen i andra viktigasamhällssektorer.2 Detta problem före-faller vara allvarligast på nationell nivådär ansvarsförhållandena upplevs somavsevärt mer oklara än på lokal ochregional nivå. Det bör även understry-kas att de kommuner, länsstyrelser,myndigheter och företag som deltagit idetta projekt framhållit att det är vidkriser på nationell nivå som de storaproblemen och kostnaderna inträffar.Flera representanter från de deltagandeföretagen påtalade därför särskilt beho-vet av tillförlitlig och bearbetad infor-mation. Obearbetad information före-faller idag finnas hos myndigheter, menden varken sammanställs, bearbetaseller delges kritiska aktörer, vare sigstatliga eller privata.

För att kunna uppnå fördelarna meden gemensam lägesuppfattning hos deaktörer som är centrala för funktionenav det svenska samhället prövades i enscenarioövning ett webbaserat informa-tionssystem för att inhämta och spridaobearbetad information. Även om dettainformationssystem kan tänkas minskauppkommande problem såsom för-vrängd information, ansåg deltagarnavid scenarioövningen att det inte är till-räckligt med att enbart sammanställaoch sprida information.3 För att engemensam lägesuppfattning skall upp-


1 Med reservation för det begränsade antalet deltagare som detta projekt arbetat med.2 En typ av fel inom kategorin kaskadfel = ett avbrott i en infrastruktur förorsakar spridningsavbrott i en

andra infrastruktur. 3 Det undersökta webbaserade informationssystemet är tänkt att initialt vara tillgängligt för statliga/kommuna-

la aktörer i krishanteringsstrukturen. Möjligen skall denna krets utvidgas till att även omfatta privata aktörer.

nås bör informationen även bearbetas.Ett ansvar för denna uppgift borde lig-ga på en instans som samlar in ochsprider information vid en kris ellerstörning. Uppgiften kan eventuellt fin-nas på lokal, regional och central nivå.

Under scenarioövningarna framkomäven kritik mot att enbart använda ettwebbaserat informationssystem efter-som det inte skulle vara en tillräckliglösning för att skapa en gemensamlägesuppfattning. Detta beror på att demyndigheter och företag som drabbatsav en allvarlig kris ofta har problemmed att nå den information de behöver

för sitt fortsatta agerande. Inte minstvid elavbrott är det svårt för ansvarigaav IT-driften i den drabbade regionenatt ha någon nytta av ett webbaseratinformationssystem, då datorer utantillgång till reservkraft inte fungerar!Detta problem expanderar betydligt vidkriser på nationell nivå, till exempel vidlångvariga el-bortfall på grund avavsiktliga eller oavsiktliga störningar ienergiförsörjningen.

En annan viktig aspekt är vart myn-digheter, företag och allmänhet vändersig i händelse av en kris för att få redapå vad som hänt. Vid exempelvis tele-


Kärnpunkt

Målområde

Bearbetad information

Obearbetad information

Förvrängd information

Krishantering

vikten av en gemensam lägesuppfattning


störningar kontaktas Telia eller denanlitade teleleverantören. Det är medandra ord inte självklart att en statligmyndighet skulle kontaktas för att fåinformation. Därför är det fördelaktigtom all rapportering och informa-tionsspridning liknar det normala såmycket som möjligt. Med anledning avdessa reflektioner bör man innan kriserinträffar ha funderat på följande fråge-ställningar:

– Vilken information skall nå ut tillde olika målgrupperna vid olika typerav kriser? – Vilka kriser kan bli/varaaktuella som hotar informationshanter-ingen? Vid scenarioövningarna fram-kom det att återkommande och realis-tiska scenarioövningar, med ett brettdeltagande från kommuner, statligamyndigheter och företag kan hjälpa tillatt besvara dessa frågeställningar.

I händelse av en större kris, av regio-nal eller nationell karaktär, kan ävenproblem uppkomma hos myndigheteroch företag på grund av tillgången tillen gemensam lägesbild. Föreställ dig atten central instans har inhämtnings-,analys- och delgivningsansvar av infor-mation i syfte att undvika att privataaktörer enbart agerar utifrån egnaaffärsmässiga hänsyn, vilket kan varanegativt ur ett samhällsperspektiv.Utifrån informationen som sändsgenom den gemensamma lägesbilden ärdet upp till var och en av myndigheter-na och företagen att fatta beslut omåtgärder, ett förhållande som förefallerönskvärt. Den implicita vägledningsom analyserad och bearbetad informa-tion skapar kan dock förorsaka en

otydlighet i ansvars- och rollfördelning-en. Man behöver bara gå så långt somatt fundera över vem som har det poli-tiska, ekonomiska och juridiska ansva-ret i denna situation? Vad händer tillexempel om den enskilda privata aktö-rens agerande, baserat på en publiceradmen felaktig gemensam lägesbild,förorsakar skada eller lidande som kun-nat undvikas om informationen hadevarit korrekt?

En slutsats från de genomförda sce-narioövningarna är att ett webbaseratinformationssystem bör, innan en even-tuell utveckling inleds, studeras nog-grannt utifrån ett centralt, regionaltoch lokalt perspektiv, då lösningenendast ter sig funktionell i vissa syftenoch under vissa faser av en samhälls-störning. Frågan om att uppnå engemensam lägesuppfattning, hos demyndigheter och företag som är nöd-vändiga för funktionen av det svenskasamhället, bör också analyseras i ettvidare sammanhang. I dagsläget är frå-gorna många och svaren få, något somföljande frågeställningar belyser: varborde funktionen för att inhämta, ana-lysera, bearbeta och delge informationligga; hur bör organisationen för dettavara dimensionerad; vilka kanaler ochkommunikationsmedel bör nyttjas; vil-ka utgör de mest kritiska statligarespektive privata aktörerna som skallfå ta del av informationen; hur skallmedia hanteras; hur hanteras ekono-miska, juridiska och politiskaansvarsfrågor som följer med en infor-mell och implicit ledning av statliga,privata och kommunala aktörer?

Beredskaps-kollisionerI denna studie har det bland annatkonstaterats att flera infrastrukturer harett ömsesidigt beroende av varandra.Detta ömsesidiga beroende kan leda tillvad vi har valt att benämna bered-skapskollisioner. En beredskapskollisionär när en eller flera aktörers agerandevid en kris kan leda till en enskild för-del och samtidigt till en kollektiv nack-del. Ett hypotetiskt exempel på detta ärom elen skulle slås ut och det finns entidslucka på ett antal timmar innan ettutslaget kraftverk kan startas upp. Föratt kunna starta upp ett kraftverk efterett avbrott behövs telekommunikatio-ner, som ibland har batteridrift för enviss tid efter att elen fallit bort. Om enuppstart av kraftverket inte kan genom-föras innan batterierna tar slut finns deten risk att uppstarten av kraftverketkan försenas från timmar till dagar.1

Detta exempel på beredskapskolli-sioner har vi valt att benämna tempora-la kollisioner, då tidsfaktorn i de tvåinfrastrukturella aktörernas beredskaps-planering inte är synkroniserad. Utöverdenna typ av beredskapskollisioner harpilotstudien även visat på förekomstenav fysiska och logiska beredskapskollisio-ner. Fysiska kollisioner inträffar när ettflertal aktörer vid kriser förlitar sig påresurser, varor eller tjänster från andra

aktörer för att kunna fungera, och des-sa aktörer inte kan täcka de förstnämdaaktörernas samlade behov. Ett exempelpå fysiska beredskapskollisioner är närFörsvarsmakten kort inför millenni-eskiftet kontaktades av en länsstyrelse,som tidigare sett möjligheten att förlitasig på Försvarsmaktens el/beredskapsag-gregat i händelse av eventuella stör-ningar i energiförsörjningen. Det visadesig då att det inte var möjligt nyttjadessa aggregat eftersom Försvarsmak-tens el/beredskapsaggregat inte levererarväxelström, som i det civila samhället,utan likström. Logiska beredskapskolli-sioner å andra sidan syftar på fallen dären aktör, kanske beroende på bristandeinformation, beslutar och agerar på ettvis som direkt eller indirekt förvärrareller försvårar den övergripande situa-tionen för den nationella IT-infrastruk-turen.

För att undvika beredskapskollisio-ner behövs två kompletterande lösning-ar. För logiska beredskapskollisioner ärlösningen densamma som för dengemensamma lägesuppfattningen. Enlösning på tänkbara temporala ochfysiska beredskapskollisioner hos olikamyndigheter och företag borde däre-mot ligga i en jämförelse av derasberedskapsplaner. Hos de flesta organi-sationer finns dock en medvetenhet omatt beredskapsplaner i samband medstörningar snabbt blir föråldrade, var-

P r o j e k t e t s b e l y s n i n g a v s å r b a r h e t e r | 2 5

1 En typ av fel inom kategorin eskaleringsfel = ett avbrott i en infrastruktur förvärrar ett självständigt/oberoen-de avbrott i en andra infrastruktur.


synkronisering av beredskapsplaner och intuitivt agerande


efter ett intuitivt och situationsanpassatbeslutsfattande tar vid. Detta innebärinte att behovet av att jämföra och islutändan synkronisera beredskapspla-ner mellan myndigheter och företagförsvinner eftersom själva processenskapar en förståelse för beroenden ochberoendeförhållanden parterna emellan.Förståelsen blir som ett ramverk vid ettintuitivt beslutsfattande och kan varaen lämplig lösning för att undvikaberedskapskollisioner i samtliga faser aven störning. Samordningen av dennaverksamhet kan genomföras på regio-nal, lokal och central nivå genomexempelvis regelbundna scenarioöv-ningar inom de olika samverkansområ-dena.1

Pilotprojektet Kritiska beroendeför-hållanden – i den nationella IT-infra-strukturen har också visat att det störstahindret för att inleda ett närmare sam-

arbete mellan stat och näringsliv liggeri förtroendeklyftan som idag finns dememellan. Vissa samhällsviktiga aktörer inäringslivet är idag tveksamma till attöppet och ärligt redovisa beredskapsru-tiner, resurser och tidsförhållanden pågrund av den nuvarande utformningenoch tillämpningen av sekretesslagstift-ningen, offentlighetsprincipen och till-synsansvaret. Det kan därför finnasanledning att i mer detalj utreda for-merna för hur privat-offentlig samver-kan skall utformas inom områdetberedskapskollisioner för att överbryggaförtroendeklyftan mellan stat och när-ingsliv. Denna förtroendeklyfta är i själ-va verket en beredskapskollision i sigdär ett samarbete för att öka den kol-lektiva informationssäkerheten hindrasav den nuvarande informationssäker-hetslösningen hos den ena parten, idetta fall staten.

1 Krisberedskapsmyndigheten arbetar idag med 6 olika samverkansområden: Teknisk infrastruktur; Transpor-ter; Spridning av allvarliga smittämnen, giftiga kemikalier och radioaktiva ämnen; Ekonomisk säkerhet;Områdesvis samordning, samverkan och information; Skydd, undsättning och vård.

s l u t s a t s e r | 2 9

En första övergripande slutsats av pilot-projektet Kritiska beroendeförhållanden– i den nationella IT-infrastrukturen äratt en hög medvetenhet om behovet aven gemensam lägesuppfattning ochundvikandet av beredskapskollisionerbör känneteckna privat-offentlig sam-verkan på lokal, regional och centralnivå. Det finns också ett behov av encentral funktion för kontinuerlig upp-datering av nationella risker och sårbar-heter i samhället. Dessa uppdateringarär grunden för ett strategiskt, operativtoch taktiskt säkerhetsarbete i såväl kri-tiska företag som statliga och kommu-nala instanser. Funktionen bör vara fri-stående från de tillsynsmyndighetersom finns idag och införandet av natio-nella risknivåer bör övervägas för väg-ledning. Om risknivån höjs till ”hög”skulle det kunna föranleda åtgärder hosett företag såsom exempelvis begräns-ningar i tillgång till system hos använ-dare och att så kallade krisportaler upp-rättas mellan företag och myndigheter.

En andra övergripande slutsats avprojektet är att en kartläggning börgenomföras av vilka system som är kri-tiska för att samhället skall fungera.

Därefter bör en kartläggning göras nertill lämplig detaljnivå för att finna utvilka andra system som är beroende avdessa samhällskritiska system. Om mankan ge en korrekt bild av hur systemeni den nationella IT infrastrukturenpåverkar varandra är det möjligt attmodellera, simulera och visualiseraeventuella problem vid allvarliga stör-ningar. Initialt kan ett sådant ”kartlägg-ningsprojekt” begränsas i omfattningför att inte dra ut på tiden och bliohanterligt komplext. Informationenbör hanteras i ett databasformat för attkontinuerligt kunna uppdateras ochanalyseras. Ett sådant system skullegöra det möjligt för beslutsfattare attplocka ut analyserad information somger förutsättningar för informeratbeslutsfattande som tar hänsyn tilleffekter på tredje part och eventuellaberedskapskollisioner. Den här typen avinformations- och analyskapacitet skul-le ge förutsättningar för att upprätthållaen hög säkerhetsnivå och robusthet pålokal, regional och central nivå.

På en mer detaljerad nivå står detklart att en gemensam lägesuppfattningbland de privata och statliga aktörerna

Slutsatser

inom den kritiska IT-infrastrukturenutgör ett kritiskt beroendeförhållandeparterna emellan. Det webbaseradeinformationssystemet som analyseratsovan verkar endast vara en funktionelllösning för vissa syften och under vissafaser av en samhällsstörning. Fråganom en gemensam lägesuppfattningbland de kritiska aktörerna bör för attkomplettera denna lösning analyseras iett vidare sammanhang, vilket tydligarebelyser och utreder de frågeställningarsom identifierats i detta pilotprojekt.Det vill säga: var borde funktionen föratt inhämta, analysera, bearbeta ochdelge information ligga; hur bör orga-nisationen för detta vara dimensione-rad; vilka kanaler och kommunika-tionsmedel bör nyttjas; vilka utgör demest kritiska statliga respektive privataaktörerna som skall få ta del av infor-mationen; hur skall media hanteras;hur hanteras ekonomiska, juridiska ochpolitiska ansvarsfrågor som följer meden informell och implicit ledning avstatliga, privata och kommunala aktö-rer?1

Med anledning av detta pilotprojektstår det även klart att möjliga bered-skapskollisioner förorsakar reella bero-endeförhållanden mellan aktörer i kri-tiska infratrukturer. Olika former avprivat-offentlig samverkan kan eventu-

ellt vara ett sätt att arbeta bort bered-skapskollisioner. Internationellt settfinns ett antal olika modeller för ettsådant samarbete idag. Dessa modelleri kombination med svenska erfaren-heter kan ligga till grund för en försök-sverksamhet med en infrastrukturellgränsöverskridande samverkan i syfteatt identifiera och arbeta bort existeran-de beredskapskollisioner.2 Bland del-tagarna på scenarioövningarna tycks detråda konsensus om att scenarioplaner-ing är en mycket lämplig metod för attuppnå detta. I förlängningen bör dockscenarioplanering kompletteras medmodellerings-, simuleringsverktyg ochmer substantiella analyser. Förutsätt-ningar för en verksamhet som dennaborde kunna utredas i det större per-spektivet kring förutsättningarna för enfunktion för nationella risk- och sårbar-hetsanalyser.3

Avslutningsvis kan nämnas att sce-narioplaneringsmetoden som nyttjatsunder denna studie visade sig vara enframgångsrik och kostnadseffektivmetod för att identifiera, analysera ochdiskutera kritiska beroendeförhållandeni den nationella IT-infrastrukturen. Sce-narioplanering förefaller därför vara enlämplig metod för kommuner, statenoch näringslivet för att skapa ny kun-skap om såväl beroendeförhållanden


1 För erfarenhetsinhämtning kan vi i detta sammanhang hänvisa till CERT funktioner i USA, WARP-projek-tet och UNIRAS i Storbritannien samt TISN-projektet i Australien. Det sistnämnda utgör en instans för all-män delning av information rörande krishantering mellan aktörer i näringslivet samt staten.

2 De svenska initiativ som åsyftas är SITIC och samarbeten inom HEL-projektet.3 En utveckling som skulle ligga i linje med resultaten av den forskning som genomförts inom området under

den Europeiska Kommissionens ”Information Society Technology” program (FP6). Se Schmitz, 2003b.

som tänkbara framtida sårbarheter iden kritiska nationella IT-infrastruktu-ren.1 I projektet har metoden även letttill nya frågeställningar om ömsesidigaberoendeförhållanden, som i sin turkan ge uppslag till nya forskningsinsat-ser. Förutom att faktisk generera ettsubstantiellt underlag för analys harscenarioplaneringsmetoden även skapatett mervärde i form av engagemang och

intresse för samhällskritiska frågor hosde deltagande aktörerna, något som fårbetecknas som mycket positivt. Vårsammantagna bedömning är därför attscenarioplaneringsmetoden, likväl somflera av de verktyg som använts ochutvecklats i detta projekt, med fördelkan användas för liknande projekt istörre skala.2

s l u t s a t s e r | 3 1

1 För mer detaljerad information rörande scenarioplanering, se Godet, 2000.2 För detaljerad information om den scenarioplaneringsmetod som användes i pilotprojektet och de verktyg

som nyttjades, se Malm et al, 2003.

r e f e r e n s e r | 3 3

Alberts, D. & D. Papp, (red.), 1997.The Information Age: An Anthologyon its Impacts and Consequences, vol. 1. Washington DC: NationalDefense University.

Beck, U., 1999. World Risk Society.London: Polity.

Castells, M., 1996. The informationage: Economy, Society and Culture,vol. 1: The rise of the network society.Malden: Blackwell.

Eriksson, J., 2001. Hotbildernas politik.Stockholm: Utrikespolitiska institu-tet.

Godet, M., 2000. ”The art of scenari-os and strategic planning: tools andpitfalls”. Technological ForecastingAnd Social Change, Vol. 65. nr. 1.

Gunnarsson, J., (E-mail). Chairman ofthe Information Society Task Force,Prime Minister’s Office, Iceland.2002-07-09.

Heugens, P. & J. Van Oosterhout,2001. ”To boldly go where no manhas gone before: integrating cogniti-ve and physical features in scenariostudies”. The Journal of ForecastingPlanning and Policy. Vol. 33. no. 10.

Hinnfors, J., 1995. På dagordningen?:Svensk politisk stil i förändring.Stockholm: Nerenius & SantérusFörlag AB.

Holmgren, J., & J. Softa, 2003.Functional Security. Manuscript.

Holmgren, J., & J. Softa (2001)Årtusendets hot? Y2k-buggen på dag-ordningen i Ryssland, Sverige ochUSA. Stockholm: Utrikespolitiskainstitutet.

Karlsson, M., & L. Sturesson (1995)Världens största maskin. Stockholm:Carlssons.

KBM 2003:5. Basnivå för IT-säkerhet(BITS) – Rekommendationer frånKrisberedskapsmyndigheten. Stock-holm: Krisberedskapsmyndigheten.

KBM 0735/2003. KBM:s inriktning förutredningsarbetet inför 2004 års för-svarsbeslut. Opublicerad rapport.

Kingdon, J. 1995. Agendas, Alternativesand Public Choices. 2nd ed. NewYork: Harper Collins CollegePublishers.

Malm, A., K Lindström & J. J. Anders-son, 2003. Kritiska beroendeförhål-landen – i den nationella IT-infra-strukturen. Krisberedskapsmyndig-heten. Opublicerad rapport

Referenser


Prop. 1995/96:12. Totalförsvar i för-nyelse. Stockholm: Försvarsdeparte-mentet.

PTS-ER-2002:24. Tillit till IT vidInternetanvändning. Stockholm:Post & Telestyrelsen.

Rapport ITS 6 - terminologi för infor-mationssäkerheten, 1994. Stock-holm: Informationstekniska Stan-dardiseringen.

Schmitz, W., 2003a. Summary of cross-connections between WP1 and WP6Deliverables. European Commission:ACIP-IST-2001-37257 D 6.1.

Schmitz, W., 2003b. Roadmap ”Infor-mation and Communication Techno-logy (ICT) Security Assesment Met-hods in Critical Infrastructures”.European Commission: ACIP-IST-2001-37257. D 2.5.

Schoemaker, P. J.H., 1988. The Scena-rio Approach To Strategic Thinking:Methodological, Cognitive And Orga-nisational Perspectives. Chicago: Uni-versity of Chicago.

Softa, J., 2003. De glömda pusselbitarnavid uppfattningen och analysen av IT-hot. Manuskript.

Krisberedskapsmyndigheten

Box 599

101 31 Stockholm

Tel 08-593 710 00

Fax 08-593 710 01

kbm@krisberedskaps

myndigheten.se

www.krisberedskaps

myndigheten.se

Pilotprojektet kritiska beroendeförhållanden i den nationella it-infra-strukturen utfördes under sommaren och hösten 2003 av Krisberedskaps-

myndigheten. Syftet med pilotprojektet var att pröva och utvärdera scenario-

planering som metod för att identifiera kritiska beroendeförhållanden mellan

olika aktörer i den nationella IT-infrastrukturen i Sverige.

Med utgångspunkt i resultatet av pilotprojektet beskriver vi i denna temaskrift

hur insikten om beroendeförhållanden utgör en grundläggande och nödvändig

del i säkerhetsarbetet kring den allt mer kritiska nationella IT-infrastrukturen.

Vi redogör för de olika beroendeförhållanden som analyserats i projektet, en

gemensam lägesuppfattning och beredskapskollisioner, och diskuterar hur

dessa kan hanteras för att minska sårbarheten i det totala systemet. På det

övergripande planet visar vi även på behovet av och möjligheterna till att ana-

lysera beroendeförhållanden, en analys som bör utgöra en integrerad del i ett

bredare arbete med att reducera samhällets sårbarhet i kritiska infrastrukturer.

Konsultfirman 4C Strategies AB har på uppdrag av Krisberedskapsmyndigheten

utfört pilotprojektet.

ISBN 91-85053-27-9

it och sårbarhet - ribrib.msb.se/filer/pdf/20230.pdfhällsvetare ofta fokuserar på vilka...

Documents