För en förbättrad cybersäkerhet

Ordlista

Här finns ett urval begrepp inom informations- och cybersäkerhet som kan vara bra att känna till och kunna hålla isär

Begrepp inom Säkerhetsskydd

Säkerhetsskydd: Vad är säkerhetskänslig verksamhet?

Källa: Säkerhetspolisens Vägledningar till Säkerhetsskydd

Säkerhetskänslig verksamhet är verksamhet som har betydelse för Sveriges säkerhet eller omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

En säkerhetskänslig verksamhet innehåller alltid ett eller flera skyddsvärden. Skyddsvärden identifieras utifrån följande tre kategorier.

  • Säkerhetsskyddsklassificerade uppgifter: Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen eller som skulle ha omfattats av den lagen om den varit tillämplig i den aktuella verksamheten.
  • Anläggningar, objekt, system, egendom och andra tillgångar som är av betydelse för Sveriges säkerhet. Med andra tillgångar avses till exempel en uppgiftssamling som inte nödvändigtvis är säkerhetsskyddsklassificerad, men som ändå är av betydelse för Sveriges säkerhet utifrån perspektivet tillgänglighet och riktighet.
  • Internationellt åtagande om säkerhetsskydd: Med internationellt åtagande om säkerhetsskydd avses att Sverige förbundit sig att skydda något åt en annan stat eller mellanfolklig organisation, till exempel luftfartsskydd eller uppgifter som utbytts inom militära samarbeten eller samarbeten mot terrorism.

Säkerhetsskydd: Vad innebär begreppet ”Sveriges säkerhet”?

  1. Skada för Sveriges yttre säkerhet

Sveriges yttre säkerhet kan delas in i förmågan att upprätthålla nationellt försvar (territoriell suveränitet) samt Sveriges integritet, oberoende och handlingsfrihet (politisk självständighet). Utöver Försvarsmakten finns andra verksamheter, till exempel vissa myndigheter och enskilda inom försvarsindustrin, som är viktiga för det militära försvarets förmåga att utföra sitt uppdrag inom ramen för totalförsvaret. Not: Rör även verksamheter som är berörda av Totalförsvarsplanering i en ganska stor omfattning och/eller har centrala funktioner för Totalförsvaret.

2. Skada för Sveriges inre säkerhet

Sveriges inre säkerhet rör förmågan att upprätthålla och säkerställa grundläggande strukturer inklusive det demokratiska statsskicket, rättsväsendet och den brottsbekämpande förmågan på nationell nivå. Detta handlar till stor del om att skydda anläggningar, funktioner och informationssystem som är kritiska för dessa grundläggande strukturer. Not: Det här gäller nationellt viktig infrastruktur. Det kan i vissa fall gälla regioner och/eller kommuner samt andra lokala funktioner som har central betydelse för Sveriges säkerhet. Exempel: Stockholms region är pga storleken och många centrala funktioner där, helt central för Sveriges säkerhet. Liksom Göteborgs hamn som är en huvudnod för frakter.

3. Skada på nationellt samhällsviktig verksamhet

Verksamheter (med anläggningar, funktioner och/eller system) kopplade till leveranser, tjänster, funktioner och förmågor som är nödvändiga för samhällets funktionalitet på nationell nivå. Dessa verksamheter finns ofta inom, men är inte begränsat till, rättsväsendet, sektorerna energiförsörjning, elektroniska kommunikationer, transporter och finansiella tjänster. Notera: All samhällsviktig verksamhet har dock inte betydelse för den nationella nivån, vilket är en avgränsare för Säkerhetsskyddslagen.

4. Skada för Sveriges ekonomi

Verksamheter som är nödvändiga för den nationella betalningsförmågan och där en ekonomisk skada kan få negativa konsekvenser för Sveriges suveränitet, handlingsfrihet och oberoende. Not: Denna punkt avser nationens betalningsförmåga visavi långivare. Inte innevånarnas behov av ett fungerande pengaflöde (som också i o f s är skyddsvärt)

5. Skadegenererande verksamhet

Verksamheter som, om de utsätts för antagonistisk handling, kan generera direkta eller uppenbara indirekta skadekonsekvenser på andra säkerhetskänsliga verksamheter på nationell nivå genom påverkan på liv, hälsa och infrastruktur. Påverkan på liv och hälsa kan uttryckas i att många människor bedöms omkomma eller skadas. Påverkan på infrastruktur avser fysisk förstöring av annan säkerhetskänslig verksamhet. Exempel: kärnkraftverk, stora dammar, biologiska risklaboratorier, etc

Säkerhetsskydd – Internationellt åtaganden om säkerhetsskydd

Det som vi som nation har förbundit oss att skydda i avtal med exempelvis EU och NATO. Vi har förbundit oss att bl a skydda säkerhetsskyddsklassificerade uppgifter och det finns specifika hanteringsregler för det. Exempel: visa EU och NATO. Dessa ska finnas publicerade på regeringens hemsida.

Säkerhetsskydd: Vad menas med ”Skyddsvärde”?

För att utgöra ett skyddsvärde enligt säkerhetsskyddslagens mening krävs att det rör Sveriges säkerhet samt verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

Skyddsvärde kan vara säkerhetsskyddsklassificerade uppgifter, en informationsmängd, anläggningar, objekt, system, en leverans, egendom och andra tillgångar. Dvs inte bara uppgifter är skyddsvärda.

Dessa olika skyddsvärden ska identifieras och redovisas i en Säkerhetsskyddsanalys och konsekvenserna för Sveriges säkerhet, vid ev röjande (av uppgift) eller antagonistiskt hot eller handling (mot de övriga typerna av tillgångar och verksamheter), ska bedömas.

Säkerhetsskydd: Perspektiv på skyddsvärd informationstillgång

En informationstillgång ska bedömas utifrån tre perspektiv, dvs ur vilket perspektiv är tillgången skyddsvärd samt i vilken allvarlighetsgrad/vikt ett säkerhetsskydd är viktigt.

Konfidentialitet (K): Röjande av tillgångens/uppgiftens innehåll kan orsaka skada. Säkerhetsåtgärder syftar till: Att endast rätt person har tillgång till rätt information.

Riktighet (R): Tillgångens/uppgiftens innehåll för inte förvanskas/ändras/förloras. Säkerhetsåtgärder syftar till: Innehållet bevaras intakt i den nivå som klassen avser.

Tillgänglighet (T): Hur viktigt en tillgång till informationstllgången/uppgiften är. Säkerhetsåtgärder syftar till: att hålla tillgången / uppgiften tillgänglig för de som är i behov av den, när de behöver den. Ex att ett system ska ha en rimlig uppetid och ev avbrottstider är acceptabla.

Säkerhetsskydd: Konsekvensnivåer som skyddsvärden delas in i

Den skada (vid röjande resp angrepp) som kan uppstå på Sveriges säkerhet ska  graderas utifrån följande konsekvenskategorier:

Nivå A: Synnerligen allvarlig skada för Sveriges säkerhet vid röjande/hot/handling
Nivå B: Allvarlig skada för Sveriges säkerhet
Nivå C: Inte obetydlig skada för Sveriges säkerhet
Nivå D: Endast ringa skada för Sveriges säkerhet

Notera: Beakta även beroenden här (vilka andra verksamheter har beroenden till era skyddsvärden, resp vilka andras skyddsvärden är den egna verksamheten beroende av).

Säkerhetsskydd: Konsekvensbeskrivning

Vid en konsekvensbedömning (av skada på skyddsvärde) så kan gärna en bilaga bifogas med en förklaring / resonemang som ligger bakom de bedömningar som gjorts:

  • Beskriv kort sammanhang/kontexten/rollen för skyddsvärdet
  • Vem, vilka eller vad drabbas av konsekvensen. Finns ett beroende förhållande?
  • Går det att beskriva omfattningen närmare?
  • Tid: Efter hur lång tid vid avbrott/röjande kan konsekvensen uppstå?
  • Finns möjligheter till återställning, backup, reservlösning och efter hur långt tid?
  • Ev följdverkningar / konsekvenser i form av kostnader?
  • Hur stor ”nytta” är ett röjande/ett avbrott för en främmande makt. Och hur ”viktigt”?

Läs mer om detta i Säkerhetspolisens vägledning: Introduktion till Säkerhetsskydd

Säkerhetsskydd: Säkerhetsklass

Avser vilken klass man ska placera en anställning (roll/befattning) eller ett uppdrag (deltagade) i. Dvs inte kopplat till en person, utan en roll eller befattning respektive ett deltagandet. Om en person byter arbetsgifter kan man behöva se över de nya rollens placering. Det finns tre säkerhetsskyddsklasser (1-3) som beskriver i vilken omfattning man får ta del av uppgifter som är säkerhetsskyddsklassificerade:

Säkerhetsskydd: Säkerhetsskyddsklassificerade uppgifter

Avser säkerhetskänsliga uppgifter och gäller verksamhetsutövare i både offentlig och privat sektor. Det handlar om i vilken säkerhetsskyddsklass en skyddsvärd uppgift ska ha.

Säkerhetsskyddsklassificerade uppgifter delas in i en av följande fyra kategorier (bild hämtad från Säkerhetspolisens föreskrift ”Vägledning i Säkerhetsskydd”, sid 12):

Säkerhetsskydd: Sekretessbelagda vs Säkerhetsskyddade uppgifter

Sekretess enligt OSL-lagen (Offentlighet- och sekretesslagen) finns på väldigt många olika områden. Detta är vanlig sekretess och ska skyddas men det finns inga hanteringsregler för det i lagen. och dessutom gör man bedömningen om ev sekretess först i efterhand, dvs när någon begär ut handlingen.

Men sekretess som har betydelse för Sveriges säkerhet = säkerhetskyddad uppgift, görs redan när uppgiften tas fram. Detta oavsett om någon har begärt ut uppgiften. Det finns därmed också specifika hanteringskrav, som man finner i Säkerhetspolisens föreskrifter.

Så en uppgift kan ha både en ”sekretess-stämpel” enligt OSL-lagen och för vissa så kan de även vara en säkerhetsskyddad uppgift. Detta gäller alla uppgifter med ”Försvarssekretess”.

Säkerhetsskydd: Säkerhetsprövning, en del av Personalsäkerheten

Man prövar om en person kan antas vara lojal mot de intressen som ska skyddas med Säkerhetslagstiftningen, och i övrigt pålitlig ur säkerhetssynpunkt. Prövningen görs innan ett deltagande i säkerhetskänslig verksamhet påbörjas. Omfattar en grundutredning, en registerkontroll och en särskild personutredning (beroende vilken klass som anställningen är placerad i). Den ska följas upp regelbundet under den tid som deltagandet pågår.

Säkerhetsåtgärder av olika kategorier, hur hänger de samman?

Ett heltäckande säkerhetsskydd uppnås först när alla nedan tre kategorierna av säkerhetsskyddsåtgärder är införda/implementerade och kan samverka till ett fullt skydd:

Informationssäkerhet inom Säkerhetsskydd: Det är åtgärder som ska (1) förebygga att skyddsvärda uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Det är också åtgärder som (2) ska även förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som rör skyddsvärd verksamhet.

Uppgifterna kan förekomma i fysisk form som exempelvis utskrivna dokument, fotografier, inspelningar och ritningar. Informationssäkerhet är inte begränsat till enbart tekniska åtgärder utan inkluderar även bland annat rutiner och utbildning.

Fysisk säkerhet inom Säkerhetsskydd: Det är åtgärder som ska (1) förebygga obehörigt tillträde till (ibland även ”distans till”) och skadlig inverkan på områden, lokaler, byggnader och andra anläggningar där skyddsvärda uppgifter finns eller (2) där säkerhetskänslig verksamhet bedrivs.

Personalsäkerhet inom Säkerhetsskydd: Det är åtgärder som ska (1) förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till skyddsvärda uppgifter eller (2) i en verksamhet som av någon annan anledning är säkerhetskänslig, och de ska (3) säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd. En vanlig felkälla är tyvärr medarbetare okunskap och bristande insikter.

Andra begrepp som förekommer är:

Cybersäkerhet (mot cyberhot): Cybersäkerhet en ett begrepp som innefattar skyddsåtgärder från alla tre ovan kategorier. Cybersäkerhet omfattar all verksamhet som är nödvändig för att skydda nätverk och informationssystem, användarna av dessa system och andra berörda personer mot cyberhot. Källa: EU:s cybersäkerhetsakt. Fokus ligger här på (1) ett digitalt hot och (2) ett hot från en antagonist (dvs inte olyckshändelser eller naturkatastrofer).

IT-säkerhet: IT-säkerhet är aktiviteter, rutiner och anordningar för att skydda en organisations (företags, myndighets, etc) värdefulla tillgångar som information, maskinvara (”hårdvara”) och programvara (”mjukvara”). Källa: Wikipedia. Oftare, men inte alltid, mer fokus på skydd av den tekniska ekomiljön.

Säkerhetskultur och Säkerhetsskyddskultur

Begreppen har samma innebörd. Viktigt att den hela tiden hålls levande i verksamheten. En (av hotaktör) värvad insider kan sätta alla vidtagna säkerhetsåtgärder ur spel, och i värsta fall operera fritt på insidan för att komma åt och för hotaktör tillgängliggöra skyddsvärden. Kontrollsystem, fysisk säkerhet, personalsäkerhet och säkerhetskultur ska motverka detta.

Säkerhetsskyddsavtal

Rör antingen upphandling, eller samverkan och samarbeten som innebär att verksamheten delar säkerhetskänsliga uppgifter eller verksamheter med andra organisationer. Aktuellt när verksamheter behöver släppa in (tillfälligt eller varaktigt) leverantörer, konsulter, mm i sin säkerhetskänsliga verksamhet alternativt dela vissa skyddsvärda uppgifter med externa aktörer.

Denna exponering kan undvikas genom (1) förändra organisationen (sektionera) så den skyddsvärda verksamheten kan undantas, (2) gör en inhouselösning (dvs rekrytera alt hyr in personal och ha den känsliga verksamheten i egna lokaler)

Särskild säkerhetsskyddsbedömning (SSB)

Vad som ingår i en SSB-bedömning, och när den utförs, skiljer sig beroende på tillfälle och syfte:

  • Säkerhetsskyddsavtal Inför samverkan och samarbeten med andra verksamheter där utbyte av eller tillgång till säkerhetskänslig verksamhet ingår görs en situationsspecifik SSB som del i underlag för bedömning om Säkerhetsskyddsavtal kan och bör tecknas.
  • Inför driftsättning av informationssystem (alt inför större förändringar) som är avsett att behandla uppgifter i säkerhetsskyddsklass konfidentiell eller högre ska verksamhetsutövaren samråda med Säkerhetspolisen. Samrådet ska ske skriftligen på Säkerhetspolisens blankett Samråd inför driftsättning av informationssystem. En särskild säkerhetsskyddsbedömning (SSB) ska bifogas ansökan.

Begrepp inom Verksamhetsskydd

Vad innefattar Verksamhetsskydd?

Verksamhetsskydd är ett portalbegrepp för alla grundläggande skyddsåtgärder (ett grundskydd) som vidtas i en verksamhet och som syftar till att skydda det som är skyddsvärt i ett bolag, enhet eller process. Alla skyddsåtgärder som vidtas i Säkerhetskänsliga verksamheter benämns Säkerhetsskydd, och är en delmängd av det som kan benämnas Verksamhetsskydd. Bland åtgärder för ett Verksamhetsskydd kan bland annat följande återfinnas:

  • Ledningssystem för styrning av verksamhetsskydd (ISO 27001, NIST, mm)
  • Informationssäkerhet, informationsklassning och dokumenthanteringsplan (DHP), mm
  • Fysiska säkerhetsåtgärder
  • Personalsäkerhetsågärder
  • Tekniska säkerhetsåtgärder
  • Organisatoriska säkerhetsåtgärder, i den mån de inte ingår i ovan
  • Risk- och sårbarhetsanalyser och Riskhantering
  • Kontinuitetshantering (kan även se som del av Riskhantering)
  • Totalförsvarsplanering
  • Säkerhetsskyddanalys, säkerhetsskyddsåtgärder samt säkerhetsskyddsplan
  • I ovan integreras säkerhetsåtgärder kopplade till EU-direktiven NIS2 och CER

Bolagen (verksamhetsutövaren) bedömer vilka kombinationer av ovan skyddsåtgärder som ska vidtas, upprätthållas och utvecklas löpande för att skydda de tillgångar och de funktioner (tjänster, leveranser, etc) som är centrala för bolaget och dess uppdrag.