TM

ALL 0

141 P

resenta

tio

n v

1.0

Internetdagarna 2015

Är vi redo för molnet?

Förändrad lagstiftning -

Förändrade förutsättningar

TM

ALL 0

141 P

resenta

tio

n v

1.0

Trafikverket –

Vad är det ?

3

Vi bidrar till samhällsutvecklingen

4

Vårt uppdrag

• Ansvarar för långsiktig planering av

transportsystemet för vägtrafik,

järnvägstrafik, sjöfart och luftfart

• Ansvarar för byggande, drift och

underhåll av statliga vägar och

järnvägar

5

Alla kommer fram

smidigt, grönt och tryggt

Vår vision

6

Generaldirektör

Lena Erixon

Snabba fakta om Trafikverket

Nord

Mitt

Väst

Syd

StockholmÖst

Verksamhetsvolym år 2013 i kr

50 000 000 000

6 300 anställda, 150 olika yrken

varav

Investeringar 21,5 miljarder

Drift, underhåll och trafikledning 19,5 miljarder

Övrigt 9,0 miljarder

Styrelse

7

Sveriges vägar och järnvägar

11 900 km

järnvägsspår

11 400 växlar

560 stationer för på-

och avstigning

98 400 km

statliga vägar

41 000 km

kommunala gator

och vägar

76 100 km

enskilda vägar

med stats-

bidrag

16 000 broar

(3 781 järnvägsbroar)

41 färjeleder

8

TM

ALL 0

141 P

resenta

tio

n v

1.0

En vanlig dag….

• 370 000 resenärer på järnväg

• Cirka 2 600 persontåg

• 4 500 000 personer åker bil

• 950 000 personer åker buss

• 900 000 personer cyklar

• 70 000 persontransporter via vägfärja

• 230 000 ton gods fraktas på väg

• 180 000 ton gods transporteras på järnväg

• 1 500 kunskapsprov - 1 200 körprov

9

Trafikverket it i siffor

• Trafikverket it har 1000 årsarbetskrafter

resurskonsulter inkluderat

• Budget på 2 miljarder/år

(Budget för all it inom Trafikverket är betydligt

högre)

• extern affär som levererar 300 miljoner

kronor/år.

10

Utmaning inom IT… en av många….

• Att tillhandahålla en fungerande IT-

infrastruktur över hela Sverige, 24/7/365

1 572 km

11

Principskiss över miljöer och informationsflöde –

Nuläge

Operativa-miljöer

Process-miljöer

HEMLIG-miljö

Medborgare FöretagExtern-

miljö

Kontors-nära

12

Principskiss över miljöer och informationsflöde –

Nuläge

Operativa-miljöer

Process-miljöer

HEMLIG-miljö

Medborgare FöretagExtern-

miljö

Kontors-nära

Operativa

miljöer

Processmiljöer

Extern miljö

Kontors

nära

13

14

Strategi för informations- och cybersäkerhet i staten

• http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf

15

Strategi för informations- och cybersäkerhet i staten

• http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf

16

Strategi för informations- och cybersäkerhet i staten

• http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf

17

Strategi för informations- och cybersäkerhet i staten

• http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf

18

Strategi för informations- och cybersäkerhet i staten

• http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf

19

Strategi för informations- och cybersäkerhet i staten

• http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf

20

Principskiss över miljöer och informationsflöde –

Nuläge

Operativa-miljöer

Process-miljöer

HEMLIG-miljö

Medborgare FöretagExtern-

miljö

Kontors-nära

21

SGSI – Konsekvens på informationsflöde – Steg 1

Operativa-miljöer

Process-miljöer

HEMLIG-miljö

Medborgare FöretagExtern miljö

Kontors-nära

SGSISwedish

Government Secure

Intranet

22

SGSI – Konsekvens på informationsflöde – Steg 2

Operativa-miljöer

Process-miljöer

HEMLIG-miljö

Medborgare FöretagExtern miljö

Kontors-nära

SGSISwedish

Government Secure

Intranet

23

SGSI – Konsekvens på informationsflöde – Steg 3

Operativa-miljöer

Process-miljöer

HEMLIG-miljö

Medborgare Företag

SGSISwedish

Government Secure

Intranet

Extern miljö

Kontors-nära

24

Remissvar

SOU 2015:23

25

Betänkandet om ny Säkerhetsskyddslag (1)

• http://www.regeringen.se/content/1/c6/25/59/71/85251044.pdf

Hemliga uppgifter ersätts med

säkerhetsskyddsklassificerade uppgifter.

Det nya säkerhetsskyddet ska inte endast

skydda säkerhetsskyddsklassificerade

uppgifter. Skyddet ska även omfatta

verksamheter i det något omständliga

begreppet i övrigt säkerhetskänslig

verksamhet.

Tydlig utökning att i lagen även ta hänsyn

till Sveriges Säkerhet med ett mycket

bredare perspektiv jämfört med tidigare.

26

Betänkandet om ny Säkerhetsskyddslag (2)

I övrigt säkerhetskänslig verksamhet kan

även omfatta IT-system som är av central

betydelse för ett fungerande samhälle.

Det kan vara fråga om IT-system som

styr viktiga samhällsfunktioner eller som

hanterar information där informationens

tillgänglighet eller riktighet är av kritisk

betydelse för ett fungerande samhälle.

Medför att betydligt mer inom Trafikverket

kan komma att omfattas av krav på

Säkerhetsskydd.

27

Betänkandet om ny Säkerhetsskyddslag (3)

Begreppet informationssäkerhet behålls

och är även en säkerhetsskyddsåtgärd.

Den stora nyheten är att syftet i

begreppet informationssäkerhet utökats

till att även omfatta skadlig inverkan på

informationstillgångar som avser

säkerhetskänslig verksamhet.

Medför att Informationssäkerhet och

Säkerhetsskydd knyts hårdare samman i

lagstiftning och att alla aspekter inom

informationssäkerhet ingår.

(Tidigare egentligen bara konfidentialitet)

28

Betänkandet om ny Säkerhetsskyddslag (4)

Även ett IT-system som inte innehåller

säkerhetsskyddsklassificerade uppgifter

kan vara av sådan betydelse för

verksamheten att systemet måste

omfattas av ett säkerhetsskydd.

Medför att även IT-system som inte

naturligt kopplas till något ”känsligt” inom

Trafikverkets verksamhet kan bedömas

omfattas av krav på Säkerhetsskydd.

29

Betänkandet om ny Säkerhetsskyddslag (5)

Utredningen har gett exempel på områden,

verksamheter och funktioner som är av sådan

karaktär att de skulle kunna omfattas av krav på

skydd enligt säkerhetsskyddslagen.

Av dessa bedöms nedanstående ha en direkt eller

indirekt påverkan på Trafikverket :

• Totalförsvaret

• Skydd mot olyckor

• Energiförsörjning

• Annan livsmedelsförsörjning

• Elektronisk kommunikation

• Transporter och kommunikation

30

Betänkandet om ny Säkerhetsskyddslag (6)

• Transporter och kommunikation är särskilt utpekat som en

samhällssektorer med särskilt skyddsvärda funktioner

Denna sektor avser transporter på land, till

sjöss eller i luften som kan anses

skyddsvärda. Till dessa räknas både

själva färdmedlen, viktiga styrsystem och

den infrastruktur som behövs för att

transporterna ska fungera, t.ex. system

för styrning av kritiska järnvägsväxlar. I

sammanhanget bör beaktas att transporter

är direkt eller indirekt beroende av el,

både för själva transporten, för

stödfunktioner och för transport av

bränsle.

31

SGSI – Konsekvens på informationsflöde – Steg 2

Operativa-miljöer

Process-miljöer

HEMLIG-miljö

Medborgare FöretagExtern miljö

Kontors-nära

SGSISwedish

Government Secure

Intranet

32

Ny Säkerhetsskyddslag – Konsekvens

Medborgare FöretagExtern miljö

SGSISwedish

Government Secure

Intranet

Säkerhets-skydds-

klassificeradmiljö

Operativa-miljöer

Process-miljöer

Kontors-nära

33

Ny Säkerhetsskyddslag – Konsekvens

Medborgare FöretagExtern miljö

SGSISwedish

Government Secure

Intranet

Säkerhets-skydds-

klassificeradmiljö

Operativa-miljöer

Process-miljöer

Kontors-nära

Operativa

miljöer

Processmiljöer

Extern miljö

Kontors

nära

34

Varför kan inte allt ligga i molnet ?

• ”Verksamhetsnytta” och informationsklassning avgör var och på

vilket sätt information kan hanteras.

• Beroende på informationsklassning kan exempelvis

säkerhetsskyddsavtal krävas vilket försvårar.

• I händelse av kris eller omedelbar krigsfara kan lagstiftningar,

förordningar eller vägledningar komma att behöva förändras.

Verksamhet och information måste då kunna ”situations-anpassas”.

• Svensk lagstiftning gäller inte utomlands och det är svårare för

svenska myndigheter att bedöma säkerhetshot.

• För att avgör vad ”molnet” kan göra för Trafikverket krävs analys av:

– vad som inte kan…

– vad som inte bör…

– vad som kan…

– vad som ska…

Detta är även något som ändras över tid….

35

Förnyad säkerhetsskyddsanalys

SGSISwedish

Government Secure

Intranet

Tradi-tionellamiljöer

Säkerhets-skydd

HEMLIG-miljö

Traditionellamiljöer

36

Förnyad säkerhetsskyddsanalys

SGSISwedish

Government Secure

Intranet

Tradi-tionellamiljöer

Säkerhets-skydd

Tradi-tionellamiljöer

Säkerhets-

skydd

SGSISwedish

Government Secure

Intranet

Tradi-tionellamiljöer

Säkerhets-skydd

SGSISwedish

Government

Secure Intranet

Exempel 1

Exempel 2

Exempel 3

37

Remissvar på

SOU 2015:25

38

Försvarsberedningen

39

4.3 Cybersäkerhet (1)

• Försvarsberedningen konstaterade i sin säkerhetspolitiska rapport

Vägval i en globaliserad värld (Ds 2013:33) att utvecklingen av

informationsteknologin utmanar många traditionella föreställningar

om säkerhetspolitikens omfattning, aktörer och logik

• ……

• Försvarsberedningen konstaterar att Sveriges samlade förmåga att

förebygga, motverka och aktivt hantera konsekvenserna av civila

och militära hot, händelser, attacker och angrepp i cyberområdet

måste öka.

40

Försvarspolitisk inriktningsproposition 2015

41

2.1. Militärstrategiskt läge

Det säkerhetspolitiska läget har förändrats och försämrats efter

händelseutvecklingen i Ukraina och det går inte med säkerhet att

förutse alla dess konsekvenser. Den långsiktiga omvärldsutvecklingen

omfattas därmed av betydande osäkerheter. Det kan dock konstateras

att synen på Rysslands politiska intentioner och därmed även synen på

den säkerhetspolitiska utvecklingen i närområdet är under förändring.

Det går redan nu att indikera tre faktorer som kommer att påverka den

fortsatta säkerhetspolitiska utvecklingen i närområdet:

• den sänkta ryska tröskeln för användandet av militärt våld,

• en ökad militär verksamhet i Östersjöområdet och

• närområdets ökade militärstrategiska betydelse.

42

2.2. Förändrade metoder (1)

• Den ökade ryska militära verksamheten i närområdet utgörs av ökad

övningsverksamhet, tillförsel av mer och modernare materiel samt

en ökad krigsplanläggning. Den ökande ryska militära

verksamheten samordnas även med politiska, diplomatiska och

ekonomiska påtryckningar. Effekten av dessa påtryckningar ökas

genom att de stöds av påverkansoperationer, som syftar till att

påverka svensk vilja att fullfölja den säkerhetspolitiska linjen.

Påverkansoperationernas målsättning är att skapa en för Ryssland

fördelaktig bild av skeendet i närområdet, dölja styrkor, svagheter

och intentioner i sina operationer samt påverka svenska

medborgare och beslutsfattare.

43

2.3. Konsekvenser för Försvarsmakten (2)

• ……

• För att uppnå en svensk systemkollaps slår en motståndare i ett

andra skede i huvudsak mot kritiska sårbarheter, som i huvudsak

utgörs av fast infrastruktur. Dessa kritiska sårbarheter utgörs av en

stor andel civila mål, som kommer att påverka Försvarsmaktens

förmåga att lösa sina uppgifter. Attackerna genomförs genom att alla

tidigare nämnda förmågor samordnas för att uppnå den

gynnsammaste effekten men även de traditionella faserna i en

operation ingår och samordnas. Den tekniska utvecklingen har

möjliggjort att dessa attacker inte alltid behöver ske från svenskt

territorium, en motståndare behöver således inte behärska svenskt

territorium för att kunna bekämpa svenska förband eller kritisk

infrastruktur.

44

Stöd till Försvarsmakten – Primär verksamhet

måste alltid fungera

Medborgare FöretagExtern miljö

SGSISwedish

Government Secure

Intranet

Säkerhets-skydds-

klassificeradmiljö

Operativa-miljöer

Process-miljöer

Kontors-nära

45

Förordning (2006:942) om krisberedskap och

höjd beredskap (1)

Trafikverket är en myndighet med särskilt ansvar för Transporter enligt

11 §. Medför ett särskilt ansvar för att planera och vidta förberedelser

för att skapa förmåga att hantera en kris och för att förebygga

sårbarheter och motstå hot och risker.

• …

• 2. samverka med övriga statliga myndigheter, kommuner,

landsting, sammanslutningar och näringsidkare som är berörda,

• …

• 5. beakta behovet av säkerhet och kompatibilitet i de tekniska

system som är nödvändiga för att myndigheterna ska kunna utföra

sitt arbete,

• 6. beakta behovet av deltagande i det samhällsgemensamma

radiokommunikationssystemet för skydd och säkerhet (Rakel)

46

Förordning (2006:942) om krisberedskap och

höjd beredskap (2)

Trafikverket är en myndighet med särskilt ansvar för Transporter enligt

18 §. Medför ett ansvar att vidta de förberedelser som krävs inom

respektive ansvarsområde vid höjd beredskap. Dessa myndigheter

skall särskilt

• 1. planera för att kunna anpassa verksamheten inför en

förändrad säkerhetspolitisk situation,

• 2. genomföra den omvärldsbevakning och de risk- och

sårbarhetsanalyser samt de utvecklingsinsatser som krävs för

att myndigheten skall klara sina uppgifter vid höjd beredskap,

• …

47

Stöd till Försvarsmakten – Primär verksamhet

måste alltid fungera

Medborgare FöretagExtern miljö

SGSISwedish

Government Secure

Intranet

Säkerhets-skydds-

klassificeradmiljö

Operativa-miljöer

Process-miljöer

Kontors-nära

+ annan kris-

kommunika-

tion

48

Regeringens svar på Riksrevisionens rapport om

informationssäkerhet i den civila statsförvaltningen.

• http://www.regeringen.se/content/1/c6/25/61/17/8f5c28cd.pdf

Här framgår även varför Trafikverket i

regleringsbrev fått uppgift att särskilt beakta

informationssäkerhet (Sista stycke sida 14):

-” 5.Trafikverket ska i arbetet med 2015 års

risk- och sårbarhetsanalyser särskilt beakta

och analysera informationssäkerheten i de

delar av verksamheten och i de tekniska

system som är nödvändiga för att

myndigheten ska kunna utföra sitt arbete.

I detta arbete ska även informations-

säkerheten inom myndigheten ansvarsområde

beaktas och analyseras. Myndigheten ska

redovisa en bedömning av informations-

säkerheten samt vidtagna åtgärder.”

49

Personlig bedömning av framtiden….

Säkerhetsskydds-klassificerad miljö

SGSISwedish

GovernmentSecure

Intranet

Traditionellamiljöer

50

Säkerhetsskyddsklassificerad miljö

Säkerhetsskydds-klassificerad miljö

• Av Försvarsmakten godkänd miljö

• Drift och servrar i egna datahallar

eller hos andra myndigheter

• Endast leverantörer med

säkerhetsskyddsavtal

• Engagemang övervägande av

företag verksamma i Sverige

Personlig bedömning !

51

SGSI – Swedish Government Secure Intranet

• Av MSB ackrediterad miljö

• Drift och servrar i egna datahallar,

hos andra myndigheter eller hos

Svenska företag

• Engagemang övervägande av

företag verksamma i Sverige

• Europeiskt samarbete via EU:s

säkra nätverk S-TESTA

SGSISwedish

GovernmentSecure

Intranet

Personlig bedömning !

52

Traditionella miljöer

• Drift och servrar i egna datahallar

av system primära för

Trafikverkets verksamhet

• Ej primära system kan sourcas till

leverantörer i Sverige eller EU.

• Molntjänster kan nyttjas för

system som är publika och ej

väsentliga för Trafikverkets

verksamhet. Alternativt kan

molntjänster även nyttjas för att

skala upp prestanda i primära

system.

• Nya Säkerhetsprodukter tillförs.

• Engagemang av företag i

Sverige/EU.

Traditionellamiljöer

Personlig bedömning !

53

Tänk på att….

• Molntjänster är både säkra och bra, förutsatt rätt krav och

förväntningar

• Affärsmodellen för molntjänster har dock ett motsatsförhållande som

i vissa fall reda nu påverkar offentlig verksamhet, en påverkan som

blir större framöver

– Exempelvis medför föreslagna ändringar av lagstiftning att :

• viss information sannolikt får en starkare koppling geografiskt till

Sverige (Tillgänglighet - Säkerhetsskyddslag)

• Viss information kommer att behöva hanteras med produkter som

uppfyller kravställda säkerhetsprofiler som i nuläget inte stöds av

molntjänster (Riktighet – Förordning informationssäkerhet)

• Säkerhetsskyddsavtal behöver tecknas med molntjänstleverantörer

vilket är en stor utmaning, en utmaning som dessutom blir större för

leverantörer utanför Sverige

54

Användning av molntjänster inom Trafikverket

underlättas om …..

• Utvecklad funktionalitet för ”Trafikverkets” behov enkelt kan

hanteras och flyttas till olika ”miljöer”….

SGSISwedish

Government Secure

Intranet

Tradi-tionellamiljöer

Säkerhets-skydd

55

Frågor ?

Bertil Bergkuist

IT-Säkerhetssamordnare

bertil.bergkuist@trafikverket.se

Direkt: 010-125 71 39

Trafikverket

172 90 Sundbyberg

Besöksadress: Solna strandväg 98, 171 54 Solna

Telefon: 0771-921 921

www.trafikverket.se