TM
ALL 0
141 P
resenta
tio
n v
1.0
Internetdagarna 2015
Är vi redo för molnet?
Förändrad lagstiftning -
Förändrade förutsättningar
TM
ALL 0
141 P
resenta
tio
n v
1.0
Trafikverket –
Vad är det ?
3
Vi bidrar till samhällsutvecklingen
4
Vårt uppdrag
• Ansvarar för långsiktig planering av
transportsystemet för vägtrafik,
järnvägstrafik, sjöfart och luftfart
• Ansvarar för byggande, drift och
underhåll av statliga vägar och
järnvägar
5
Alla kommer fram
smidigt, grönt och tryggt
Vår vision
6
Generaldirektör
Lena Erixon
Snabba fakta om Trafikverket
Nord
Mitt
Väst
Syd
StockholmÖst
Verksamhetsvolym år 2013 i kr
50 000 000 000
6 300 anställda, 150 olika yrken
varav
Investeringar 21,5 miljarder
Drift, underhåll och trafikledning 19,5 miljarder
Övrigt 9,0 miljarder
Styrelse
7
Sveriges vägar och järnvägar
11 900 km
järnvägsspår
11 400 växlar
560 stationer för på-
och avstigning
98 400 km
statliga vägar
41 000 km
kommunala gator
och vägar
76 100 km
enskilda vägar
med stats-
bidrag
16 000 broar
(3 781 järnvägsbroar)
41 färjeleder
8
TM
ALL 0
141 P
resenta
tio
n v
1.0
En vanlig dag….
• 370 000 resenärer på järnväg
• Cirka 2 600 persontåg
• 4 500 000 personer åker bil
• 950 000 personer åker buss
• 900 000 personer cyklar
• 70 000 persontransporter via vägfärja
• 230 000 ton gods fraktas på väg
• 180 000 ton gods transporteras på järnväg
• 1 500 kunskapsprov - 1 200 körprov
9
Trafikverket it i siffor
• Trafikverket it har 1000 årsarbetskrafter
resurskonsulter inkluderat
• Budget på 2 miljarder/år
(Budget för all it inom Trafikverket är betydligt
högre)
• extern affär som levererar 300 miljoner
kronor/år.
10
Utmaning inom IT… en av många….
• Att tillhandahålla en fungerande IT-
infrastruktur över hela Sverige, 24/7/365
1 572 km
11
Principskiss över miljöer och informationsflöde –
Nuläge
Operativa-miljöer
Process-miljöer
HEMLIG-miljö
Medborgare FöretagExtern-
miljö
Kontors-nära
12
Principskiss över miljöer och informationsflöde –
Nuläge
Operativa-miljöer
Process-miljöer
HEMLIG-miljö
Medborgare FöretagExtern-
miljö
Kontors-nära
Operativa
miljöer
Processmiljöer
Extern miljö
Kontors
nära
13
14
Strategi för informations- och cybersäkerhet i staten
• http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf
15
Strategi för informations- och cybersäkerhet i staten
• http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf
16
Strategi för informations- och cybersäkerhet i staten
• http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf
17
Strategi för informations- och cybersäkerhet i staten
• http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf
18
Strategi för informations- och cybersäkerhet i staten
• http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf
19
Strategi för informations- och cybersäkerhet i staten
• http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf
20
Principskiss över miljöer och informationsflöde –
Nuläge
Operativa-miljöer
Process-miljöer
HEMLIG-miljö
Medborgare FöretagExtern-
miljö
Kontors-nära
21
SGSI – Konsekvens på informationsflöde – Steg 1
Operativa-miljöer
Process-miljöer
HEMLIG-miljö
Medborgare FöretagExtern miljö
Kontors-nära
SGSISwedish
Government Secure
Intranet
22
SGSI – Konsekvens på informationsflöde – Steg 2
Operativa-miljöer
Process-miljöer
HEMLIG-miljö
Medborgare FöretagExtern miljö
Kontors-nära
SGSISwedish
Government Secure
Intranet
23
SGSI – Konsekvens på informationsflöde – Steg 3
Operativa-miljöer
Process-miljöer
HEMLIG-miljö
Medborgare Företag
SGSISwedish
Government Secure
Intranet
Extern miljö
Kontors-nära
24
Remissvar
SOU 2015:23
25
Betänkandet om ny Säkerhetsskyddslag (1)
• http://www.regeringen.se/content/1/c6/25/59/71/85251044.pdf
Hemliga uppgifter ersätts med
säkerhetsskyddsklassificerade uppgifter.
Det nya säkerhetsskyddet ska inte endast
skydda säkerhetsskyddsklassificerade
uppgifter. Skyddet ska även omfatta
verksamheter i det något omständliga
begreppet i övrigt säkerhetskänslig
verksamhet.
Tydlig utökning att i lagen även ta hänsyn
till Sveriges Säkerhet med ett mycket
bredare perspektiv jämfört med tidigare.
26
Betänkandet om ny Säkerhetsskyddslag (2)
I övrigt säkerhetskänslig verksamhet kan
även omfatta IT-system som är av central
betydelse för ett fungerande samhälle.
Det kan vara fråga om IT-system som
styr viktiga samhällsfunktioner eller som
hanterar information där informationens
tillgänglighet eller riktighet är av kritisk
betydelse för ett fungerande samhälle.
Medför att betydligt mer inom Trafikverket
kan komma att omfattas av krav på
Säkerhetsskydd.
27
Betänkandet om ny Säkerhetsskyddslag (3)
Begreppet informationssäkerhet behålls
och är även en säkerhetsskyddsåtgärd.
Den stora nyheten är att syftet i
begreppet informationssäkerhet utökats
till att även omfatta skadlig inverkan på
informationstillgångar som avser
säkerhetskänslig verksamhet.
Medför att Informationssäkerhet och
Säkerhetsskydd knyts hårdare samman i
lagstiftning och att alla aspekter inom
informationssäkerhet ingår.
(Tidigare egentligen bara konfidentialitet)
28
Betänkandet om ny Säkerhetsskyddslag (4)
Även ett IT-system som inte innehåller
säkerhetsskyddsklassificerade uppgifter
kan vara av sådan betydelse för
verksamheten att systemet måste
omfattas av ett säkerhetsskydd.
Medför att även IT-system som inte
naturligt kopplas till något ”känsligt” inom
Trafikverkets verksamhet kan bedömas
omfattas av krav på Säkerhetsskydd.
29
Betänkandet om ny Säkerhetsskyddslag (5)
Utredningen har gett exempel på områden,
verksamheter och funktioner som är av sådan
karaktär att de skulle kunna omfattas av krav på
skydd enligt säkerhetsskyddslagen.
Av dessa bedöms nedanstående ha en direkt eller
indirekt påverkan på Trafikverket :
• Totalförsvaret
• Skydd mot olyckor
• Energiförsörjning
• Annan livsmedelsförsörjning
• Elektronisk kommunikation
• Transporter och kommunikation
30
Betänkandet om ny Säkerhetsskyddslag (6)
• Transporter och kommunikation är särskilt utpekat som en
samhällssektorer med särskilt skyddsvärda funktioner
Denna sektor avser transporter på land, till
sjöss eller i luften som kan anses
skyddsvärda. Till dessa räknas både
själva färdmedlen, viktiga styrsystem och
den infrastruktur som behövs för att
transporterna ska fungera, t.ex. system
för styrning av kritiska järnvägsväxlar. I
sammanhanget bör beaktas att transporter
är direkt eller indirekt beroende av el,
både för själva transporten, för
stödfunktioner och för transport av
bränsle.
31
SGSI – Konsekvens på informationsflöde – Steg 2
Operativa-miljöer
Process-miljöer
HEMLIG-miljö
Medborgare FöretagExtern miljö
Kontors-nära
SGSISwedish
Government Secure
Intranet
32
Ny Säkerhetsskyddslag – Konsekvens
Medborgare FöretagExtern miljö
SGSISwedish
Government Secure
Intranet
Säkerhets-skydds-
klassificeradmiljö
Operativa-miljöer
Process-miljöer
Kontors-nära
33
Ny Säkerhetsskyddslag – Konsekvens
Medborgare FöretagExtern miljö
SGSISwedish
Government Secure
Intranet
Säkerhets-skydds-
klassificeradmiljö
Operativa-miljöer
Process-miljöer
Kontors-nära
Operativa
miljöer
Processmiljöer
Extern miljö
Kontors
nära
34
Varför kan inte allt ligga i molnet ?
• ”Verksamhetsnytta” och informationsklassning avgör var och på
vilket sätt information kan hanteras.
• Beroende på informationsklassning kan exempelvis
säkerhetsskyddsavtal krävas vilket försvårar.
• I händelse av kris eller omedelbar krigsfara kan lagstiftningar,
förordningar eller vägledningar komma att behöva förändras.
Verksamhet och information måste då kunna ”situations-anpassas”.
• Svensk lagstiftning gäller inte utomlands och det är svårare för
svenska myndigheter att bedöma säkerhetshot.
• För att avgör vad ”molnet” kan göra för Trafikverket krävs analys av:
– vad som inte kan…
– vad som inte bör…
– vad som kan…
– vad som ska…
Detta är även något som ändras över tid….
35
Förnyad säkerhetsskyddsanalys
SGSISwedish
Government Secure
Intranet
Tradi-tionellamiljöer
Säkerhets-skydd
HEMLIG-miljö
Traditionellamiljöer
36
Förnyad säkerhetsskyddsanalys
SGSISwedish
Government Secure
Intranet
Tradi-tionellamiljöer
Säkerhets-skydd
Tradi-tionellamiljöer
Säkerhets-
skydd
SGSISwedish
Government Secure
Intranet
Tradi-tionellamiljöer
Säkerhets-skydd
SGSISwedish
Government
Secure Intranet
Exempel 1
Exempel 2
Exempel 3
37
Remissvar på
SOU 2015:25
38
Försvarsberedningen
39
4.3 Cybersäkerhet (1)
• Försvarsberedningen konstaterade i sin säkerhetspolitiska rapport
Vägval i en globaliserad värld (Ds 2013:33) att utvecklingen av
informationsteknologin utmanar många traditionella föreställningar
om säkerhetspolitikens omfattning, aktörer och logik
• ……
• Försvarsberedningen konstaterar att Sveriges samlade förmåga att
förebygga, motverka och aktivt hantera konsekvenserna av civila
och militära hot, händelser, attacker och angrepp i cyberområdet
måste öka.
40
Försvarspolitisk inriktningsproposition 2015
41
2.1. Militärstrategiskt läge
Det säkerhetspolitiska läget har förändrats och försämrats efter
händelseutvecklingen i Ukraina och det går inte med säkerhet att
förutse alla dess konsekvenser. Den långsiktiga omvärldsutvecklingen
omfattas därmed av betydande osäkerheter. Det kan dock konstateras
att synen på Rysslands politiska intentioner och därmed även synen på
den säkerhetspolitiska utvecklingen i närområdet är under förändring.
Det går redan nu att indikera tre faktorer som kommer att påverka den
fortsatta säkerhetspolitiska utvecklingen i närområdet:
• den sänkta ryska tröskeln för användandet av militärt våld,
• en ökad militär verksamhet i Östersjöområdet och
• närområdets ökade militärstrategiska betydelse.
42
2.2. Förändrade metoder (1)
• Den ökade ryska militära verksamheten i närområdet utgörs av ökad
övningsverksamhet, tillförsel av mer och modernare materiel samt
en ökad krigsplanläggning. Den ökande ryska militära
verksamheten samordnas även med politiska, diplomatiska och
ekonomiska påtryckningar. Effekten av dessa påtryckningar ökas
genom att de stöds av påverkansoperationer, som syftar till att
påverka svensk vilja att fullfölja den säkerhetspolitiska linjen.
Påverkansoperationernas målsättning är att skapa en för Ryssland
fördelaktig bild av skeendet i närområdet, dölja styrkor, svagheter
och intentioner i sina operationer samt påverka svenska
medborgare och beslutsfattare.
43
2.3. Konsekvenser för Försvarsmakten (2)
• ……
• För att uppnå en svensk systemkollaps slår en motståndare i ett
andra skede i huvudsak mot kritiska sårbarheter, som i huvudsak
utgörs av fast infrastruktur. Dessa kritiska sårbarheter utgörs av en
stor andel civila mål, som kommer att påverka Försvarsmaktens
förmåga att lösa sina uppgifter. Attackerna genomförs genom att alla
tidigare nämnda förmågor samordnas för att uppnå den
gynnsammaste effekten men även de traditionella faserna i en
operation ingår och samordnas. Den tekniska utvecklingen har
möjliggjort att dessa attacker inte alltid behöver ske från svenskt
territorium, en motståndare behöver således inte behärska svenskt
territorium för att kunna bekämpa svenska förband eller kritisk
infrastruktur.
44
Stöd till Försvarsmakten – Primär verksamhet
måste alltid fungera
Medborgare FöretagExtern miljö
SGSISwedish
Government Secure
Intranet
Säkerhets-skydds-
klassificeradmiljö
Operativa-miljöer
Process-miljöer
Kontors-nära
45
Förordning (2006:942) om krisberedskap och
höjd beredskap (1)
Trafikverket är en myndighet med särskilt ansvar för Transporter enligt
11 §. Medför ett särskilt ansvar för att planera och vidta förberedelser
för att skapa förmåga att hantera en kris och för att förebygga
sårbarheter och motstå hot och risker.
• …
• 2. samverka med övriga statliga myndigheter, kommuner,
landsting, sammanslutningar och näringsidkare som är berörda,
• …
• 5. beakta behovet av säkerhet och kompatibilitet i de tekniska
system som är nödvändiga för att myndigheterna ska kunna utföra
sitt arbete,
• 6. beakta behovet av deltagande i det samhällsgemensamma
radiokommunikationssystemet för skydd och säkerhet (Rakel)
46
Förordning (2006:942) om krisberedskap och
höjd beredskap (2)
Trafikverket är en myndighet med särskilt ansvar för Transporter enligt
18 §. Medför ett ansvar att vidta de förberedelser som krävs inom
respektive ansvarsområde vid höjd beredskap. Dessa myndigheter
skall särskilt
• 1. planera för att kunna anpassa verksamheten inför en
förändrad säkerhetspolitisk situation,
• 2. genomföra den omvärldsbevakning och de risk- och
sårbarhetsanalyser samt de utvecklingsinsatser som krävs för
att myndigheten skall klara sina uppgifter vid höjd beredskap,
• …
47
Stöd till Försvarsmakten – Primär verksamhet
måste alltid fungera
Medborgare FöretagExtern miljö
SGSISwedish
Government Secure
Intranet
Säkerhets-skydds-
klassificeradmiljö
Operativa-miljöer
Process-miljöer
Kontors-nära
+ annan kris-
kommunika-
tion
48
Regeringens svar på Riksrevisionens rapport om
informationssäkerhet i den civila statsförvaltningen.
• http://www.regeringen.se/content/1/c6/25/61/17/8f5c28cd.pdf
Här framgår även varför Trafikverket i
regleringsbrev fått uppgift att särskilt beakta
informationssäkerhet (Sista stycke sida 14):
-” 5.Trafikverket ska i arbetet med 2015 års
risk- och sårbarhetsanalyser särskilt beakta
och analysera informationssäkerheten i de
delar av verksamheten och i de tekniska
system som är nödvändiga för att
myndigheten ska kunna utföra sitt arbete.
I detta arbete ska även informations-
säkerheten inom myndigheten ansvarsområde
beaktas och analyseras. Myndigheten ska
redovisa en bedömning av informations-
säkerheten samt vidtagna åtgärder.”
49
Personlig bedömning av framtiden….
Säkerhetsskydds-klassificerad miljö
SGSISwedish
GovernmentSecure
Intranet
Traditionellamiljöer
50
Säkerhetsskyddsklassificerad miljö
Säkerhetsskydds-klassificerad miljö
• Av Försvarsmakten godkänd miljö
• Drift och servrar i egna datahallar
eller hos andra myndigheter
• Endast leverantörer med
säkerhetsskyddsavtal
• Engagemang övervägande av
företag verksamma i Sverige
Personlig bedömning !
51
SGSI – Swedish Government Secure Intranet
• Av MSB ackrediterad miljö
• Drift och servrar i egna datahallar,
hos andra myndigheter eller hos
Svenska företag
• Engagemang övervägande av
företag verksamma i Sverige
• Europeiskt samarbete via EU:s
säkra nätverk S-TESTA
SGSISwedish
GovernmentSecure
Intranet
Personlig bedömning !
52
Traditionella miljöer
• Drift och servrar i egna datahallar
av system primära för
Trafikverkets verksamhet
• Ej primära system kan sourcas till
leverantörer i Sverige eller EU.
• Molntjänster kan nyttjas för
system som är publika och ej
väsentliga för Trafikverkets
verksamhet. Alternativt kan
molntjänster även nyttjas för att
skala upp prestanda i primära
system.
• Nya Säkerhetsprodukter tillförs.
• Engagemang av företag i
Sverige/EU.
Traditionellamiljöer
Personlig bedömning !
53
Tänk på att….
• Molntjänster är både säkra och bra, förutsatt rätt krav och
förväntningar
• Affärsmodellen för molntjänster har dock ett motsatsförhållande som
i vissa fall reda nu påverkar offentlig verksamhet, en påverkan som
blir större framöver
– Exempelvis medför föreslagna ändringar av lagstiftning att :
• viss information sannolikt får en starkare koppling geografiskt till
Sverige (Tillgänglighet - Säkerhetsskyddslag)
• Viss information kommer att behöva hanteras med produkter som
uppfyller kravställda säkerhetsprofiler som i nuläget inte stöds av
molntjänster (Riktighet – Förordning informationssäkerhet)
• Säkerhetsskyddsavtal behöver tecknas med molntjänstleverantörer
vilket är en stor utmaning, en utmaning som dessutom blir större för
leverantörer utanför Sverige
54
Användning av molntjänster inom Trafikverket
underlättas om …..
• Utvecklad funktionalitet för ”Trafikverkets” behov enkelt kan
hanteras och flyttas till olika ”miljöer”….
SGSISwedish
Government Secure
Intranet
Tradi-tionellamiljöer
Säkerhets-skydd
55
Frågor ?
Bertil Bergkuist
IT-Säkerhetssamordnare
Direkt: 010-125 71 39
Trafikverket
172 90 Sundbyberg
Besöksadress: Solna strandväg 98, 171 54 Solna
Telefon: 0771-921 921
www.trafikverket.se