En inblick i Sveriges cybersäkerhet

Rapporten kan läsas i sin helhet här: Årsrapport it-incidentrapportering 2021 (msb.se) 

Sammanställningen av incidentrapporteringen under 2021 visar att rapporteringen har minskat och att systemfel och misstag återigen är de mest frekventa orsakerna till incidenterna. Incidenterna inträffar ofta vid misslyckad förändringshantering och påverkar oftast tillgängligheten.

För att motverka de bakomliggande problemen till de incidenter som rapporterats rekommenderar MSB att se över:
• Rutiner för förändringshantering.
• Kontinuitetsplaner.
• Informationstillgångar och deras beroenden.
• Hur utvecklingsarbete ger säkra system.
• Information om digitala leveranskedjor.
• Arbetet med incidenter.

343 rapporter om it-incidenter inkom till MSB under 2021. Av dessa var 261 rapporter från statliga myndigheter och 82 rapporter från leverantörer av samhällsviktiga och digitala tjänster. Detta kan jämföras med 374 inrapporterade incidenter under 2020 där 286 kom från statliga myndigheter och 88 från NIS-leverantörer.

MSB konstaterar att antalet rapporterade it-incidenter från både statliga myndigheter och NIS-leverantörer minskat jämfört med tidigare år. MSB har tidigare uppgett att det sannolikt sker en underrapportering jämfört med den totala mängd it-incidenter som inträffar och som är rapporteringspliktiga hos berörda organisationer, det vill säga att det är för få it-incidenter som rapporteras. MSB uppger att en orsak till den förhållandevis låga rapporteringsgraden kan ha att göra med restriktionerna på grund av covid-19-pandemin och särskilt rekommendationerna kring hemarbete. Under större delen av 2021 har den offentliga sektorn rekommenderats att arbeta hemifrån i så stor utsträckning som verksamheten tillåter. Situationen med utbrett distansarbete har även förekommit inom många delar av det privata näringslivet.

En följd av att många arbetar hemifrån kan vara att personal som normalt varit en del i att uppmärksamma och hantera it-incidenter fått förändrade eller utökade arbetsuppgifter, så som att upphandla och drifta it-stöd eller hantera förändrade riktlinjer och arbetsmetoder, kopplat till utökning av användningen av it-stöd för distansarbete. Det kan också vara så att förflyttningen av en del av personalen från den fysiska arbetsplatsen lett till att det funnits färre på plats för att uppmärksamma vissa typer av it-incidenter, särskilt om stödsystem och arbetsrutiner för att hantera sådant på distans inte har utvecklats i samma takt.

Den vanligaste rapporterade orsaken till incidenterna har varit systemfel följt av misstag och sedan angrepp.

Fördelningen stämmer väl överens med hur det har sett ut de senaste åren där det har varit systemfel och misstag som orsakat de flesta incidenterna. En orsak till att det är just dessa kategorier som orsakar de flesta incidenterna är att system och infrastrukturer blivit både stora och komplexa på ett sätt som gör att det lätt uppstår fel i systemdelar eller vid sammankoppling av systemdelar och misstag vid drift och förvaltning. Detta yttrar sig i rapporteringen genom att rapportören ofta beskriver att det är vid förändringshantering som incidenterna uppstår. Detta vittnar också om att förebyggande informationssäkerhetsarbete så som kartläggning av informationstillgångar, framtagande av processer, metoder och policyer behöver bli mer i linje med den omfattande och komplexa miljö de ska stödja, så att dessa incidenter inte uppstår lika ofta.

Angrepp är en kategori av it-incidenter som ofta får stor uppmärksamhet i media, och som det rapporterats frekvent om internationellt under det gångna året. Den höga frekvensen av angrepp syns inte i rapporteringen till MSB utan i rapporteringen står istället angrepp för en mindre del av de rapporterade it-incidenterna. Detta är helt i linje med statistiken från tidigare år. En anledning till att det är lätt att tro att angreppens andel av inträffade it-incidenter är större, kan vara att nyhetsmedia fokuserar mer på avsiktliga hot som angrepp än oavsiktliga hot som systemfel och misstag.

Misslyckad förändringshantering är den bakomliggande orsaken till många incidenter

Baserat på den information MSB mottagit förefaller det vara flera hot och sårbarheter som ligger bakom, och i många fall samverkar, för att orsakade incidenter sker. En tydlig sådan bakomliggande orsak är hur förändringar av it-systemen genomförs. Det handlar både om förändringshantering som har genomförts i organisationens egna informationssystem och om förändringshantering som har utförts i informationssystem som upprätthåller tjänster man har utkontrakterat till någon annan organisation.

Effekterna av misslyckad förändringshantering varierar. I vissa fall handlar det om att förändringshanteringen har resulterat i att tjänsten som man försökte uppdatera eller omkonfigurera inte längre fungerar, eller inte fungerar på avsett sätt. I andra fall handlar det om att förändringshanteringen har resulterat i att informationssystemet eller tjänsten som man har justerat inte längre är kompatibel med andra informationssystem eller tjänster som man har. Detta kan då leda till oväntade följdeffekter om man inte har koll på vilka beroenden man har mellan informationssystem i sin it-miljö och informationsinfrastruktur. Brister i förändringshanteringen visar sig extra tydligt när många av dagens it-miljöer är både stora och komplexa med många beroenden både inom och utanför den egna organisationen.

Det finns många faktorer som gör att förändringshantering så pass ofta resulterar i incidenter.

• Eftersom förändringshantering ofta innebär att tjänsten måste vara nedstängd under arbetets gång försöker organisationer genomföra arbetet under så kort tid som möjligt. Det innebär ofta dels att själva förändringshanteringen sker under stressiga former, dels att utrymmet för att hantera situationen om något går fel är begränsat. Då tidsperioden för att genomföra förändringshanteringen ofta väljs för att påverka så få användare som möjligt sker förändringshantering ofta på natten, vilket i sin tur kan medföra en större trötthet och därigenom risk för misstag bland personalen som utför förändringarna.
• En faktor som också kan spela in gällande incidenter vid förändringshantering är att det inte klargjorts och därför råder olika uppfattningar mellan den ansvariga chefen på it-avdelningen (systemägaren) och ansvariga chefen för den verksamhet där tjänsten används för informationsbehandling (informationsägaren) om hur tjänsten ska användas, och vad den får användas till.
• Det förekommer ändringar som inte förändrar informationssystem eller tjänster sett till hur de är tänkta att användas enligt it-avdelningen, men där följden ändå blir att organisationens förmåga att utföra sitt uppdrag påverkas eftersom tjänsten används på andra sätt än de som it-avdelningen har utgått från. Sådana skillnader mellan tänkta användningsområden och faktiska användningsområden kan uppstå av ett stort antal olika skäl.
• Det kan handla om att det finns otydlighet i ansvarsfördelning och rutiner hur informationssystem som införs eller förbättras godkänns utifrån att it-avdelningen och användarna redan från början är oense hur en tjänst ska användas.
• Det kan också handla om att tjänstens användningsområde i praktiken förändras över tid. Lagar och regler som inverkar på hur tjänsten får användas kan även tillkomma eller förändras. För att ett informationssystem ska fungera som tänkt behöver det anpassas till nya förutsättningar och behov.
• Det kan också vara så att det saknas något som hade kunnat förbättra utfallet av förändringshanteringen så att en incident hade kunnat undvikas. Ibland saknas det exempelvis en överblick över hur olika informationssystem och tjänster samspelar med varandra i en komplex it-infrastruktur. Ännu svårare blir det om de egna informationssystemen och tjänsterna samspelar med informationssystem eller tjänster hos andra organisationer som man inte har insyn i.
• Det kan också vara så att förändringshanteringen som ska genomföras handlar om att installera en komponent eller en uppdatering som har levererats av en annan organisation. I dessa fall kan man inte alltid veta hur den nya komponenten eller uppdateringen kommer att fungera i ens egen miljö. Saknar organisationen en tillräckligt produktionslik testmiljö där förändringen kan testas kan konsekvenserna i produktionsmiljön bli stora.
• En ytterligare möjlig brist är att en del organisationer verkar sakna tillräckligt omfattande rutiner för att genomföra förändringshantering på ett strukturerat sätt som minimerar risken för att något går fel.

Välkommen rapport med onödigt begränsat värde

Rapporten är mycket välkommen men det är tråkigt att MSB har valt ett annat format och redogör för mindre information än den förra årsrapporten Statliga myndigheters it-incidentrapportering 2020 – Utmaningar för en säker och robust informationshantering vilket gör att värdet av rapporten minskar då det blir svårare att följa vissa uppgifter över tid.