Om MSB och CERT-SE:s arbete med it-incidenthantering
CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team) med uppgift att stötta samhället i arbetet med att hantera och förebygga it-incidenter. Verksamheten är en del av MSB. CERT-SE:s tjänster riktar sig till offentlig sektor, privata företag och organisationer.
CERT-SE arbetar med att:
- Öka it-säkerhetsmedvetandet genom att förmedla kunskap och fakta samt utfärda varningar och råd om sårbarheter i it-system.
- Hantera it-incidenter genom att skyndsamt sprida information och att samordna åtgärder för att avhjälpa eller lindra effekter av det inträffade.
- Vara Sveriges kontaktpunkt gentemot andra länders motsvarande verksamhet.
- Omvärldsbevaka hot och säkerhetsproblem på it-säkerhetsområdet
- Samarbeta med nationella och internationella funktioner.
- Driva och delta i nationella och internationella it-säkerhetsforum för erfarenhets- och kompetensutbyte.
Varför ska it-incidenter rapporteras?
Genom att skyndsamt rapportera incidenter till MSB kan vi få en samlad och övergripande bild över händelsen och på så sätt vidta åtgärder för att avvärja eller begränsa konsekvenserna av allvarliga it-incidenter.
Syftet med obligatorisk it-incidentrapportering för statliga myndigheter är enligt regeringen att
- stödja samhällets informationssäkerhet
- möjliggöra en förbättrad lägesbild över informationssäkerheten
- skapa förutsättningar för att vidta rätt skyddsåtgärder
- utveckla förmågan att förebygga, upptäcka och hantera it-incidenter
MSB använder it-incidentrapporterna för att upptäcka förhållanden eller pågående skeenden som andra aktörer bör ta del av, för att kunna erbjuda stöd till den drabbade organisationen och för statistik över vilka incidenter som inträffar och deras konsekvenser.
Om flera aktörer drabbats samtidigt kan det krävas omedelbara åtgärder, såväl av den rapporterande aktören som på samhällsnivå. Fler aktörer än de som direkt är berörda kan då få tidig information och förvarningar. Detta innebär en möjlighet att begränsa konsekvenser och spridning av en inträffad it-incident. Vid dessa tillfällen kan rapporterande myndigheter uppmanas att komplettera sina uppgifter för att möjliggöra en fördjupad analys.
Det övergripande syftet med rapporteringen är att ge MSB bättre förutsättningar att stödja arbetet med, samt stärka, samhällets informations- och cybersäkerhet. MSB arbetar kontinuerligt med att ta tillvara den information som kommer till myndigheten för att på bästa sätt bedriva såväl ett operativt som ett proaktivt arbete gällande statliga myndigheters informations- och cybersäkerhet
Varje år presenterar MSB en rapport till regeringen kring den obligatoriska rapporteringen samt tar fram en offentlig årsrapport som omfattar rapportering om it-incidenter. Dessa ger en statistisk bild över hur mycket och vad som har rapporterats.
Sedan 1 oktober 2022 vidarebefordrar MSB inrapporterade incidenter som har sin grund i brottslig handling till Polisen.
Incidenter som att döma av hur de beskrivs (i val av orsak eller i fritext) kan antas ha sin grund i en brottslig handling kommer att vidarebefordras till Polismyndigheten där en polisanmälan kan komma att upprättas. Klicka på rullgardinsrutan nedan för mer detaljer.
-
Fördjupad it-brottssamverkan mellan MSB och Polisen
På regeringens uppdrag vidarebefordrar MSB från och med 1 oktober 2022 de notifieringar och ifyllda formulär som rapporteras in till MSB, och som innehåller beskrivningar av incidenter som kan antas ha sin grund i en brottslig handling, till Polismyndigheten där en polisanmälan kan komma att upprättas. Syftet är att öka andelen polisanmälda it-brott och öka möjligheten att klara upp fler brott.
Det är endast incidentrapporter där den rapporterande organisationen har angett att incidenten är orsakad av en mänsklig handling i antagonistiskt syfte, eller där den organisationen i fritext har beskrivit att det handlar om ett angrepp, som omfattas av detta.
Notifieringar och ifyllda formulär bedöms var för sig. Om en rapporterande organisation i sin notifiering har angett att incidenten de notifierar om har, eller verkar ha, sin grund i en brottslig handling så kommer informationen att vidarebefordras till Polismyndigheten. Om den rapporterande organisationen därefter skickar en ett ifyllt formulär där de anger en annan orsak till incidenten så kommer inte det ifyllda formuläret att vidarebefordras till Polismyndigheten. På motsvarande sätt gäller också att om en rapporterande organisation vid sin notifiering anger en orsak som inte kan antas av vara brottslig så kommer informationen inte att vidarebefordras till Polismyndigheten. Om den organisationen sedan skickar in ett ifyllt formulär där de anger en orsak som kan antas vara brottslig så kommer det ifyllda formuläret att vidarebefordras till Polismyndigheten.
Delningen av information till Polismyndigheten genomförs inom ramen för det nationella cybersäkerhetscentrets (NCSC-SE) verksamhet. Information som delas till Polismyndigheten kan också komma att delas med andra myndigheter inom NCSC-SE:s verksamhet.
När Polismyndigheten mottagit notifieringen eller incidentrapporten bedöms huruvida ett brott som hör under allmänt åtal har förövats, om en polisanmälan ska upprättas och om en förundersökning i så fall ska inledas. Informationen som inkommer till Polismyndigheten, såväl som till andra myndigheter inom NCSC-SE, behandlas utifrån tillämpliga sekretessregler.
På detta sätt når de aktörer som rapporterar in incidenter den del av Polismyndigheten som hanterar it-brott på ett nytt sätt.MSB kommer även fortsättningsvis att uppmana NIS-leverantörer och statliga myndigheter att göra en polisanmälan om de bedömer att incidenten kan ha orsakats av en brottslig handling eftersom det åligger myndigheten att göra det enligt NIS-regleringen och krisberedskapsförordningen.
Inom vissa organisationer sköts incidentrapportering respektive polisanmälan på olika sätt eller av olika delar av organisationen. Det kan vara värt att se över en sådan ordning i ljuset av det ovanstående. Det åligger rapporteringspliktiga organisationer att ha en intern rutin för att samlat hantera rapportering om inträffade incidenter utifrån den samlade kravbilden.
Hjälp vid en it-incident
Vid en incident kan CERT-SE ge rådgivning om hur incidenten ska hanteras, göra eventuella kopplingar till pågående eller tidigare händelser samt göra en teknisk analys av angripna system. När flera intressenter behöver samverka kan CERT-SE koordinera det arbetet. För att minska risken för spridning publicerar CERT-SE råd om sårbarheter och rekommenderade åtgärder.