2015 års risk- och sårbarhetsanalys för PTS och dess ansvarsområden - PTS-ER-2015:23

2015-10-20

Observera att vissa stycken i rapporten är under sekretess.

Sammanfattning

I risk- och sårbarhetsanalysen genomförs risk- och förmågebedömningar utgående från ett samhällsperspektiv, i enlighet med Myndigheten för samhällsskydd och beredskaps (MSB) anvisningar. Här begränsas analysen till de fall då förekomsten av avbrott och brister i informations¬säkerhet kan innebära en stor risk eller fara för befolkningens liv och hälsa, störningar i samhällets funktionalitet eller negativ påverkan på samhällets grundläggande värden.

Analysen av PTS interna verksamhet har avgränsats till de verksamhetområden och funktioner som bedömts kunna ha påverkan på myndighetens arbete reglerat av krisberedskapsförordningen och de identifierade risker som på detta sätt kan ha väsentlig samhällelig påverkan resp. kunna påverka rikets säkerhet. I analysen har ett antal sårbarheter identifierats, kopplade till de riskscenarierna med högst riskvärde:

  • Internetförbindelser till/från PTS ur funktion beroende på tekniskt fel hos ISP resp. PTS med konsekvens bortfall bedöms som medelhög risk

    - Sårbarhet avs. handhavande av programvaror
  • Virusattack (riktad resp. allmän) mot PTS i syfte att lamslå, förstöra resp. läcka information bedöms som hög risk

    - Sårbarhet avs. handhavande och förståelse hos myndighetens medarbetare
  • Spridning/förvanskning av känslig frekvensinfo via PTS-anställd bedöms som medelhög risk.
    - Sårbarhet i åtkomstkontroll, loggning samt handhavande )

PTS har utgående från analysen identifierat ett antal åtgärder som genomförda skulle minska resp. eliminera de påvisade sårbarheterna.

Elektronisk kommunikation är en mycket viktig del av dagens samhälle, för privatpersoner, företag och olika typer av organisationer. Nätsäkerhets-händelser som påverkar överförda och genererade informationstillgångars tillgänglighet, konfidentialitet och riktighet kan därmed påverka ett eller flera samhälleliga skyddsvärden negativt.

I risk- och sårbarhetsanalysen för elektronisk kommunikation identifieras och värderas de hot som kan få nationella konsekvenser. Här konstateras att bränder i vissa försörjningstunnlar, långvariga nationella elavbrott och tillgänglighetsattacker är de tre största riskerna. Fel och brister i hantering, programvara och hårdvara samt avbrott i förbindelser kan fortfarande leda till allvarliga avbrott men bedöms vara låga risker.

PTS har genomfört och planerar flera åtgärder som på olika sätt kan minska risker i elektronisk kommunikation och som kompletterar operatörnas nätsäkerhetsarbete.
Analysen för postsektorn PostNords verksamhet för att tillhandahålla (del av) den samhällsomfattande posttjänsten har kartlagts utifrån dess kritiska processer, kritiska resurser och kritiska beroenden. I den här rapporten ligger fokus enbart på processen "Producera Brevtjänst" och dess ingående sex huvudaktiviteter – i det följande benämnt "den samhällsomfattande posttjänsten". De sex huvudaktiviteterna är "Ta emot", "Förbereda sortering", Uppsamlingssortera", "Spridningssortera", "Förbereda utlämning" och "Lämna ut". Hot och risker har analyserats per kritisk resurs utifrån sannolikhet och hur allvarliga konsekvenserna skulle bli enligt ovan nämnda bedömningsgrunder. Av uppenbara skäl har alla detaljer i den av operatören gjorda analysen inte fullt ut redovisats utan har i flera fall aggregerats till en högre nivå. Detta har dock inte påverkat de i rapporten redovisade huvudslutsatserna.

Resultatet visar övergripande att transporterna mellan terminaler i aktiviteten "Spridningssortera" generellt är den mest sårbara länken i kedjan. Detta då risker kopplade till denna kritiska aktivitet har något högre sannolikhet än andra samt att störningar snabbt kan leda till allvarliga konsekvenser. Störningar i resterande delar av aktiviteterna "Spridningssortera" och "Uppsamlingssortera" kan också relativt snabbt leda till allvarliga konsekvenser men sannolikheten för att identifierade risker ska inträffa är lägre och beredskapen är något högre. Aktiviteterna "Inhämtning" och "Utdelning" av postförsändelserna har bedömts som de minst sårbara då de är så starkt decentraliserade att sannolikheten för att en större störning ska inträffa är låg samtidigt som beredskapen för att hantera störningar är bedömd som god.