Tillit till IT vid Internetanvändning - PTS-ER-2002:24

2002-11-01

Post- och telestyrelsens uppdrag av regeringen

Post- och telestyrelsen (PTS) har av regeringen fått i uppdrag att regelbundet följa tilliten till IT och följa forskningen inom området. Uppdraget inkluderar att presentera indikatorer avseende informationssäkerhetsområdets utveckling och studera attityder ur olika aspekter som rör säkerhet i samband med Internetanvändning. Avrapporteringen bör innehålla förslag på prioriteringsordning mellan olika indikatorer och förslag på fortsatt inriktning på arbetet inom området.

PTS redovisar i denna rapport

PTS arbete har inriktats på att klarlägga förutsättningarna för att följa utvecklingen inom området och redovisa PTS fortsatta arbete. I rapporten redovisas även en första kartläggning av IT-säkerhetsforskningen i Sverige. Information har inhämtats i en litteraturstudie samt via kontakter med myndigheter, organisationer och experter.

De undersökningar som gjorts avseende IT-säkerhet visar att antalet allmänna sårbarheter i befintliga system ökar, svagheterna i systemen ökar och förmågan att motstå hot minskar. I USA fördubblades antalet IT-incidenter varje år från 1998 till 2001. Däremot finns det inte information om antalet drabbade eller konsekvenserna till följd av IT-incidenter och det är inte möjligt att bedöma om och hur utvecklingen kan skada tilltron till Internet. Det finns därför behov av att följa IT-säkerhetsområdets utveckling på ett strukturerat sätt. En slutsats i denna rapport är att det inte är möjligt att följa utvecklingen i Sverige genom befintlig, öppen och tillgänglig data och statistik inom IT-säkerhet.

En internationell utblick visar att Storbritannien har flerårig erfarenhet av att följa områdets utveckling inom det egna landet. Det finns även gemensamma initiativ inom EU och eEurope följer utvecklingen i medlemsländerna, dock i mycket begränsad omfattning.

I rapporten redovisas exempel på information som är viktig för att följa IT-säkerheten för användare av elektronisk kommunikation över Internet indelat på följande indikatorområden:

• sårbarhet,
• informationssäkerhetspolicy,
• IT-incidenthanteringsgrupper,
• IT-incidenter,
• konsekvenser,
• tekniskt skydd och
• attityder till IT-säkerhet.

PTS uppdrag att följa hur tilliten till IT utvecklas, planeras ske på följande sätt:

• kartläggning av informationsbehovet hos aktörer med intresse av att följa områdets utveckling,
• mätningar avseende tillit till IT planeras ske. En första mätning planeras ske under första halvåret 2003. Resultatet av denna studie kommer att ge en initial indikation på tilliten till IT.
• följa forskningen genom fördjupade kontakter med forskarvärlden,
• rapportera om det fortlöpande arbetet till regeringen den 1 juni 2003.

Arbetet avseende indikatorer planeras ske i dialog med Krisberedskapsmyndigheten, Försvarets materielverk, Försvarets radioanstalt och Statskontoret vad gäller deras angränsande arbete inom IT-säkerhet. Arbetet kommer även att koordineras med de uppdrag PTS har avseende e-handel, IT-incidenter och åtgärder för robusta elektroniska kommunikationer. Indikatorerna bör utformas så att möjligheter finns till internationella jämförelser.

Ambitionsnivån för PTS kommande arbete är beroende av prioriteringar inom verksamhetsgren Tillit-IT. Under det kommande året/åren är det tänkbart att utvecklingen av indikatorer och mätningar kommer att fordra ökade resurser. PTS avser att återkomma i denna fråga under våren 2003.