Lyckad pilot för säkrare informationshantering

I början av förra året inleddes ett pilotprojekt i nära samarbete mellan Statens servicecenter och Myndigheten för samhällsskydd och beredskap (MSB). Syftet har varit att utreda hur ett tekniskt stöd kan utformas för myndigheter som hanterar information som är skyddsvärd eller sekretessbelagd.

MSB har i dagsläget en föreskrift som reglerar att statliga myndigheter ska jobba systematiskt och riskbaserat med informationssäkerhet i enlighet med ett ledningssystem för informationssäkerhet, LIS. MSB har tagit fram metodstöd för att underlätta för myndigheterna att implementera LIS. När information klassats enligt myndigheternas LIS så omsätts krav till olika tekniska skyddsåtgärder, exempelvis kryptering av kommunikation. MSB bedömde att det behövs ett liknande metodstöd för anpassade och säkra krypto- och it-säkerhetslösningar för information som är skyddsvärd och/eller sekretessbelagd.

Mer om MSB:s metodstöd för LIS

Statens servicecenter erbjöds vara pilot för att se om teoretiska modeller också skulle fungera i praktiken.

– Informationssäkerhet är en av grundpelarna för att kunna leverera kvalitativa tjänster och vi är tacksamma för att genom samverkan få vara med och utvärdera nya sätt att skapa säkra lösningar, säger Lars Grundström, säkerhetschef på Statens servicecenter.

Genom pilotprojektet har nu ett förslag arbetats fram om hur ett tekniskt stöd kan utformas och etableras för myndigheter som hanterar information som är skyddsvärd eller sekretessbelagd.

Håkan Askaner.

Håkan Askaner.

Så genomfördes pilotprojektet

Håkan Askaner på Statens servicecenter har varit projektledare för projektet och förutom Statens servicecenter har MSB, Tieto, FMV/CSEC och Atsec Information security deltagit.

När Statens servicenter i november etablerade sitt kontor i Norrköping testades en utvald säkerhetsarkitektur, VPN-lösning mellan två olika verksamhetsorter. Flera aspekter utvärderades, såsom säkerhet, prestanda, användarupplevelse, kostnader och kompetensbehov.

Dag Ströman, verksamhetsamhetschef på Sveriges Certifieringsorgan för IT-säkerhet (CSEC), säger att avsikten har varit att pröva om väl genomtänkta säkerhetsarkitekturer baserade på certifierade kommersiella it-säkerhetsprodukter kan ge en hög säkerhetsnivå till en överkomlig kostnad.

Testet gav positiva resultat och de it-produkter som utgjort grunden i projektet har uppfyllt detaljerade krav på säkerhet och tillförlitlighet.

Viktiga resultat

Ronny Harpe, ansvarig handläggare på MSB, om projktet:

– Piloten har varit väldigt värdefull för MSB genom att vi med stöd av Statens servicecenter fått möjlighet att omsätta våra teoretiska modeller i praktiken. Piloten har lärt oss på vilket sätt och vilken nivå idén med tekniska rekommendationer kan ge som mest effekt för aktörer i samhället.

Statens servicecenters del i projekt kommer att slutföras under 2018. Därefter kommer MSB att ta ställning till det fortsatta arbetet avseende kunskapsspridning och rekommendationer om tekniska skyddsåtgärder från MSB.