Så här rapporterar du it-incidenter

Så här rapporterar du it-incidenter

Rapporteringen består av två delar, en så kallad notifiering där ni meddelar oss om incidenten och en slutrapport. Notifieringen ska göras inom sex timmar från det att incidenten har identifierats och slutrapporteringen ska göras inom fyra veckor.

Notifiering

En notifiering ska göras inom sex timmar från det att en incident har identifierats. Myndigheten anses ha upptäckt it-incidenten när information om den hanteras i utpekad intern process för hantering av it-incidenter eller när säkerhetsansvarig eller motsvarande fått kännedom om incidenten.

Enligt huvudregeln ska notifieringen i första hand göras digitalt via verktyget IRON. Vid behov av stöd ska den rapporterande myndigheten underrätta CERT-SE vid MSB om incidenten via telefon på: 010-240 40 40

Inloggning och autentisering i verktyget IRON sker med hjälp av BankID eller Freja eID. Genom att logga in i IRON ges tillgång till de formulär som finns för incidentrapportering. I notifieringen och den efterföljande slutrapporten ska anges vad som inträffat och vilken påverkan incidenten haft på den egna verksamheten.

Om bedömningen är att incidenten även haft påverkan på leveransen av en samhällsviktig tjänst bör rapportering i enlighet med NIS-direktivet även göras.

Rapportering i enlighet med NIS-direktivetOm IRON-verktyget inte är tillgängligt så kan rapportering ske skriftligt. Incidenten ska vid dessa fall notifieras inom sex timmar via telefon till CERT-SE på nummer 010-240 40 40.

Rapporten skickas då med rekommenderat brev till:

Myndigheten för samhällsskydd och beredskap
CERT-SE
Box 6081
171 06 Solna

Det är viktigt att MSB står först i adressen, därefter CERT-SE. Skicka inte med personlig utlämning då vi kan få problem att hämta ut posten.

Lägg rapporten med informationen i ett separat kuvert inuti försändelsekuvertet (kuvert i kuvert).

Alternativt kan rapporten lämnas, adresserad till CERT-SE, personligen till vakten i MSB:s reception i Solna på Terminalvägen 14.

Till IRON-verktyget

Notifieringen ska svara på följande frågor:

• Vad har hänt?
• Hur och när upptäcktes problemet?
• Vilka parter är inblandade i incidenthanteringen?
• Finns det en brottsmisstanke och har en polisanmälan upprättats?

Notera att MSB vidarebefordrar inrapporterade incidenter som antas ha sin grund i brottslig handling till Polismyndigheten, där en polisanmälan kommer att upprättas. CERT-SE samverkar nationellt och sprider varningar och rekommenderade åtgärder till berörda parter, och kan vid behov erbjuda stöd samt organisera samverkan mellan parter som behövs i incidenthanteringen.

Incidentrapportering för statliga myndigheter

Slutrapport

En slutrapport ska skickas till MSB, via IRON-verktyget, inom fyra veckor. Slutrapporten ska beskriva när it-incidenten inträffade, när incidenten upptäcktes, och om den är pågående eller avslutad.

Den som lämnar rapporten ska också bedöma omfattning och eventuella konsekvenser av it-incidenten. Upptäcker ni som rapporterande myndighet att uppgifter om kategorier, omfattning och konsekvenser varit missvisande eller felaktiga ska ni komplettera eller korrigera rapporten så snart som möjligt.

Eftersom it-incidenter kan påverka säkerheten hos statliga myndigheter är det viktigt att informationen är rätt. Det är också viktigt eftersom informationen som lämnas är utgångspunkt för hela samhällets informationssäkerhet.

Fyll i rapporteringsformuläret som finns tillgängligt i verktyget IRON. Formuläret innehåller funktioner som stödjer myndigheten i att fylla i svaren på ett korrekt sätt.

Om IRON-verktyget inte är tillgängligt så kan slutrapportering ske skriftligt. Formulär för att rapportera statliga myndigheters it-incidenter finns här: 

Formulär för att rapportera statliga myndigheters it-incidenterSlutrapporten skickas då med rekommenderat brev till:

Myndigheten för samhällsskydd och beredskap
CERT-SE
Box 6081
171 06 Solna

Det är viktigt att MSB står först i adressen, därefter CERT-SE. Skicka inte med personlig utlämning då vi kan få problem att hämta ut posten.

Lägg rapporten med informationen i ett separat kuvert inuti försändelsekuvertet (kuvert i kuvert).

Alternativt kan rapporten lämnas, adresserad till CERT-SE, personligen till vakten i MSB:s reception i Solna på Terminalvägen 14.

Fördjupad analys och komplettering

Om det finns misstankar om att de it-incidenter som har rapporterats kan få snabb spridning eller omfattande konsekvenser för samhället kan en fördjupad analys behövas.

Kompletterande uppgifter kan också begäras in för att avgöra om it-incidenter som olika myndigheter har rapporterat in har något samband eller om de exempelvis har orsakats av samma anledning. Syftet med att komplettera uppgifter kan också vara för att kunna begränsa skada och förebygga liknande it-incidenter i samhället.

Olika sätt att skicka in rapporten på

Beroende på vilken sekretess slutrapporten omfattas av kan olika rapporteringsvägar användas. Det är den rapporterande myndigheten som gör bedömningen. Det är också möjligt att personligen lämna in slutrapporten, adresserad till CERT-SE.
Det görs till vakten i MSB:s reception i Solna på Terminalvägen 14.

Rapportera i verktyget IRON

I första hand ska notifieringar och slutrapportering av it-incidenter ske i verktyget IRON.

Skicka med mejl

Om slutrapporten inte omfattas av sekretess skickas den med mejl till rapport@it-incident.se.

Vid behov kan PGP-kryptering användas:

CERT-SE:s publika PGP-nyckel  Det går även bra att skicka rapporten med rekommenderat brev eller värdepost.

Rekommenderat brev

Rekommenderat brev används för rapporter som omfattas av sekretess enligt 18 kapitel 8 § eller 18 kapitel 13 § i offentlighets- och sekretesslagen, OSL (2009:400) och som inte rör Sveriges säkerhet.

Rapporten skickas i kuvert i säkerhetspåse som rekommenderat brev till:
MSB
CERT-SE
Box 6081
171 06 Solna

Det är viktigt att MSB står först i adressen, därefter CERT-SE.

Signalskydd eller värdepost

Rapporter som omfattas av sekretess på grund av skydd av Sveriges säkerhet ska i första hand rapporteras via signalskyddssystem (MGS, MGM). Det är system som Försvarsmakten har godkänt för att skydda säkerhetsskyddsklassificerade uppgifter.

Om det inte är möjligt skickas rapporten i kuvert i säkerhetspåse som värdepost till:
MSB
CERT-SE
Terminalvägen 10
171 73 Solna.

Det är viktigt att MSB står först i adressen, därefter CERT-SE.

Så skyddar MSB din information

Sekretess

Precis som för andra myndigheter styrs MSB:s hantering av information av handlingsoffentlighet och sekretess. Den information som kommer till MSB i samband med it-incidentrapportering utgörs av olika kategorier av information, där delar av den kan omfattas av sekretess medan andra delar kan vara information som normalt inte omfattas av sekretess.

Den information som kommer till MSB kan vara av olika slag men ger i många fall upplysningar om en organisations it- eller kommunikationssystem. Om MSB bedömer att det finns en risk att säkerhetsarbetet försvåras om informationen röjs finns det stöd i lagen att sekretessbelägga sådan information. Sekretessbestämmelsen innebär också en tystnadsplikt för MSB:s medarbetare och brott mot denna är straffsanktionerat.

Vilken information som kan omfattas av sekretess och inte beror till stor del på sammanhanget, vilket gör att informationen som inkommer behöver bedömas. Exempelvis kan bara själva uppgiften om att en organisation har utsatts för en allvarlig incident i sig utgöra känslig information, då andra myndigheter eller organisationer som har liknande brister också kan riskera att utsättas innan riskerna har hunnit åtgärdas.

Om en uppgift begärs utlämnad gör MSB därför en prövning av sekretessen. Det är MSB som självständigt prövar frågan och MSB:s beslut att neka utlämnande kan överklagas till Kammarrätten.

Fördjupad information om hur MSB skyddar informationen finns i faktabladet Så skyddar MSB din information.

Så skyddar MSB din information

Säkerhet

Det är avgörande att information hanteras säkert i rutiner och verktyg. Den information som kommer till MSB ges ett kvalificerat skydd genom rutiner och processer som säkerställer ett korrekt hanterande av informationen samt system med hög teknisk säkerhetsgrad.