Incidenthantering

Höjningen av terrorhotnivån ska fungera som en signal till alla berörda samhällsaktörer om vikten av att fortsätta arbeta med åtgärder för att minska risken för att ett terrorattentat ska inträffa. Mer information finns att läsa på Säpos webbplats.

Här finns vägledningar från Myndigheten för samhällsskydd och beredskap, MSB, som kan hjälpa i det förebyggande arbetet mot attentat och terrorhot, med checklistor samt verktyg för planering av kontinuitet.

Vägledning ”Säkerhet i offentlig miljö, skydd mot antagonistiska hot och terrorism”

Om kontinuitetshantering, från MSB:s webbplats

För att en verksamhet ska kunna fungera effektivt behövs kontroll över tillgångarna och då särskilt kontroll över informationen. Det krävs säkra lösningar som skyddar tillgångarna. Det handlar om trygghet i form av tilltro till den egna organisationens säkerhet och förmåga, samt att vara förberedd på det oväntade.

Detta är incidenthantering

Förmågan att återställa normal tjänstedrift så snabbt som möjligt och minimera negativ påverkan på verksamheten och därmed säkerställa att överenskomna tjänstenivåer av kvalitet upprätthålls. För att lyckas krävs standardiserade förfaranden för ett effektivt ingripande, analys, dokumentation, löpande hantering och rapportering av Incidenter.

Det handlar om att öka verksamhetens uppfattning av incidenter genom kommunikation till medarbetarna för ett professionellt förhållningssätt, som snabbt kan lösa och kommunicera incidenter när de inträffar. Desuttom att anpassa Incidenthanteringsaktiviteter och prioriteringar med verksamhetens aktiviteter och prioriteringar och se till att behålla användarnas tillfredsställelse med kvaliteten på varsamhetens tjänster.

Grundläggande begrepp

1. Incident: ett oplanerat avbrott i en IT-tjänst eller reduktion i kvaliteten hos en IT-tjänst. Fel i en konfigurationsenhet som ännu inte påverkat tjänsten är också en Incident. 
2. Allvarlig incident: ofta en separat procedur, längre tidsramar och större angelägenhet. 
3. Tidsramar: tidsramar måste sättas för de olika stegen i Incidenthanteringsprocessen och tydligt kommuniceras till alla inblandade i supporten. Tidsramar är ofta kopplade till en eventuell eskalering av incidenten konsekvenser och efterföljder.

Incidentutredning – att tänka på

Leverantörer av samhällsviktiga tjänster ska utan onödigt dröjsmål rapportera incidenter som orsakar störningar som har betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten till MSB. Se föreskrifter om rapportering av incidenter (MSBFS 2018:9) och (MSB 2018–13470) Vägledning om rapportering av incidenter för leverantörer av samhällsviktiga tjänster enligt NIS-regleringen. 

Se även specifikt Incidenthanteringshandboken – tanken är att den ska ligga som fysiskt exemplar på operatörens bord så den är lätt tillgänglig vid en incident. Om incidenten kan antas ha en brottslig grund är det viktigt att leverantören inte bara rapporterar incidenten till MSB utan även polisanmäler det inträffade samt eventuellt aktiverar verksamhetens krisledning för kommunicering av händelsen.

• Vad har hänt? – Identifiera incidenten!
• Incidentrapport till myndighet? – Enligt Säkerhetsskyddet? - Enligt GDPR? – Enligt NIS? 
• Utredningen: – Vilka ska involveras? – Vilken information vill/får vi använda? – Hur säkra bevisningen (tekniskt)? – Polisanmälan? 
• Arbetsrättsliga åtgärder? – Informera facket?
• IT-brott och tvångsmedel
• Proceduren vid rättsliga åtgärder?

Ytterligare information om incidenthantering

Anmälan vid säkerhetshotande händelser - Säkerhetspolisen 

På MSB:s webbplats finns information om incidentrapportering för NIS-leverantörer 

Kontakta MSB/CERT-SE på cert@cert.se eller 010 - 240 40 40

IR-ON (msb.se) rapportering digitalt till CERT- SE