Regeringens pressmeddelande om e-legitimation "kan inte hittas", länken fungerar inte längre efter regeringsskiftet

@jonor jo, vet att det är fler som väntar och vi får förhoppningsvis en konkret slutsats med nästa steg. Men som sagt, lite matt efter förvåningen att ett alternativ som lagts till relativt nyligen i nivå 3 (och som är ett krav för exempelvis EU-inlogg) kan kräva att legitimation behandlas av ATG.

När en del av uppdraget till 31 januari 2023 även innefattar informations- och cybersäkerhet så känner jag kanske att kapacitet inte riktigt finns för att vi kommer få en sådan analys som behövs för att ta nästa steg. Om vi idag inte ser på dessa delar för de aktörer som redan är under tillsyn.

"DIGG ska också analysera vilket tekniskt stöd som behövs för att e-legitimationen ska kunna utfärdas, hur den informations- och cybersäkerhet som krävs ska säkerställas och vilka funktioner som krävs för att e-legitimationen ska kunna användas i förhållande till förlitande parter på ett effektivt, säkert och standardiserat sätt."

@Maria_Dalhage rapportering av sårbarheter i Sverige kan vara krav på enligt NIS och anmälan om att sådan ska ske sker oftast via en av de fem tillsynsmyndigheterna för NIS (beroende på bransch samt om samhällsviktig verksamhet och/eller digital tjänst) men tror all rapportering vid en it-incident sker direkt till MSB. Dit kan också sk frivillig rapportering ske.

MSB har årlig information till allmänheten/branschen i rapportform av lärdomar av It-incidenter som rapporterats till följd av NIS (2021 info här).

Medan den dagliga, veckosamma eller sk "blixtmeddelanden" hänvisar till nyhetssidor och/eller NVD (utan länk). Exempel på veckomeddelande när dataintrång skedde på Naturvårdsverket, enbart hänvisning till svt.

Så det känns som det är helt olika datakällor och att vi såsom systemet är uppbyggt idag inte tillvaratar datan som rapporteringen av NIS innebär. Om vi tar Naturvårdsverket som exempel så förstår jag att vissa uttalanden inte kan göras pga förundersökning, men att få ut information om det är sårbarheter som andra (även i privat sektor) behöver agera på, behöver ske mer skyndsamt än inom ett år. Och just nu får vi endast den inputen utifrån eller av människors goda vilja, om jag förstår processerna rätt.

Notera att jag inte alls berömmer eller tar upp allt gott arbete som görs i forumform och kommunikationsarbete. Utan detta berör bara hur vi samverkar vid en incident och/eller hantering vid kända sårbarheter.

@davidlars snyggt! Lästips om du inte sett är UK som har en ganska bra guide om säker utveckling som är oberoende av produkt/leverantör. De kallar det inte DevSecOps men eftersom de pratar om att säkra "development and deployment" samt hur man jobbar med "continous delivery", "infrastructure as code" och "continually testing" så är de väldigt nära även om det inte är samma stämpel.

De har även gjort ett forskningsprojekt om hur man motiverar utecklare att skriva säker kod och det resulterade i ett toolkit.

Hej!
Data om sårbarheter och cybersäkerhetsanalys finns öppet eller semi-stängt (hålls inom landet men öppet mellan privat och offentlig sektor) i andra länder. Vet vi om något sådant finns i Sverige?

Jag har kollat MSB, nybildade Nationella centret för cybersäkerhet, vårt nationella CSIRT CERT-SE mm och även på privata sidan Tech Sverige m.m. Men har inte hittat någon strukturerad data eller ens api till ostrukturerade analyser/artiklar.

Så undrar om någon vet om vi någonstans nationellt öppet använder API:er från National Vulnerability Database (NVD) mer känt som CVE? Kanske kopplar det till svenska incidenter?

Vet att CERT-SE hänvisar till aktuella CVE i en del nyhetsbrev och rekommendationer t.ex. här, men det är vad jag kan se helt ostrukturerat och manuellt hämtat.

UK har ett "Cyber Security Information Sharing Partnership (CISP) is a joint industry and government digital service to allow UK organisations to share cyber threat information in a secure and confidential environment." (länk om någon vill läsa mer). Det är ju svårt att säga vad för typ av datadelning som är bakom inlogg men "in-depth analysis of cyber threat information" låter i alla fall strukturerat

Ni får flytta eller ta bort om detta inte hör hemma här, är min första nystartade tråd

@Sven-Erik mm, blev lite matt när jag såg det faktiskt. Just nu har vi det dominerande alternativet som ägs av banker och är ganska klartlagt att beroendet har varit för stort. Men det andra alternativet som nu fått nationell e-legitimationstatus (och är ett krav för att logga in på vissa ställen) kräver att ATG (privat spelbolag) behandlar min legitimation.

@Kenneth-Zetterberg väldigt intressant PoC att följa. Bra att ni tog med Boverket. Har gjort liknande inom samma bransch på privata sidan. I offentlig sektor har jag inte jobbat med de processerna men stött på problemen ni diskuterar med försvårad samverkan när det är olika definitioner av kundhändelsetyper som egentligen är samma: mellan olika kommuner, arbetsförmedling och statlig myndighet.

Det vi kom fram till var att framtida funktion (efter PoC) bör vara möjlighet att slå ihop två kundhändelsetyper och att minst två nivåer av händelsetyper var önskvärda redan vid PoC t.ex. "centrala" och "kommunspecifika".

Vidare hade vi en ganska omogen målgrupp när det kom till processer och IT-kravställning så vi utökade scopet med fler kommuner bara för att väga upp och inte bygga en kommunspecifik lösning då den statliga myndigheten var beställare i detta fall. Vi fann det hjälpande att utgå ifrån Ineras process för Kommunal ärendehantering. För det var lättare för dem att ge feedback på en process utifrån hur de jobbar, än att beskriva sin egen rakt av.

@siha hej sissi, jag svarar på denna då jag gissar att återkallat körkort, är liknande skyddsintressen för den personliga integriteten. Jag undar däremot hur det ställer sig i förhållande till de som kör i yrket? Det är ju inte alltid tung trafik utan även vanliga kombiföretagsbilar eller mindre skåpbilar.

Satt i ett projekt tidigare där ett företag hade haft problem att de inte blev meddelade av anställd eller myndighet vid indraget körkort (självklart bryter det mot anställningsavtal, men den anställde är ju ute på vägen i företagsbil ändå). De ville därför se på system som var eventtriggat kopplat till anställda under anställningstiden dvs inte säkerhetsprövning eller belastningsregisterutdrag i början.

I det fallet så var det ett så litet bolag att en administrativ rutin blev lättare att införa. Men det har hängt kvar i mig lite. Tittade snabbt på er hemsida och såg att läkare har en anmälningsskyldighet men undrar om ni har undersökt möjligheten till api (kanske inte helt öppet utan till viss bransch) eller liknande till relevanta branscher kopplat till indraget körkort?

@petjon01 nej, de fick 10 remissvar och har skrivit "första kvartalet 2021" (gissar på typo till 2023). Utkast på förslag finns i länken adrian länkat under "Draft Act"