Nationale cybersikkerhedsinitiativer. Peter Munch Jensen, sektionsleder

Transkript

1 Nationale cybersikkerhedsinitiativer Peter Munch Jensen, sektionsleder

2 Agenda Baggrund: Den nationale cyber- og informationssikkerhedsstrategi og forsvarsforliget Status på den sektorspecifikke cybersikkerhedsstrategi for sundhedsvæsenet Etablering af den decentrale cyber- og informationssikkerhedsenhed i Sundhedsdatastyrelsen Hvilken betydning får indsatserne for sundhedsdatanettet? 2

3 Cybersikkerhed fra et politisk perspektiv Datadiskussion data sikkerhed bevare borgernes tillid Styr på sikkerheden = license to operate Etableringen af et politisk cybersikkerhedsforum for sundhedssektoren Hovedkonklusionen er, at cybertruslen mod Danmark er meget høj, og at der er tale om en vedvarende trussel. Både danske myndigheder og virksomheder er konstant udsat for forsøg på cyberspionage, især fra fremmede stater. Samidig bliver cyberangrebene stadigt mere avancerede, ligesom der sker en spredning af avancerede hackerværktøjer il lere ikkestatslige aktører. FE risikovurdering af Danmark 2017 Hvordan går det med din cybersikkerhed i dag? 3

4 Cybersikkerhed i forsvarsforliget fra januar 2018 Partierne er ( ) enige om at styrke Danmarks cyberforsvar baseret på et løbende opdateret trusselsbillede og et nationalt situationsbillede, som viser truslen mod Danmarks digitale netværk Center for Cybersikkerhed er national it-sikkerhedsmyndighed og står for en forebyggende national rådgivnings- og oplysningsvirksomhed om cybersikkerhed i forhold til både den offentlige og private sektor samt en målrettet indsats i forhold til håndtering af konkrete hændelser. Indsatsen mod cybertrusler forstærkes gennem (uddrag) Bedre beskyttelse mod avancerede cyberangreb, bl.a. ved yderligere udbredelse af det teknisk avancerede sensornetværk Etablering af et døgnbemandet nationalt cybersituationscenter i Center for Cybersikkerhed, der skal medvirke til at skabe bedre overblik over truslerne En væsentlig styrkelse af kapaciteten til at yde en forebyggende og rådgivende indsats i forhold til bl.a. samfundsvigtige offentlige institutioner og virksomheder Der er med forsvarsforliget afsat 1,4 mia.kr. til cyberområdet. Heraf er 500 mio.kr. afsat til yderligere tiltag. 4

5 Ny national cyber- og informationssikkerhedsstrategi Indholdet af den nationale strategi Minimumskrav til statslige myndigheders arbejde med cyber- og informationssikkerhed med udgangspunkt i ISO En samlet informationsportal om cybersikkerhed for borgere, virksomheder og myndigheder sikkerdigital.dk Én indgang til indrapportering af sikkerhedshændelser for borgere, virksomheder og myndigheder på virk.dk Opbygning af overvågningskapacitet i Center for cybersikkerhed, jf. forsvarsforliget Mere fokus på it-sikkerhed på tværs af uddannelser Udbygning af det fællesoffentlige klausulbibliotek til brug for leverandørstyring 5

6 Ny national cyber- og informationssikkerhedsstrategi Indholdet af den nationale strategi Med strategien er finans, tele, energi, søfart, transport og sundhed udpeget som samfundskritiske sektorer For at opbygge stærkere decentral kapabilitet på cyber- og informationssikkerhedsområdet oprettes der for hver af de samfundskritiske sektorer en sektorenhed, der kan bidrage til gennemførelsen af sektorvise trusselsvurderinger, overvågning, beredskabsøvelser, sikkerhedsopbygning, vidensdeling, vejledning mv. I forlængelse af hovedstrategien skal der for hver samfundskritisk sektor udarbejdes en delstrategi, som skal sikre et forsvarligt informationssikkerhedsmæssigt beredskab inden for egen sektor Sektoransvarsprincippet: Den myndighed, der har ansvaret for en opgave til daglig, bevarer ansvaret under cyber- og informationssikkerhedshændelser. Ansvaret for cyber- og informationssikkerhed i sundhedssektoren ligger således hos sundhedssektorens aktører. 6

7 Strategiprocessen for cyberstrategien for sundhedsvæsenet Kommissorium for strategien godkendt i den nationale bestyrelse for sundheds-it i maj måned Arbejdet forankret i en styregruppe med deltagelse af SDS (formand), SUM, Digitaliseringsstyrelsen, KL, Danske Regioner, MedCom, sundhed.dk og Center for cybersikkerhed Sekretariatsbetjenes af SDS og SUM med tæt inddragelse af Danske Regioner Godkendes politisk af KLs og Danske Regioners bestyrelse og af sundheds- og ældreministeren Skal være færdig inden årets udgang 7

8 Sundhedsvæsenet som samfundskritisk sektor Sundhedsvæsenets karakteristika skaber sårbarheder 8

9 Strategiens overordnede sigte kapacitetsopbygning i 4 dimensioner

10 Status på arbejdet med cyber- og informationssikkerhedsstrategien for sundhedsektoren Strategiprocessen falder i 4 dele: Aktivitet 1. Trusselsvurdering En samlet trusselvurdering for sundhedssektoren, som udarbejdes af Center for Cybersikkerhed 2. Sårbarhedsvurdering En sårbarhedsvurdering af sundhedssektoren med udgangspunkt i bl.a. sikkerhedsarkitektur, infrastruktur og systemtekniske udformning samt på den aktuelle trusselsvurdering. 3. Risikovurdering En samlet risikovurdering af sundhedssektoren, der vurderer de forretningsmæssige og økonomiske risici, der er for opretholdelsen af de forretningsmæssige mål ved mulige cyberangreb 4. Formulering af strategi med tilhørende initiativer Udarbejdelsen af en strategi for cyber- og informationssikkerhed på sundhedsområdet. Strategien forventes at få karakter af en handlingsplan indeholdende en række konkrete initiativer og beskrivelser af arbejds- og ansvarsfordelingen i sektoren vedr. cybersikkerhed. Status Offentliggjort i juli Endeligt udkast udarbejdet Endeligt udkast udarbejdet Afsluttes inden udgangen af

11 11 Forventninger til strategiens indhold og øvrige aktiviteter

12 Etablering af en cybersikkerhedsenhed i Sundhedsdatastyrelsen Etablering af decentral cyberenhed i Sundhedsdatastyrelsen, der bl.a. får opgave at Drivende for gennemførslen af strategiens initiativer Etablering af et overblik over hændelser Koordination mellem Center for cybersikkerhed og sektoren, bl.a. i forbindelse med varsler Facilitering af videndeling og erfaringsudveksling på tværs af sektoren Bidrage til gennemførsel af fællesoffentlige sikkerhedstests og beredskabsøvelser Ny afdelingschef for cybersikkerhed: Søren Bank Greenfield starter 1. januar

13 Hvilken betydning får indsatserne for sundhedsdatanettet? Konkrete initiativer vedr. bl.a. end-to-end kryptering og netværkssegmentering Herudover Bliver SDN koblet op på CFCSs nationale cybersituationscenter? Bliver der stillet yderligere sikkerhedskrav til SDN? Kommer der flere beredskabsøvelser? 13

14 14 Sundhedsdatastyrelsen Ørestads Boulevard København S T: E: kontakt@sundshedsdata.dk W: sundhedsdata.dk