Det vil sige at IS skal beskytte forskningsdata, medarbejderdata og administrative data. Disse data (informationer) findes på KU i form af:

Transkript

1 KØBENHAVNS UNIVERSITET Bestyrelsesmøde nr. 87 d. 31 januar 2017 Punkt 8. Bilag 1. Københavns Universitets bestyrelse SAGSNOTAT 6. JANUAR 2017 Vedr. Status på informationssikkerhed på KU Sagsbehandler Poul Halkjær Nielsen NØRREGADE 10 POSTBOKS 2177 Hvad er informationssikkerhed? På KU arbejder vi ud fra begrebet informationssikkerhed. I dagligdagen forkortet IS. IS styres ud fra et management system, hvorfor dette ofte forkortes ISMS. Informationssikkerhed dækker alle de typer informationer vi har på KU og i alle de former de findes. Det vil sige at IS skal beskytte forskningsdata, medarbejderdata og administrative data. Disse data (informationer) findes på KU i form af: Fysiske genstande som museumsgenstande, biobanker, jordprøver, isborekerner og planter herunder genetisk modificerede samt f.eks. myrekolonier Lydoptagelser af tale og talefejl, dialekter, samtaler og dyrelyde Billeder i form af fotografier, røntgen, af dyr, planter, mennesker og ting Papir med informationer af enhver karakter fra fortid og nutid Digitaliserede og behandlede data 1017 KØBENHAVN K TLF DIR MOB pohn@adm.ku.dk REF: PHN Det er KU s fortid, nutid og fremtid, der ligger i disse informationer. Informationerne skal beskyttes mod at de: Stjæles, tabes eller ødelægges Forringes bevidst eller ubevidst Kommer til uberettigedes kendskab

2 Nogle af informationerne er decideret underlagt krav om beskyttelse via lovgivning som Persondataloven. Der kan også være tale om kontraktlige forpligtelser med ubegrænset økonomisk erstatningspligt indgået decentralt med samarbejdspartnere. SIDE 2 AF 7 Formålet med informationssikkerhed Formålet med et ISMS er at sikre, at det er ledelsen, der udstikker retningslinjerne for KU s sikkerhed, og at der på KU er fokus på IS. For at ledelsen kan styre et ISMS, har de brug for, at der også sker et tilbageløb af informationer vedrørende hændelser, trusler og behov på KU og at ISpolitikken vedligeholdes tidssvarende. For at forstå IS-arbejdet er det vigtigt at kende til de trusler, der er helt virkelige mod KU s viden forskning og undervisning. Truslerne Truslerne mod KU s informationer kommer både indefra og udefra. Det ligger i den meget frie og selvbestemmende KU-kultur at skader, der i mere stramt drevne organisationer ville være usete eller havde kunnet forhindres, vil forekomme oftere. Sammenholdt med Center for Cybersikkerheds nye rapport om truslerne mod vores sektor, tegner der sig et billede af at risikoen for, at KU bliver ramt af spionage eller angreb, der forstyrrer vores ITinfrastruktur og informationer, er stor. Rapporten fra Center for Cybersikkerhed og Informationssikkerhedschefens vurdering af den er vedlagt i bilag 2 og 3. Her er givet nogle eksempler på de hændelser vi er udsat for: Kryptering af fællesdrev med forskningsdokumenter fordi en forskers udstyr ikke var opdateret. Der er mærkeligt nok ingen betalingsmulighed/krav og data må blot genetableres med en uges arbejdstab I en falsk mail, såkaldt CEO fraud, beder Rektor om at få lynoverført et stort beløb. Grundet årvågne sekretærer stoppes det og var det gået videre ville de administrative procedurer have fanget det. På et søsteruniversitet lykkes det næsten En mailkonto spreder mail med en mærkelig overskrift. Inde i mailen ligger en zip-fil som vedhæftning. Mailen skal åbnes, zip-filen pakkes ud og indholdet, et MS Office dokument, skal åbnes for at udløse ondsindet kode der igen sender en ny udgave af mailen videre til andre brugere. Mailen åbnes af flere brugere og den muterer til fire forskellige udgaver på KU på kort tid

3 Data uegnet til deling deles i stor stil på interne delingsplatforme, hvor det er slutbrugeren, der står for at give adgang Data, der er lagret på en server aftalt uden backup og tydeligt markeret Ingen Backup, må genskabes fra ødelagte diske af et eksternt firma mod betaling Et serversetup installeres uden backup i et serverrum, der er udfaset af IT. Udstyret lider under en vandskade og udstyr og data tabes Data med personfølsomme og KU-vitale data overføres uden de lovpåkrævede aftaler for vurdering og sikkerhed for data til en ekstern tredjepart Der underskrives i gennemsnit en (1) databehandleraftale hver uge på et af fakulteterne, der forpligter KU til at leve op til en standard vi ikke ved, om vi lever op til og giver eksterne revisionsret til os. En revisionsret og indsigt i området vi ikke giver os selv internt SIDE 3 AF 7 Samlet set er KU s trusler indefra- og udefrakommende aktører, juridiske og økonomiske samt imagemæssige. ISO27001 standarden og arbejdet med denne For at beskytte KU mod alle disse trusler er vi ved at implementere ISO27001 standarden. Den forudsætter en aktiv stillingtagen fra ledelsen til, hvilke risici KU står overfor, hvordan de kan minimeres, og hvad der kendetegner en organisation som KU i forhold til minimering af risici. Der er tale om en såkaldt risikobaseret tilgang. For at beskrive vores risici skal der fremad derfor oftere udarbejdes og tages stilling til risikovurderinger og deres konsekvenser af økonomisk, juridisk, proceduremæssig og teknisk karaktér. For at beskrive forretningen KU er der udarbejdet en risikoprofil i et tværfakultært samarbejde med udpegede repræsentanter fra alle fakulteter. KU s risikoprofil er vedlagt i bilag 4. Risikoprofilen viser vores aktuelle bekymringer for, hvad der truer KU. Risikoprofilen er også vores prioriteringsvejledning, som skal hjælpe alle, når der skal prioriteres en indsats for at beskytte informationer. Alt kan ikke beskyttes på én gang og truslerne udvikler sig hele tiden, hvorfor der kræves løbende justeringer. KU s aktuelle sikkerhedsniveau KU s niveau er blevet vurderet af KPMG i forbindelse med opstarten af ISO27001 arbejdet, hvor man skal kortlægge, hvor modne vi er på de 114 standardkontroller, der ligger til grund for ISO standardens best practice

4 kontroller. KPMG fandt at KU ligger lavt modenhedsmæssigt. Uddannelsessektoren ligger generelt lavt. SIDE 4 AF 7 En analyse af netværkstrafikken lavet i samarbejde med KPMG og CISCO og hvor 18 danske organisationer deltog, herunder et søster universitet, viste, at KU havde over havdelen af alle suspekte trafikbevægelser ind- og udgående. I volumen taler vi enkeltstående aktiviteter ind og ud af KU s netværk på en måned. En analyse viser, at vores brugere har samme mønster som brugere i andre organisationer med i løbet af en arbejdsdag at besøge hjemmesider, der er kendte infektionssider. Det er sider, som man ved inficerer maskiner med ondsindet kode (malware) eller som er forbundet med anden kriminalitet. Fra vores tekniske mailsikringsfilter kan vi se, at vi modtager i gennemsnit en stykker god mail per døgn. På dårlige dage kan vi blokere for over 6 millioner stykker SPAM og omkring 1000 mail med decideret kendt malware (ondsindet kode) på samme døgn. Da vores brugere har ekstensive rettigheder til deres udstyr for ikke at hindre forskningen, kan en skade gribe meget om sig. Typisk tager vi et tab, laver en restore og gør så ikke mere. Ovenstående er nok kendetegnene for det miljø, der eksisterer på et universitet, og det viser, at der er en række trusler, som skal håndteres. Håndteringen af informationssikkerheden skal ske i balance med universitetets særkender og åbenhed og de værdier vi har, som skal beskyttes. Hvad ser revisionen på Revisionen ser alene på en lille del af KU s samlende systemer og informationer og forholder sig ikke til alle de systemer og samlinger som er grundlaget for KU s forskning, viden og eksistensgrundlag. Revisionen forholder sig til sikkerheden omkring de økonomisk bærende systemer og det på et ret ukomplet grundlag, da de kun taler med en lille del af brugerne og IT-ansvarlige. Trods dette finder revisionen alligevel punkter, som KU har svært ved eller ikke er organiseret til at lukke. Derfor indstilles det, at ledelsen accepterer, at den risiko er kendetegnene for KU og ad den vej lukker revisionspunkterne. Der er krav KU skal leve op til Gennem lovgivningen stilles der minimumskrav til KU s ageren. Det er aktuelt gennem regnskabs- og persondatalovgivningen. Persondataloven står over for udskiftning med indførelsen af EU s Dataforordning, der får fuld

5 effekt den 25.maj 2018, om vi er klar eller ej. Og den stiller krav til skriftlighed og dokumenterbar ledelse ud fra en risikobaseret tilgang. SIDE 5 AF 7 Fra samarbejdspartnere møder KU krav om at leve op til ISO27001 og krav om revision. Det forudsætter, at vi har procedurer på plads på skrift og kan eftervise, at vi lever op til dem, så revisionen kan gennemføres efter forskrifterne. KU modtager finansiering fra eksterne kilder som EU, der i Horizon2020 programmet stiller krav om datamanagementplaner, og at der er styr på sikkerheden. Det er blevet et konkurrenceparameter at have dokumenteret styr på sine data og leve op til loven og anerkendte standarder. Det er en forudsætning for at kunne: indgå aftaler med f.eks. Regionerne om sundhedsdata til forskning vise at vi lever op til fonde og andre samarbejdspartneres krav så de føler sig trygge og juridisk sikre ved at indgå aftaler og overlade deres data i vores varetægt leve op til EU s Dataforordning Hvad gør vi på KU For de mest afgørende krav sker følgende på KU. ISO27001 baseret revision af IS-politikken: Der er et projekt i gang under Informationssikkerhed, hvorfra der snart bliver publiceret en ny IS-politik på dansk og engelsk samtidig. Politikken tager udgangspunkt i den risikoprofil, der blev udarbejdet til formålet, og at der skal tages stilling til samtlige 114 standardkontroller i ISO- standarden. KU s Direktion har godkendt projektet og herefter forestår på taktisk niveau, at den administrative ledelse (AL) fortolker, hvordan og hvad der skal til for at KU kan leve op til de krav, der stilles. Projektet tager højde for at understøtte EU s Dataforordning samt Datamanagement kravene til forskningen. Projektet vil bidrage til, at KU mere proaktivt kan beskytte sig og sit. EU s Dataforordning: Forordningen stiller krav til dokumenterbarhed i skriftlig form. Forordningen flytter byrden over på KU for at bevise, at vi er modne nok til at behandle data, og dette bevis skal ske gennem dokumentation af: Dataejerskab Dataflow Procedurer

6 Risikoanalyser, herunder vurdering af systemer og lokalers egnethed Eftervisbar uddannelse og instruktion af medarbejderne SIDE 6 AF 7 Og oprettelse af en Databeskyttelsesrådgiver funktion. Dokumentation skal foreligge på forhånd. Der er mulighed for politianmeldelser, bøder og personlig ansvarliggørelse af ledelsen gennem retssager. Der er derfor igangsat et projekt, der skal sikre, at KU kan være så forberedt som muligt til denne kultur- og organisationsudviklende forandring som EU s Dataforordning vil medføre. Projektet koordinerer tæt med informationssikkerhedsfunktionen og har sit udspring derfra. Forsknings Datamanagement: På forsknings datamanagement området arbejdes der tvær-universitært med at udvikle et værktøj en guide til at hjælpe forskerne med at klassificere deres data og forskning på rette måde, så de kan udvikle den passende datamanagementplan, som vores sponsorer og samarbejdspartnere forudsætter. Også i dette projekt koordineres der med fra informationssikkerhedsfunktionen, så den kommende politik og fortolkning understøtter forskningsdatamanagement så vidt muligt. Revisionsbemærkningerne: Der arbejdes intenst med at følge anbefalingerne så de kan lukkes. For visse bemærkninger lægges der dog op til, at ledelsen accepterer ikke at kunne følge revisionens anbefalinger og i stedet accepterer, at der er en driftsrisiko ved at drive et universitet under de rammer og traditioner KU eksisterer under. Konkluderende bemærkning KU er fra omverdenen udsat for lovgivningsmæssige krav, som universitetet skal yde en ekstra stor indsats for at leve op til. Standarderne for samarbejde omkring data, der tydeliggøres og kræves af vores samarbejdspartnere, skal hæves til et højere niveau. KU skal yde en indsats for at nå op på det højere niveau, og det kan kræve ændringer i den daglige arbejdsform for alle ansatte og arbejdsområder på KU. Teknologisk er verden blevet mere sofistikeret, og det er muligt at høste fordele af dette, men der er risiko for at blive ramt af ulemperne også. Teknologisk og metodemæssigt vil KU fremad skulle investere i en ændret

7 arbejdsmåde for at kunne få et tidssvarende sikringsniveau og mulighed for at agere rettidigt og forsvarligt. SIDE 7 AF 7