ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel

Transkript

1 ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel DI ITEK 1787 København V itek.di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik og kommunikation

2 BEHOV FOR STYRKELSE AF DEN OFFENTLIGE INFORMATIONSSIKKERHED Dårlig informationssikkerhed i den offentlige sektor er en trussel mod digitaliseringen i Danmark. Den dårlige offentlige sikkerhed er også en trussel mod de data, som virksomhederne skal afgive til det offentlige. Derfor ønsker DI, at Regeringen sætter fokus på at forbedre sikkerheden. Der er grund til bekymring. Rigsrevisionen har kritiseret, at basale sikkerhedskrav ikke efterleves. Datatilsynet kritiserer løbende tab af data hos forskellige offentlige aktører, og offentlige systemer og registre hos både offentlige og private leverandører er blevet kompromitteret. Analyser af implementeringen af sikkerhedsstandarden ISO27001 hos forskellige offentlige aktører viser, at der er rum til forbedring. Samtidig øges truslerne i disse år. Undersøgelser peger på, at målrettede angreb fylder mere i trusselsbilledet end tidligere. En del af disse angreb kommer ifølge Forsvarets Efterretningstjeneste fra statslige aktører, der bruger internettet til at spionere. Samtidig stiger mængden af kendte sårbarheder, der er stor stigning i kompromittering af digitale identiteter, og mange borgere og virksomheders computere er inficerede med såkaldte BOTS. 1 Derfor har DI samlet en række bud på, hvilke indsatser regeringen skal tage for at styrke informationssikkerheden i samfundet. Der er grundlæggende for lidt fokus på sikkerhed hos topledelsen. Ledelsen har ansvaret for, at den digitalisering, der iværksættes, behandler data på en sikker måde. Derfor skal der skabes incitamenter i form af KPI er og bøder, som sikrer, at lederne får den fornødne opmærksomhed på problemstillingen. Ledernes midler til at opnå dette er at sikre, at sikkerhedsstanden, ISO27001, efterleves ved at gennemgå og følge op på den tjekliste med konkrete kontroller, som standarden anbefaler. Pointen er ikke, at der altid skal vælges et meget højt sikkerhedsniveau til at beskytte alt. Pointen er, at ledelsen skal forstå risici og sørge for at der bliver valgt et sikkerhedsniveau, der svarer til risikoen. Der følges op på, at dette sikkerhedsniveau efterleves ved at gennemgå kontrollerne. Foruden kontrollerne anbefaler DI også, at der anvendes moderne metoder og teknologier til at beskytte data. Beskyttelse af data skal designes ind i systemerne, der skal anvendes teknologier, som beskytter data, og vi skal have en ny fleksibel digital 1 FE, Center for Cybersikkerhed: Truslen i cyberspace, FE, Efterretningsmæssig risikovurdering 2013, Symantec Internet Security Threat Report, IBM, X-Force, ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 2

3 signatur. Med ledelsesforankring, anvendelse af standarden og anvendelse af moderne metoder og teknologier kan data placeres overalt i verden ud fra en konkret vurdering af risici. Vi håber, at regeringen vil begynde at tage sikkerhed seriøst og indarbejde en række af disse foreslåede tiltag i de digitaliseringsudspil, som vil udkomme det næste halve år: Moderniseringsudspillet, Digitaliseringsstrategien, Regeringen har allerede taget vigtige skridt med Vækstplan for Digital Vækst og Cybersikkerhedsstrategien, der begge er udkommet i december ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 3

4 OPSTIL OPERATIONELLE SIKKERHEDSTILTAG OG FØLG OP Regeringen bør sikre, at ejerne af de offentlige it-systemer operationaliserer deres sikkerhedstiltag således, at der kan kontrolleres på sikkerhedsniveauet, og således at Datatilsynet, Rigsrevisionen og andre relevante myndigheder kan følge op på uregelmæssighederne. Når den offentlige sektor iværksætter it-projekter, stilles der på sikkerhedsfronten som regel kun overordnede krav om overholdelse af ISO27001 og persondataloven. Dette er uanset om systemerne hostes in-house, eller om der vælges en leverandør i den private sektor. Kravene til informationssikkerhed operationaliseres ikke i kontrolmål og kontroller. Der foretages ikke i fornødent omfang en systematisk opfølgning af kontrollerne fra ISO27001, ligesom der ikke i tilstrækkelig grad tages hensyn til eventuelle anmærkninger fra revisorer. Der tænkes heller ikke nok på sikkerhed i de indledende faser af it-projektarbejdet. Der skal med udgangspunkt i de tiltag, som nævnes i ISO27001, stilles konkrete kontrolmål til sikkerheden i en it-løsning og til de mennesker og processer, som omgiver den. Kontrolmålene skal operationaliseres i kontroller, som bl.a. bør inkludere risikoanalyse, dataklassifikation, udarbejdelse af sikkerhedspolitikker og retningslinjer, adgangskontrol og autorisation, to-faktor autentifikation, mulig anvendelse af kryptering, penetrationstests, funktionsadskillelse og logning. Der skal foretages opfølgning og indhentes dokumentation for, at kontrollerne virker. Kontrolmål, procedurer, kontroller og opfølgning skal afspejle risiko. Der bør lægges vægt på, om leverandørerne er proaktivt transparente med hensyn til dokumentation af den informationssikkerhed, de kan tilbyde. Kravene til systemerne og implementeringen af kontrollerne bør specificeres så tidligt i et itprojekt, som muligt, således at sikkerhed ikke bliver et fordyrende add-on til en dårligt designet løsning. Rigsrevisionen eller Datatilsynet bør få til opgave mindst én gang årligt at gennemgå kontrollerne ved større offentlige it-systemer. INFORMATIONSSIKKERHED SKAL FORANKRES HOS TOPLEDELSEN Regeringen skal gennem incitamenter som KPI er og evt. bøder sikre, at ansvaret for organisationens informationssikkerhed forankres hos topledelsen. FAKTA Der er generelt ikke tilstrækkelig forankring af informationssikkerheden hos topledelsen. Herunder er topledelsen ikke tilstrækkeligt opmærksom på at sikre, at der sker en operationalisering af sikkerheden i kontrolmål, kontroller og tilvejebringelse af en sikkerhedskultur. Kontrolmål er de overordnede sikkerhedsmål, der opstilles - f.eks. at der skal være adgangskontrol. Kontroller er en operationalisering af kontrolmålet på en form, hvor man kan tjekke op på om målet er implementeret - f.eks. at brugere, der har forladt organisationen ikke længere kan tilgå systemerne. ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 4

5 Informationssikkerhed betragtes i mange sammenhænge som en teknisk disciplin. Sikkerhed omhandler imidlertid også mennesker og processer, og for at få en helhedsorienteret tilgang til sikkerhed skal disse forhold også adresseres. Standarden skal forankres hos topledelsen, som skal sikre, at kontrolmålene operationaliseres i konkrete kontroller og procedurer. Der skal laves incitamenter til lederne, så det bliver en del af deres KPI. Der kan også evt. introduceres administrative bøder til organisationer, som ikke har implementeret ISO27001 og persondataloven på en fornuftig måde. Kontrolmål og kontroller skal ikke alene forstås som en teknisk disciplin. Der skal jf. ISO27001 også etableres kontroller i forhold til mennesker og processer. OBLIGATORISK SIKKERHEDSSTANDARD I HELE DEN OFFENTLIGE SEKTOR Regeringen skal sørge for, at sikkerhedsstandarden, ISO27001 bliver obligatorisk at anvende i kommuner og regioner, ligesom den er i staten. Sikkerhedsstandarden ISO27001 er obligatorisk at anvende i staten. Imidlertid er den frivillig at bruge i kommuner og regioner. Det betyder, at ikke alle aktører i den offentlige sektor er forpligtet til at bruge standarden. Standarden sikrer, at brugerne kommer rundt om alle aspekter af sikkerhed. Uden en standardiseret tilgang er det sandsynligt, at der er sikkerhedshuller i it-systemerne. ISO27001 bør gøres obligatorisk overalt i den offentlige sektor også hos kommuner og regioner. Standarden er indrettet således, at ledelsen skal tage stilling til alle tænkelige sikkerhedskontroller, der er omtalt i standarden. Man skal imidlertid kun implementere de kontroller, som er relevante. Derfor er ISO27001 nyttig at anvende for alle. ANVEND MODERNE METODER OG TEKNOLOGIER TIL AT BESKYTTE DATA Regeringen må kræve, at der ved alle offentlige it-projekter laves en risikovurdering, og at der på baggrund af denne inddrages de nødvendige moderne metoder og teknologier til at beskytte data. Rigsrevisionen eller Datatilsynet bør vurdere og vejlede om hvilke moderne metoder og teknologier, som bør tages i anvendelse. Når der tages initiativ til it-projekter, laves der ofte en juridisk vurdering af, om projektet er i overensstemmelse med fortolkningen af lovgivningen. Der tages som hovedregel ikke stilling til de konkrete risici, som eksisterer på et givent tidspunkt. Der tages heller ikke stilling til, om projektet kan designes på en måde, som er mindre indgribende for borgerens ret til privatliv. Det er relevant, når it-projektet gælder et system, hvori der behandles personoplysninger. På denne baggrund bliver ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 5

6 sikkerhedselementet i it-projekter bagudskuende og hænger fast i historiske fortolkninger af ældre lovgivning fremfor at få bragt moderne metoder og teknologier i spil. DI har igennem flere år arbejdet for, at man i højere grad begynder at anvende privacy impact assessment, privacy by design og privacy enhancing technologies for at højne sikkerheden, når der behandles personoplysninger. Der er kun sket i meget begrænset omfang. En af årsagerne er, at der er tilbageholdenhed hos bl.a. Datatilsynet med at stille obligatoriske krav om at bruge disse redskaber. Moderne metoder og teknologier skal anvendes til at sikre data. Anvendelsen af metoderne og teknologierne skal tage udgangspunkt i en risikovurdering. Dette vil give en langt bedre sikkerhed, end vi opnår i dag. En række af de datatab, som har været meget omtalt i offentligheden på det seneste, ville kunne have været udgået. Der skal være rum til, at eksisterende lovgivningsmæssig fortolkningspraksis kan justeres, således at der kan skabes et incitament til at tage metoderne og teknologierne i anvendelse. Der er behov for, at Rigsrevisionen eller Datatilsynet vurderer og vejleder om hvilke metoder og teknologier, som kan anses for at være tilstrækkeligt modne til, at skulle gøres obligatoriske at anvende eller kan anbefales at anvende ved fremtidig anskaffelse eller udvikling af eksisterende it-systemer. Krav og kontroller samt metoder og teknologier skal løbende justeres i takt med udviklingen af trusselsbilledet og de teknologiske muligheder. På den måde vil man sikre, at der løbende stilles nye tidssvarende krav til it-systemer. FAKTA Moderne metoder og teknologier dækker især tre elementer: Privacy Impact Assessment, som er en risikoanalyse ved at en organisation behandler personoplyser set fra den registreredes synspunkt. Privacy by Design, som betyder at man designer beskyttelse af data ind i it-systemet. Privacy Enhancing Technologies, som dækker over en gruppe af teknologier, der kan designes ind i itsystemet. Teknologierne inkluderer bl.a. rollebaseret adgangskontrol, anonymisering og kryptering. DATA SKAL KUNNE PLACERES OVERALT I VERDEN Regeringen bør arbejde for, at der ikke opstilles begrænsninger på, hvor i verden data kan placeres. På baggrund af risikoanalyser og anvendelse af teknologier kan data principielt ligge sikkert overalt. Der har i offentligheden været en del afsløringer af forskellige former for overvågning på internettet tillige med omtale af forskellige statssponserede gruppers og organiserede kriminelles forsøg på uretmæssigt at tilegne sig data. På den baggrund har vi set en forstærket international politisk tendens til at stille krav om, at data skal lokaliseres inden for et bestemt geografisk område. Dette vil begrænse mulighederne for at anvende it-løsninger som f.eks. cloud computing. En sådan begrænsning vil ikke nødvendigvis give en bedre sikkerhed. FAKTA Kryptering er en teknologi, som sikrer at data ikke umiddelbart kan læses af dem der får adgang til data. Kun de betroede personer, som har adgang til den nøgle der har krypteret data, kan læse dem. ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 6

7 Data og systemer ligger bedst der, hvor deres beskyttelse svarer til de risici, som de står overfor. Derfor er løsningen ikke at lægge begrænsninger på den geografiske placering. Geografi har sikkerhedsmæssigt alene betydning for tilgængeligheden. Løsningen er på baggrund af en risikovurdering at stille krav om anvendelse af stærke sikkerhedstiltag, som beskytter fortrolighed on integritet. Nogle af de sikkerhedstiltag, som har størst effekt i denne sammenhæng er kryptering. Kryptering har den effekt, at kun personer med adgang til krypteringsnøglen kan læse data. BAK OP BAG EU-KOMMISSIONENS FORSLAG TIL PERSONDATAFORORDNING Regeringen bør bakke op om EU-Kommissionens forslag til ny persondataforordning, som sikrer harmonisering af reglerne og stiller krav om anvendelse af moderne metoder og teknologier til at beskytte it-systemer og data. Den nuværende lovgivning for beskyttelse af personoplysninger er lavet på et tidspunkt, hvor der ikke var den store anvendelse af digitale personoplysninger, som vi ser i dag. Lovgivningen har derfor vanskeligt ved at blive fortolket i forhold til denne udvikling. Bl.a. stilles der som nævnt ikke krav om anvendelse af privacy impact assessment, privacy by design og privacy enhancing technologies. Fortolkningspraksis i de forskellige lande er forskellig, og det betyder store omkostninger for virksomheder, som opererer i forskellige EU-lande. For borgerne skaber det usikkerhed om, hvilke regler der gælder. Det er vigtigt, at forordningen adresserer de områder, som kan harmonisere reglerne og give reel bedre sikkerhed. I det nuværende forordningsudkast er der en række tiltag, som er meget byrdefulde i forhold til deres forventede effekt. Regeringen bør bakke op bag EU Kommissionens forslag til ny persondataforordning. Forordningen indeholder en række positive tiltag vedrørende privacy impact assessment, privacy by design og privacy enhancing technologies, som netop er nogle af de moderne metoder og teknologier, som DI ønsker bliver bragt i anvendelse. Forordningen vil også sikre den nødvendige harmonisering på tværs af landegrænserne, dels fordi der er tale om en forordning, og dels fordi der gennem den foreslåede sammenhængsmekanisme sikres en fælles bindende fortolkningspraksis i landene. Det bør dog bemærkes, at teksten i forordningen bør justeres på en række områder, særligt i forhold til bødestørrelser, informationsforpligtelsen, dokumentationsforpligtelsen og den obligatoriske data protection officer. DI har uddybet sine bemærkninger til forordningens indhold i vores høringssvar. ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 7

8 MERE FLEKSIBEL DIGITAL SIGNATUR Digitaliseringsstyrelsen bør sikre, at næste generation digital signatur bliver langt mere fleksibel at bruge og således giver adgang til forskellige grader af identifikation. Den nuværende digitale signatur er en ufleksibel alt eller intet løsning, som ikke giver borgere og virksomheder muligheder for at styre de forskellige egenskaber (attributter), der er tilknyttet signaturen. Samtidig har signaturen ikke mulighed for at fastsætte forskellige grader af sikkerhed på baggrund af et konkret behov og en konkret risikoprofil. Det betyder, at signaturen har en række begrænsninger i sin anvendelse, og dermed ikke forløser det potentiale, en sådan signatur kunne have som infrastrukturkomponent. Det forhold, at signaturen alene udbydes af én leverandør, betyder også, at der ikke er konkurrence på området dette på trods af at mange aktører internationalt kæmper om at blive identity provider på tværs af tjenester og platforme. Næste generation digital signatur bør give borgere og virksomhed større fleksibilitet med hensyn til anvendelse af signaturens egenskaber (attributter). For det første er det oplagt, at borgerne kan bruge signaturen uden at identificere sig, således at man kan oprette et pseudonym eller rækker af afledte identiteter fra signaturen som f.eks. over 18 år, gyldigt kørekort eller dækket af sygesikring. FAKTA En digital signatur vil typisk indeholde eller kunne tilknyttes en række egenskaber om den person, som signaturen vedrører f.eks. køn og alder. Signaturen kan imidlertid tilknyttes alle mulige egenskaber f.eks. gyldigt kreditkort og ren straffeattest. For det andet bør signaturen for virksomheder kunne indrettes så fleksibelt, at man kun behøver én signatur, og at der til denne kan tilknyttes forskellige roller på tværs af forskellige CVR-numre. For det tredje bør signaturen indrettes således, at den kan afspejle flere sikkerhedsniveuaer, der fastlægges på baggrund af en konkret risikovurdering i de forskellige tjenester. For det fjerde bør den fremtidige løsning indrettes således, at den kan inkorporere de grupperinger af egenskaber (attribut-ontologier), som standardiseres af markedsaktørerne. Dette vil sikre muligheder for samarbejde på tværs af nationale grænser. For det femte er det vigtigt, at der sikres fleksibilitet med hensyn til opbevaring af nøgler, således at man kan vælge den opbevaring, som man har mest tillid til. Endelig bør man sikre, at der er flere udbydere af digital signatur, således at der skabes konkurrence på området, og således at brugerne kan vælge den leverandør, de har mest tillid til. Markedet er i gang med at udvikle en række kombinationer af egenskaber, som kan tilknyttes signaturer og mere generelt digitale identiteter. ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 8

9 FREMTIDSSIKRING AF CPR-SYSTEMET Indenrigsministeriet bør arbejde for, at CPR-nummeret fremtidssikres og aldrig i sin nuværende form bruges til autentifikation og autorisation. Det nuværende CPR-system har fungeret glimrende til at identificere borgere og sammenkoble data på tværs i it-systemer. Imidlertid er der med tiden sket et skred, hvor man foruden at identificere sig også autentificerer og autoriserer borgere på baggrund af CPR-nummeret. Det er nummeret ikke lavet til, da nummeret i sig ikke udgør en sikkerhedsforanstaltning. Det forhold, at nummeret bruges til autentifikation og autorisation, gør, at it-kriminelle ser fordele i at bemægtige sig andre medborgeres CPR-nummer med henblik på at begå identitetstyveri. I løbet af 2014 har der været gentagne eksempler, som viser, hvor let det er at få adgang til andre menneskers CPR-nummer. Det er lettere at gætte et CPR-nummer, når nummeret indeholder køn og alder. CPR-nummerets anvendelse er dermed med til at underminere tilliden til digitaliseringen. CPR-nummeret må aldrig bruges til autentifikation og autorisation. Når man skal autentificere og autorisere kan man passende forlade sig på et af sikkerhedsniveauerne i den næste generation digitale signatur jf. anbefalingen ovenfor. CPR-systemet skal videreudvikles og fremtidssikres, således at det fortsat kan fungere som et sikkert fundament for digitaliseringen af Danmark, samtidig med at borgernes data beskyttes bedst muligt. En videreudvikling betyder bl.a., at køn og alder bør fjernes fra CPR-nummeret, således at disse to parametre ikke kan bruges til at gætte på en persons identitet. FAKTA Identifikation er et postulat om, at man er en bestemt fysisk person. Postulatet kan fremføres f.eks. ved at nævne et CPR-nummer eller ved at vise et pas. Autentifikation er den proces, som gennemgås for at verificere, at det fremsatte postulat er korrekt. Ved mundtligt at nævne et CPR-nummer er det ikke muligt at verificere, men det sker ofte alligevel. På baggrund af verifikationen kan man opnå rettigheder til noget, f.eks. ved fremvisning af pas kan man få lov til at rejse ind i Danmark. Dette kaldes autorisation. INFORMATIONSSIKKERHED OG PRIVACY IND I UDDANNELSESSYSTEMET Undervisningsministeriet samt Uddannelses- og Forskningsministeriet skal arbejde for, at informationssikkerhed bliver bedre integreret på alle niveauer i uddannelsessystemet. Unge mennesker agerer agilt i den digitale verden og bruger online tjenester til at lege, være sociale, købe ind og bygge og udvikle deres identitet. Det er godt. Men en stor gruppe unge får også dårlige oplevelser på nettet i form af mobning, tyveri eller misbrug af data og immaterielle aktiver. De kommer også jævnligt til at profilere sig på en uheldig måde en måde, som de senere fortryder, men ikke kan gøre ugjort. En stor gruppe har ikke de nødvendige forudsætninger for at vurdere, hvad der er sikkert, og hvordan de beskytter deres personlige oplysninger. ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 9

10 På de videregående uddannelser er det nødvendigt, at der også tilvejebringes mere viden om informationssikkerhed og beskyttelse af personoplysninger. I forhold til de tekniske uddannelser er der et stort behov for at få flere eksperter uddannet til jobs i it-sektoren, it-sikkerhedssektoren og til offentlige myndigheder. I forhold til andre uddannelser er det også nødvendigt at tænke sikkerhed f.eks. jurister, som skal omgå deres klienters data, læger, som skal omgås deres patienters data og journalister, som skal omgås data fra deres kilder. Sikkerhed skal gøres til et obligatorisk element i Folkeskolen. Hvis unge ikke får viden om demokratiet, ved de ikke, hvorfor demokratiet er værd at støtte, og hvordan de kan indgå i den demokratiske beslutningsproces. Hvis unge ikke får viden om sikkerhed, ved de ikke, hvordan de skal beskytte deres udstyr og data, og de får dermed måske dårlige oplevelser ved og manglende tillid til digitaliseringen. Der bør udarbejdes undervisningsværktøjer, som lærerne kan bruge i undervisningen for også selv at komme på niveau med udviklingen og tackle trusselsbilledet bedst muligt. Forankring af viden om informationssikkerhed og værdien af privatlivsbeskyttelse i folkeskolen vil måske også kunne bidrage til større interesse for dette område og dermed forhåbentlig i større interesse for at tage en uddannelse på dette område. Også på de videregående uddannelser bør informationssikkerhed have større fokus. Der skal laves en målrettet indsats for at få tekniske studerende til at tage fag inden for informationssikkerhed. Desuden skal informationssikkerhed enten integreres i eksisterende fag på de videregående uddannelser, eller også skal der udbydes et obligatorisk tværfagligt sikkerhedsmodul af f.eks. 10 lektioners varighed, som forklarer, hvordan man beskytter udstyr og data. MERE VIDEN OM INFORMATIONSSIKKERHED TIL BORGERNE Regeringen skal bibringe borgerne mere viden om informationssikkerhed gennem kampagner og konkret rådgivning. Hvad er udfordringen? På trods af den omfangsrige digitalisering og forventninger om, at borgerne tager offentlig digitalisering til sig, er der alt for lidt fokus på at sikre borgernes udstyr teknisk og på at bibringe borgerne viden om, hvordan de opfører sig fornuftigt på nettet og foretager deres egne risikovurderinger. Der har eksempelvis været flere historier fremme om, at borgeres brugernavn og password til forskellige online tjenester er blevet opsnappet, og deres indhold fra tjenesterne lagt ud på det åbne internet. Dette sker på trods af, at de pågældende tjenester ikke i sig selv var blevet kompromitteret. Borgerne skal have adgang til tilstrækkelig viden om, hvordan de sikrer deres computere, de tjenester de bruger, og hvordan de opfører sig fornuftigt på nettet. Konkret indebærer dette kampagner for at borgerne installerer sikkerhedspakker med bl.a. antivirus og firewall. Det indebærer også, at brugerne får gode råd til at udforme og opbevare passwords og stille krav om evt. ekstra faktorer af sikkerhed, i de tjenester de ønsker at bruge. Endelig indebærer det, at borgerne formår at lave ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 10

11 deres egne risikovurderinger af, om de vil anvende en given tjeneste, og i givet fald hvilke data det er rimeligt at afgive til tjenesten. Der bør ske en styrket indsats i forhold til at rådgive borgerne om informationssikkerhed. En borgerrettet rådgivningstjeneste kunne bidrage til at løfte behovet for mere viden hos borgerne. MERE VIDEN OM TILLID TIL HÅNDTERING AF PERSONOPLYSNINGER Der er behov for at der tilvejebringes mere viden om, hvordan offentlige myndigheder sikrer borgere og virksomheders tillid til håndtering af data. Ligeledes skal denne viden formidles og bruges i praksis. Anvendelse af nye teknologiske muligheder er noget af det, som har det største vækstpotentiale for danske virksomheder og for det danske samfund. Anvendelsen af personoplysninger eller andre følsomme data kan imidlertid resultere i modstand mod og manglende tillid til teknologierne hos dem, der registreres, desuagtet at data kunne anvendes til det fælles bedste. Der er ikke tilstrækkelig viden om, hvordan man skaber tillid. Kendskabet, til den viden der er, er ikke særlig udbredt. Anvendelsen af denne viden er heller ikke særlig udbredt. Der er behov for mere viden om, hvordan man kan designe løsninger og anvende personoplysninger og andre følsomme data, uden at tilliden til digitale løsninger sættes over styr. Denne tillid kan påvirkes via f.eks. gennemsigtighed, gennem anvendelse af pseudonymisering, anonymisering m.v., samt ved at tillade borgerne kontrol med, hvornår de kan tillade anvendelse af deres data, og hvornår de ikke kan. DI opfordrer til, at der afsættes midler til forskningsprojekter om, hvordan man kan forbedre tillid til håndtering af personoplysninger. Resultaterne skal formidles offentligt, så de kan bruges både i den offentlige og i den private sektor. Resultaterne skal indgå i arbejdet med fremtidige digitaliseringsløsninger, herunder allerede ved udbuddet af sådanne. ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 11

12 AFSKAFFELSE AF RETSFORBEHOLDET SKAL MULIGGØRE ØGET BEKÆMPELSE AF GRÆNSEOVERSKRIDENDE KRIMINALITET Regeringen bør arbejde for en afskaffelse af retsforbeholdet således, at Danmark kan indgå i et forbedret internationale samarbejde om bekæmpelse af it-kriminalitet. Meget af den it-kriminalitet, som rammer danske interesser, har rod i udlandet. Selv om der eventuelt foretages anmeldelse til politiet, kan det være næsten umuligt at fange bagmændene. Samarbejdet mellem de forskellige landes politi er for dårligt. Anmeldelser til politiet betragtes desuden af mange virksomheder som bøvlet, og med minimal chance for at de skyldige fanges. Når man foretager anmeldelse til den lokale politikreds, vil det typisk være vanskeligt at finde nogen, som har de rette kompetencer til at behandle anmeldelsen. Skulle en sag endelig føres ved danske domstole, er det vanskeligt for anklagemyndigheden og for domstolen selv at forestå og forstå de ofte meget tekniske beviser, der fremlægges. Der skal ske en forbedring af det internationale samarbejde mellem politimyndigheder. Dette vil bl.a. kunne styrkes ved, at Danmark afskaffer retsforbeholdet på EU-området, så vi fuldt ud kan indgå i politisamarbejdet vedr. it-kriminalitet i EU. Tilsvarende bør der ske et forbedret samarbejde mellem cybersikkerhedsmyndigheder, således at de kan dele early warnings med hinanden, som der er lagt op til EU Kommissionens forslag i Network Information Security Directive. Regeringen bør bakke op bag dette forslag til direktiv. Kompetencerne i de enkelte politikredse skal forbedres, eller også skal systemet for anmeldelse af it-kriminalitet ændres. Formålet er at give en oplevelse af, at sagen behandles, at der er en vis chance for at fange forbryderen, og dermed at det hæver risikoen ved at være kriminel. Desuden skal der ske en forbedring af de informationssikkerhedsmæssige kompetencer hos anklagemyndigheden og hos dommerne gennem målrettede universitetsuddannelser. ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 12

13 EUROPÆISK FOKUS PÅ SIKRING AF PRODUKTIONSSYSTEMER Regeringen bør, som en hjælp til erhvervslivet og sikkerheden i det danske samfund, arbejde for en europæisk fokusering på sikkerhed i produktionssystemer. Danske virksomheder har rimelig fokus på sikkerhed i de administrative systemer. Tilsvarende har de mulighed for på det private marked at købe løsninger til at håndtere de trusler, de står overfor i overensstemmelse med deres risikovurdering. I forhold til produktionssystemer (Industrielle Kontrol Systemer, ICS) er der imidlertid ikke nødvendigvis tilstrækkelig fokus. Da ICS kontrollerer væsentlige dele af de produktionssystemer, som udgør den kritisk infrastruktur (f.eks. elektricitet og varme), vil det være meget nyttigt at få sat fokus på dette område. Der er behov for, at regeringen arbejder for, at EU får større fokus på dette område. Det foreslås, at regeringen laver en målsætning om at få etableret en fælleseuropæisk organisation, der kan udsende early warnings om ICS-sårbarheder og angreb (EU ICS CERT). Tilsvarende bør regeringen sikre, at der sker en koordination mellem USA og EU i forhold til udvikling og promovering af ICS-sikkerhedsstandarder som f.eks. NIST800-82, således at regionerne ikke går enegang og laver hver deres sæt af standarder. Endelig ville det være nyttigt, hvis man på europæisk plan kunne etablere et ICSsikkerhedstrænigscenter, hvor sikkerhedsteams kunne modtage træning i at beskytte sig mod hackerangreb efter forbillede fra University of Idaho. NATIONAL VARSLINGSTJENESTE FAKTA Industrielle kontrolsystemer, ICS, er en bestemt type it-systemer bestående af SCADA-systemer og PLC er, som bruges til at styre produktion. ICS-systemer adskiller sig væsentligt fra de administrative systemer, som informationssikkerhed normalt er målrettet. F.eks. er de designet til at have en meget lang levetid og en meget høj tilgængelighed. Der har omvendt hidtil ikke været fokus på integritet og fortrolighed i disse systemer. Denne type systemer, kræver derfor en særlig tilgang for at man kan opnå god sikkerhed i dem. Center fra Cybersikkerhed skal sikre, at deres viden kommer danske virksomheder til nytte. Etableringen af Center for Cybersikkerhed med tilhørende lovgrundlag har betydet, at Danmark nu får adgang til efterretninger, som vi ikke tidligere havde mulighed for. Virksomhederne har imidlertid en oplevelse af, at der kun i begrænset tilfælde tilflyder virksomhederne information om aktuelle trusler og hjælp. Den nationale cybersikkerhedsstrategi bør implementeres, så det præciseres, hvilke roller PET, FE med CFCS og N3C har. Herunder bør det sikres, at der kan tilflyde virksomheder og myndigheder informationer om sikkerhedstrusler, som det private marked ikke i forvejen tilvejebringer. Blandt konkrete tiltag kan det fremhæves, at der er behov for sammen med Center for Cybersikkerhed at lave en erfa-gruppe for vidensdeling og early warnings om ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 13

14 ICS-sikkerhed, således at virksomheder og leverandører også kan få øget fokus på problemstillingen. FAKTA: DI HJÆLPER VIRKSOMHEDERNE DI har gennem mange år arbejdet med informationssikkerhed. Vi udgiver bøger, hæfter, vejledninger og nyhedsbreve om informationssikkerhed. Vi afholder netværksarrangementer for egne og andre organisationers medlemmer. Vi har bidraget til at trække nogle af de største kompetencer i verden til Danmark for at fortælle om informationssikkerhed. Endelig har vi været aktive i den offentlige debat om sikkerhed for såvel borgere som myndigheder. Alle aktiviteterne er stilles gratis til rådighed. Der er således masser af tilbud til virksomhederne for at håndtere god informationssikkerhed. ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 14