STATUS PÅ IT-SIKKERHED 2018

Transkript

1 STATUS PÅ IT-SIKKERHED 2018 Økonomiudvalgsmøde den IT & Digitaliseringschef Jørgen Brolykke Rasmussen

2 BAGGRUND Den 25. maj 2018 trådte EU-Persondataforordningen i kraft. Vedtagelsen af den nye forordning satte sit præg på 2018 og øgede opmærksomheden på ITsikkerhed. IT & Digitalisering har sammen med forvaltningerne arbejdet med de krav, der stilles til IT-sikkerhed i den nye forordning. Derudover har der vist sig et efterslæb på overholdelse af administrative procedure, som også var gældende i henhold til den tidligere persondatalov. Efterslæbet har været adresseret i 2. fase af implementering af persondataforordningen og vil fortsat være i fokus i I 2018 har Odense Kommune via initiativerne mod cybercrime også påtaget sig et ansvar for at borgere føler sig trygge i brugen af digitale værktøjer/sociale medier mv.

3 TRUSSELSBILLEDET I NATIONALT Center for Cybersikkerhed: Truslen udefra: - Cyberspionage er MEGET HØJ. - Cyberkriminalitet er MEGET HØJ. - Cyberaktivisme er MIDDEL. - Cyberterror er LAV. Det skønnes at ubevidste insidere er involveret i op mod halvdelen af alle sikkerhedshændelser i en organisation Datatilsynets anmeldelser: s bliver sendt til forkert modtager s, der efter intern instruks skulle sendes krypteret, bliver sendt uden Tyveri af udstyr eller dokumenter fra aflåste lokaler, boliger og biler Udskrifter eller udstyr bliver glemt/mistet i det offentlige rum

4 TRUSSELSBILLEDET I 2018 Udefra Identitetstyveri Økonomisk kriminalitet Ondsindet kode Chikane / Spammails Indefra Medarbejdere bevist og ubevist Fejl i IT-løsninger / Dårlig kode IT & Digitalisering og forvaltningerne arbejder løbende med risikominimering og professionel opfølgning på/håndtering af sikkerhedshændelser.

5 ANTAL REGISTREREDE HÆNDELSER Hændelser Beskrivelse Antal Udefra Identitetstyveri Man har elektronisk udgivet sig for en anden 2* Økonomisk kriminalitet Ved brug af it er det lykkedes at få overført penge fra Odense Kommune 0 Ondsindet kode Internetsider, sociale medier og mails mv. som installerer ulovlige programmer på Odense Kommunes netværk 1 Spammails Medarbejderes konti bliver brugt til at sende spam fra. 2* Indefra Personoplysninger lækket Personoplysninger, som er sendt/vist til uvedkommende 13 Uberettiget adgang til data IT-løsninger, hvor der er givet adgang til personer, som ikke har haft et arbejdsrelevant behov 6 Fejl i IT-løsninger / Dårlig kode Programmer som let giver mulighed for adgang til brugernavn og kodeord 0 Utilsigtet eksponering af data Data ligger tilgængeligt fx på intranet. 1 *- Markering: Antallet er væsentligt højere end registreret

6 IT-SIKKERHEDSARBEJDET I 2018 Administrative foranstaltninger Etablering af egenkontrol Databehandleraftaler med eksterne leverandører Initiativer cybercrime: Børn- og ungeområdet (Dilemmarejsen) IT-Sikkerhedsforedrag for Ældre Implementering af EU persondataforordningen (særskilt slide) Deling af data: Brugen af Dropbox er stoppet pga manglende databehandleraftale.

7 IT-SIKKERHEDSARBEJDET I 2018 Tekniske foranstaltninger Blokering af usikre og malware inficerede hjemmesiderlogin i Office 365 hvor logges der ind fra geografisk Applocker ( whitelist af programmer og internetsider) To-faktor-login (Forberedelse til 100 % implementering i 2019) Opgradering til Windows 10 Skift kodeord (nem app til at oprette nyt kodeord) Overvågning/alarm: cpr-numre i ukrypterede mails besked til afsender! Sikring af borger pc ere på biblioteker Opstart på etablering af Dmarc-standard Mobile Device Management (MDM - Airwatch) på Smartphones Kryptering af harddiske på alle mobile enheder

8 IMPLEMENTERING AF EU-PERSONDATAFORORDNINGEN Den 25. maj 2018 trådte EU-Persondataforordningen i kraft. 1. halvår 2018 har man gennemført 1. fase: Ansættelse af Databeskyttelsesrådgiver Uddannelse af medarbejdere via web-kursus (inkl. opfølgning og onboarding Informationsrundtur i forvaltningerne Risikovurderinger Fortegnelser I august 2018 påbegyndtes 2. fase: Opdatering af projekt- & implementeringsorganisation Etablering af administrativt Informationssikkerhedsudvalg: Stabschefforum Tydelig governance: Ansvaret for IT-sikkerhed er i ledelsesstrengen Opfølgning på retningslinjer og procedurer Håndtering af efterslæb/oprydning.

9 CYBERCRIME PROJEKTET Afsæt: Resultater af undersøgelsen af unge fra 2017 Indsats: Sund digital familie I efteråret 2018 blev der lagt særligt fokus på, hvordan forældre til teenagere kan hjælpe deres børn med at skabe og opretholde sund digital adfærd og vaner. De voksne er nemlig stadig for de fleste unge vigtige influenter i deres liv. SUND DIGITAL FAMILIE -havde tre rul: Kendskab, handling og vane. Det primære element i indsatsen var en adfærds-informeret digital samtalestarter: Dilemmarejsen, der skabte nye kontekster for samtaler i de fynske hjem, og understøttede gode vaner. Før Dilemmarejsen kørte en kampagne for at øge kendskab og sætte fokus på digital adfærd på de sociale medier og via bannere og plakater i bybilledet, det havde også til formål at generere flere leads for tilmelding. Odenses familier med teenagere blev inviteret til at deltage via eboks.

10 SUND DIGITAL FAMILIE Fase 1 KENDSKAB Fase 2 HANDLING Fase 3 VANE KENDSKAB OG FØRMÅLING/PRØVEHANDLING: - Fokusgrupper og Interviews - Prøvehandling med over 40 famlier - Introvideo med Borgmesteren - 3 Familie videoer Facebook opslag i indsatsperioden - Outdoor plakater - Bushangere - Kontakt via Intranet på skolerne - Medieomtale - E-boks brev HANDLING: - Sign-up - Dilemmadashboard - 3x Nyhedsmails - 3x Dilemmaer - Ulovlig billeddeling - Mobning - Hacking og personlig sikkerhed - SMS-service / m. reminder SMS er - Familie aftaler VANE: - Diplom for deltagelse - M. gode råd - Takkebrev fra Borgmesteren - Afslutningssurvey

11 INITIATIVER MOD CYBERKRIMINALITET DILEMMAREJSEN SUND DIGITAL FAMILIE EFTERÅRET 2018: Hver syvende odenseanske familie med teenagere deltog og de har tilsammen lagt 1213 nye konkrete handleplaner for fremtidige svære situationer online. De 3 nyhedsmails med vejledning om lovgivning havde en åbningsrate på 54% Næsten hver femte deltagende familie valgte at gennemføre alle 3 dilemmaer og Dilemmarejsen har skabt samtaler, som de deltagende familier ellers ikke ville have haft. Dilemmarejsen har været omtalt i 25 nyhedsmedier, herunder artikler i Jyllandsposten, Fyens Stiftidende, Politiken.dk og indhold på DR P3 Nyhederne og DR P4 Fyn og P1. Via interviews og surveys danner der sig et billede af stor tilfredshed med indsatsen blandt de deltagende. Således erklærer 90% sig enige eller meget enige i at rejsen har været en positiv oplevelse i det afsluttende survey, mens 74% melder at de som familie er blevet klogere på den gældende lovgivning, der gør sig gældende for de unge online. Stor efterspørgsel i forhold til at udvide målgruppen til Tweens Fra prøvehandlingen konstateres unge som konkret har ændret adfærd, bl.a. at få sat nye koder på deres mobiler og øge opmærksomheden på deres sikkerhedsadfærd online Ved at sætte fokus på sund digital adfærd har Odense Kommune således formået at skabe en ny kontekst for samtaler, udbredt ny viden, samt fået voksne og børn til at diskutere og planlægge deres digitale liv på nye måder. Således er der skabt grobund for sundere digitale familier i byen.

12 ØKONOMIUDVALGETS EFFEKTMÅL STØRRE DIGITAL TRYGHED HOS BORGERE