Kl Indledning v. Lone Strøm, Rigsrevisor

Transkript

1 Kl Indledning v. Lone Strøm, Rigsrevisor Kl Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul, it-revisor og Michael Kubel, kontorchef i Rigsrevisionen Kl :10 Status på cybersikkerheden Hvordan ser det ud med cybersikkerheden primo 2017? v. Thomas Lund-Sørensen, chef for Center for Cybersikkerhed Kl Kaffepause Kl Rigspolitiets arbejde og erfaringer med styring af it-sikkerhed Hvordan arbejder Rigspolitiet med styring af it-sikkerheden hos deres it-leverandør og hvilke erfaringer har de gjort sig? v. Lars Borgeskov, sektionsleder - sikkerhed, Koncern IT Rigspolitiet Kl Spørgsmål og afrunding på dagen v. Mads Nyholm Jacobsen, kontorchef i Rigsrevisionen

2 Beretning om styring af it-sikkerhed hos it-leverandører, nov Ved kontorchef Michael Kubel og it-revisor Claus Bobjerg Juul 2

3 Agenda Beretningen og dens fokus. (MK) It-sikkerhed ved it-outsourcing og hvor kan staten gøre det bedre? (MK) Leverandørstyring. (CJU) Systemet og it-infrastrukturen Adgangsstyring og logning i lagene Revisorerklæringer og kontrol af it-sikkerhed To eksempler Risikovurderinger Bilag : Hjemmelsgrundlag vedr. risikovurdering af it-infrastruktur. 3

4 Beretning om styring af it-sikkerhed hos it-leverandører, november 2016 Formål: Vi undersøgte, om myndighederne har styret it-sikkerheden ved outsourcing til eksterne leverandører. 5 it-revisioner hos myndigheder, der har outsourcet it-drift (Rigspolitiet, SKAT, Styrelsen for Arbejdsmarked og Rekruttering (STAR), Digitaliseringsstyrelsen og Søfartsstyrelsen). 6 it-systemer der er outsourcet. (Pasregistret, Tast Selv Borger, Nyt TastSelv Erhverv, Det fælles datagrundlag (DFDG), NemID og Skibsregistret). OBS! Beretningen handler ikke om it-leverandørernes it-sikkerhed i praksis. 4

5 Beretning om styring af it-sikkerhed hos it-leverandører, november 2016 Vi undersøgte: Myndighedernes risikovurderinger som grundlag for it-styringen hos itleverandøren (it-infrastrukturen), herunder om myndigheden fx har stillet.. krav om revisorerklæring fra it-driftsleverandøren og mulighed for kontrol af it-sikkerheden krav til adgangsstyring og har fulgt op herpå krav til logning og har fulgt op herpå. Vi gennemgår ikke resultaterne yderligere da disse fremgår af beretningen. Henvisning til beretning: med Statsrevisorernes bemærkning og ministrenes svar til beretningen. 5

6 It-sikkerhed ved it-outsourcing udfordringer Statslige myndigheder outsourcer it-drift i vidt omfang: Fordi det giver fordele i forhold til, fx: Økonomi, kvalitet, tekniske løsninger og organisering men Myndigheden har stadig ansvaret It-infrastrukturen kobles til leverandørens netværk Nye risici fx via delte services el. pga. svage kontroller Væsentlig reduceret kontrol med it-funktionerne Styring og kontrol sker typisk via kontrakt, serviceaftale, el. revisorerklæring Kontraktændringer bekostelige - Nye krav om it-kontroller skal forhandles. 6

7 It-sikkerhed ved it-outsourcing hvor kan staten gøre det bedre? Myndighedens grundlag for at stille krav til leverandøren, fx Opdatere trusselsvurdering/kendskab til egne sårbarheder = opdateret risikovurdering. Indgående kendskab til det miljø / de processer, der outsources. Risikovurdering af leverandørens itinfrastruktur (i samarbejde m. leverandøren). Stille krav til nødvendige it-kontroller. Præcisere krav til it-leverandøren: Logiske / tekniske tiltag, fx Adgangskontroller. Password (stærke). Logning generelt / specifikt. Opbevare logdata hvor længe? Backup restore beredskab. Platforme, server, netværk mv. Opdateringer af infrastruktur. Konsulenter er dyre dette er gratis: Vejledninger fra Digitaliseringsstyrelsen /Center for Cybersikkerhed. Rigsrevisionens beretninger. Sikre tilstrækkelige kompetencer. 7

8 Systemet og it-infrastrukturen Bruger interaktion Forretningslogik Data opbevaring System understøttende platform Platform til optimering af udnyttelsesgrad Selve maskinen Netværk til kommunikation Datacenter/serverrum 8

9 Adgangsstyring og logning i lagene 9

10 Revisorerklæringer og kontrol af it-sikkerhed Generel Systemspecifik 10

11 Eksempel 1: Krav om og opfølgning på adgangsstyring Krav om, at leverandøren begrænser sine medarbejderes adgang ud fra et arbejdsbetinget behov. Tolket som at det ikke omfattede den fysiske lokation. Opfølgning via generel revisorerklæring. 11

12 Eksempel 2: Krav om og opfølgning på logning Generelt krav om at handlinger i databasen logges. Tolket som at det ikke omfattede leverandørens medarbejdere. Ingen opfølgning. 12

13 Risikovurderinger Der er sammenhæng mellem risici og foranstaltninger og vice versa. For hver foranstaltning er der mindst én risiko, der reduceres. De(n) risici skal fremgå af risikovurderingen. 13

14 14

15 Hjemmelsgrundlag for risikovurdering herunder it-infrastruktur. Forskellige henvisninger: Dansk IT Sikkerhed ved it-outsourcing (quickguide), Digitaliseringsstyrelsen og Center for Cybersikkerhed - Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift, Digitaliseringsstyrelsen - Guide til implementering af ISO27001 (Professionel styring af informationssikkerhed), 2015 Digitaliseringsstyrelsen - Vejledning i it-risikostyring og -vurdering,