Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne

Relaterede dokumenter
Sundhedsministeren. Statsrevisorerne Sekretariatet Folketinget Christiansborg 1240 København K

/2017. November Rigsrevisionens beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

Rigsrevisionens notat om beretning om beskyttelse mod ransomwareangreb

Sundhedsministerens redegørelse til Statsrevisorerne vedr. Rigsrevisionens beretning nr. 11/2017 om beskyttelse mod ransomwareangreb

Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Februar 2016

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Notat til Statsrevisorerne om beretning om kvalitetsindsatser på sygehusene. August 2012

NKOR 2015 Spor 3 - Datasikkerhed 5. november Kontorchef Michael Kubel

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

CFCS Beretning Center for Cybersikkerhed.

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Rigsrevisionen og Cybersikkerhed Revisordøgnet 9. september 2014

Status på de regionalt iværksatte tiltag som opfølgning på Rigsrevisionens beretning om hospitalslægernes bibeskæftigelse

Rigsrevisionens notat om beretning om regionernes brug af konsulenter

Maj Rigsrevisionens notat om beretning om. universiteternes beskyttelse af forskningsdata

Sundhedsministerens redegørelse til Statsrevisorerne vedr. beretning 3/2016 om hospitalslægers bibeskæftigelse af den 9.

Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015

/2017. Februar Rigsrevisionens beretning om beskyttelse mod ransomwareangreb

Finansministerens redegørelse vedrørende Statsrevisorernes bemærkninger til Rigsrevisionens beretning om revision af statsregnskabet for 2013

Understøttelse af LSS til NemID i organisationen

Notat til Statsrevisorerne om beretning om forskningsmidler på hospitalerne. September 2015

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Redegørelse til Statsrevisorerne vedr. beretning 8/2011 om kvalitetsindsatser

Rigsrevisionens notat om beretning om togenes punktlighed

Notat til Statsrevisorerne om beretning om problemerne med at udvikle og implementere Fælles Medicinkort. Februar 2015

Rigsrevisionens notat om beretning om hospitalslægers bibeskæftigelse

Rigsrevisionens notat om beretning om indsatsen over for patienter med hjerneskade

Bilag 7.1 Status på handleplan

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Bilag 1.Talepapir ved samråd i KOU den 8. oktober

Økonomi- og Indenrigsministeriet Ministeriet for Sundhed og Forebyggelse

Beretning til Statsrevisorerne om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Oktober 2015

Notat om revisionsberetning nr. 35 vedrørende revisionen af Region Midtjyllands regnskab for 2015

September Rigsrevisionens notat om beretning om. forskelle i behandlingskvaliteten

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

December Cyberforsvar der virker. Cyberforsvar, der virker

Rigsrevisionens notat om beretning om forebyggelse af hospitalsinfektioner

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?

Rigsrevisionens notat om beretning om regionernes forvaltning af løn til chefer

For så vidt angår Rigsrevisionens konkrete bemærkninger i beretningen, skal jeg bemærke følgende:

Resultatplan SFI - Det Nationale Forskningscenter for Velfærd 2017

Notat til Statsrevisorerne om beretning om Forsvarets lagre. September 2015

Notat til Statsrevisorerne om beretning om udviklingsbistanden til Bhutan og Bangladesh. Februar 2010

Notat til Statsrevisorerne om beretning om sammenhængende patientforløb. Marts 2010

Rigsrevisionens notat om beretning om DSB s indsats for at bygge IC4-togene færdige

Kl Indledning v. Lone Strøm, Rigsrevisor

Notat til Statsrevisorerne om beretning om DONG Energy A/S. September 2015

Marts Rigsrevisionens notat om beretning om. Region Hovedstadens akuttelefon 1813

Rigsrevisionens notat om beretning om forskningsmidler på hospitalerne

> DKCERT og Danskernes informationssikkerhed

Februar Rigsrevisionens notat om beretning om. statens indsats over for køretøjer, der udebliver fra periodisk syn

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

December Rigsrevisionens notat om beretning om. indsatsen over for patienter med hjerneskade

Notat om revisionsberetning nr. 38 vedrørende revisionen af Region Midtjyllands regnskab for 2016

Samrådsspørgsmål E Ministeren bedes redegøre for forløbet vedrørende svindlen med refusion vedrørende

Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ)

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER

Marts Rigsrevisionens notat om beretning om. Patientombuddets arbejde med utilsigtede hændelser

Notat til Statsrevisorerne om beretning om Finansiel Stabilitet A/S. September 2012

Notat til Statsrevisorerne om beretning om hospitalernes brug af personaleresurser. September 2015

Rigsrevisionens notat om beretning om regionernes præhospitale indsats

De to vedlagte notater lægges på aflæggerbordet ved Økonomiudvalgets møde d. 25. februar 2014.

Resultatplan KORA - Det Nationale Institut for Kommuners og Regioners Analyse og Forskning 2017

RIGSREVISIONEN København, den 24. oktober 2006 RN A406/06

Information til nye kunder

Maj Rigsrevisionens notat om beretning om. udredningsretten

3. Menuen Start -> Programs -> OpenVPN åbnes, og "My Certificate Wizard" vælges:

Notat til Statsrevisorerne om beretning om voksnes adgang til psykiatrisk behandling. Oktober 2010

Notat til Statsrevisorerne om beretning om det specialiserede socialområde. statens overførsler til kommuner og regioner i 2012.

Præsentation af Curanets sikringsmiljø

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Oktober Rigsrevisionens notat om beretning om. information og kompensation til togpassagerer ved forsinkelser og aflysninger

Notat til Statsrevisorerne om beretning om DRG-systemet. Februar 2012

December Rigsrevisionens notat om beretning om. Forsvarets forudsætninger for at løse sine opgaver

Temadag Cybersikkerhedi forsyningssektoren Administrative systemer v/henrik Pors

Kvalitetssikring i BBR-arbejdet

Notat til Statsrevisorerne om beretning om regionernes præhospitale indsats. Juni 2014

Rigsrevisionens notat om beretning om. Bygningsstyrelsens anvendelse af totaløkonomi i statslige byggeprojekter

Mål- og resultatplan

Sikker Drift. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Sundhedsministeren. Statsrevisorernes Sekretariat Folketinget Christiansborg

Rigsrevisionens notat om beretning om sygehusbyggerier II

Handleplan for Sundheds-it og digitale arbejdsgange

It-revision af Sundhedsdatanettet januar 2016

Rigsrevisionens notat om beretning om Region Midtjyllands styring af risici og reserver i 2 sygehusbyggerier

Vedrørende Statsrevisorernes beretning nr. 12/2016 om regionernes forvaltning af løn til chefer

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Notat til Statsrevisorerne om beretning om vagtplanlægning i statslige institutioner. August 2015

RIGSREVISIONEN København, den 5. maj 2003 RN B105/03

CPR-administrationen har en målsætning om, at datakvaliteten i CPR til stadighed skal opleves som værende høj blandt CPR-systemets brugere.

Rigsrevisionens notat om beretning om energibesparelser i staten

Sikker Drift. Sikker Drift Light. Sikker Drift Standard. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Bilag til dagsordenspunkt "Revisionsberetninger for regnskabsåret 2015"

Juni Rigsrevisionens notat om beretning om. rettidigheden i indsatsen over for kræftpatienter

Transkript:

Til Sundheds- og Ældreministeriet Dato: 1. februar 2018 Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne Region Hovedstaden har kontinuerligt fokus på at forbedre og øge it-sikkerheden i takt med udviklingen i trusselsbilledet. Derfor tager Region Hovedstaden også Rigsrevisionens konklusioner og Statsrevisorernes udtalelser meget alvorligt og prioriterer at få løst de problemer, som Rigsrevisionen påpeger. En af de store udfordringer for alle, der arbejder med it-sikkerhed, er, at trusselsbilledet forandrer sig konstant, da der er tale om stigende organiseret cyberkriminalitet samt stadig mere kreative og dygtige hackere. Derfor har Region Hovedstaden blandt andet implementeret systemer, der kan identificere kendte sikkerhedsrisici og minimere risiko for skadelig adfærd. Ligesom der sker monitorering af regionens internetforbindelse døgnet rundt. Region Hovedstaden vurderer og implementerer løbende nye sikkerhedstiltag for at styrke opbygning af en robust it- og sikkerheds-arkitektur. I dette arbejde inddrages regionens sikkerhedspartnere, ligesom der løbende via partnerne sker en afprøvning af sikkerhedstiltag. Regionen videndeler samtidig om cybersikkerhed med lignende organisationer, deltager i erfaringsudvekslingsfora i et regionalt og privat samarbejde samt har et løbende samarbejde med Center for Cybersikkerhed med henblik på at vurdere behovet for tilpasning af vores indsats. Region Hovedstaden har også et stort fokus på medarbejdernes awareness ift. angreb gennem løbende informationstiltag, kampagner m.m. Hospitalernes ledelse og medarbejderne er således helt centrale medspillere ift. at reagere korrekt på eksempelvis phishing-mails, således at der centralt kan iværksættes effektive tiltag for regionen. Konkrete hændelser har vist at opmærksomheden på f.eks. phishing-mails er stor, og at medarbejderne er rigtig gode til at agere med sund skeptisk samt gøre vores Center for It, Medico og opmærksom på, når de modtager mistænkelige mails.

Da Region Hovedstaden også på sikkerhedsområdet skal løse opgaven for de midler, der er til rådighed for området, er vi meget fokuserede på, at vi får prioriteret rigtigt, således at vi får mest mulig sikkerhed for midlerne. Rigsrevisionen vurderer i deres rapport konkret i forhold til Region Hovedstaden, at regionen på følgende tre punkter - ud af de i alt 13 kritikpunkter - ikke har opfyldt Rigsrevisionens krav: 1. At Region Hovedstaden ikke har sikret, at medarbejdere med privilegerede rettigheder ikke kan gå på nettet, når de er logget på med deres privilegerede rettigheder 2. At Region Hovedstaden ikke har sikret, at alle system- og servicekonti har autogenererede passwords og at dette er systemunderstøttet 3. At Region Hovedstaden ikke logger, når brugere med privilegerede rettigheder starter programmer, men kun, at de logger af og på. Ad 1) Region Hovedstaden har siden Rigsrevisionens it-revision den 5. januar 2017 arbejdet med en løsning der sikrer, at medarbejderne med privilegerede rettigheder ikke kan tilgå internettet, når de er logget på med disse rettigheder. Denne løsning forventes færdigimplementeret i første kvartal af 2018. Ad 2) Region Hovedstaden kan tilføje, at de system- og servicekonti, der ikke havde systemunderstøttede autogenerede passwords, på tidspunktet for it-revisionen, var til ældre systemer, der fik passwords, inden regionen fik indført et system til at autogenerere passwords. Region Hovedstaden har efterfølgende imødekommet Rigsrevisionens kritik og indført systemunderstøttelse ift. at sikre, at passwords til konti med privilegerede rettigheder følger god praksis. Der udestår dog endnu nogle få gamle konti, hvor det ikke har været muligt at ændre passwords. En række af disse vil blive lukket ned i 2018, og for de øvrige vil rettighederne blive bragt ned til et niveau, så de ikke er privilegerede. Dette arbejde forventes at kunne gøres færdigt i første kvartal af 2018. Ad 3) Region Hovedstaden har desuden igangsat en proces ift. at få etableret logning, når medarbejdere med privilegerede rettigheder starter programmer. Det er dog en både kompliceret, dyr og omfattende proces, som det vil tage tid at få allokeret, implementeret og gennemført. Logningsløsningen vil endvidere være omkostningstung at etablere. Systemet er under indkøb og første fase af implementeringen vil være færdig med udgangen af 2018. Rigsrevisionen vurderer desuden, at Region Hovedstaden kun delvist har sikret, at regionen modtager sikkerhedsopdateringer fra producenterne af relevante produkter, idet regionen fortsat har pc ere med Windows XP, som producenten ikke leverer sikker- Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne Side 2

hedsopdateringer til mere. Regionen ønsker at tilføje, at regionen kan hente sikkerhedsopdateringer fra relevante producenter og der er indført faste patchprocedurer for servere og computere. Regionen har desuden afviklet en betydelig del af sine XP-computere. Primo 2016 var det samlede antal XP-computere i Region Hovedstaden således 3500 XP-computere. I ultimo december 2017 var antallet reduceret til cirka 320. XP-computere udgør således under 1 % procent af regionens samlede antal pc ere. De resterende XP-computere udfases hurtigst muligt. Der er dog helt specifikke grunde til, at de sidste pc ere er vanskelige at få afviklet. Herunder har en del af de resterende XP-computere softwareprogrammer installeret, som ikke findes i en udgave der kan afvikles på operativsystemer, der er nyere end Windows XP. Region Hovedstaden er i proces med at sikre de resterende XP-computere bag firewalls, indtil de kan opgraderes eller erstattes af nyere løsninger. Rigsrevisionen påpeger i beretningen også andre punkter, hvor Region Hovedstaden kun delvist opfylder kravene. Som det også fremgår af beretningen, så har Region Hovedstaden siden it-revisionen i januar 2017 dog iværksat en række tiltag for at imødekomme de øvrige kritikpunkter, som Rigsrevisionens beretning påpeger. Region Hovedstaden har, som allerede nævnt, kontinuerligt fokus på at forbedre og øge it-sikkerheden. En god it-sikkerhed er en nødvendighed for at sikre data og stabil drift på systemerne i det daglige arbejde på hospitalerne. Regionen har iværksat indsatser og opfølgning på alle kritikpunkterne fra Rigsrevisionen. Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne Side 3

Til Sundheds- og Ældreministeriet Dato: 1. februar 2018 Bilag: Status for udbedring af Rigsrevisionens kritik af Region Hovedstaden Kritikpunkt Status Angivet som Ikke opfyldt i Rigsrevisionsrapporten Sikring af, at medarbejdere med privilegerede Under udbedring. rettigheder ikke kan tilgå internettet, når de er Region Hovedstaden arbejder med en løsning der sikrer, at medarbejderne logget på med de rettigheder med privilegerede rettigheder ikke kan tilgå internettet, når de er logget på med disse rettigheder. Løsningen forventes færdigimplementeret i første Passwords til system- og servicekonti med privilegerede rettigheder følger god praksis og er systemunderstøttede Logning af konti med privilegerede rettigheder, når de starter programmer kvartal 2018. Delvis udbedret. Rest udestår. De system- og servicekonti, der ikke havde systemunderstøttede autogenerede passwords, på tidspunktet for it-revisionen, var til ældre systemer, der fik passwords, inden regionen fik indført et system til at autogenerere passwords. Region Hovedstaden har efterfølgende imødekommet Rigsrevisionens kritik og indført systemunderstøttelse ift. at sikre, at passwords til konti med privilegerede rettigheder følger god praksis. Der udestår dog endnu nogle få gamle konti, hvor det ikke har været muligt at ændre passwords. En række af disse vil blive lukket ned i 2018, og for de øvrige vil rettighederne blive bragt ned til et stade, så de ikke er privilegerede. Dette arbejde forventes at kunne gøres færdigt i første kvartal af 2018. Under udbedring. Systemet til understøttelse af dette er under indkøb. Implementeringen er omfattende og er opdelt i 3 faser. Første fase af implementeringen forventes færdig i udgangen af 2018. Side 1

Kritikpunkt Status Angivet som Delvist opfyldt i Rigsrevisionsrapporten Begrænset download af programmer Delvis opfyldt. Rest under analyse. Det er kun muligt for administratorer at installere software. Derfor vil en almindelig bruger, der f.eks. prøver at opdatere et program der downloader software, blive forhindret i det. Den påpegede risiko er allerede meget minimeret i Region Hovedstaden, idet det alene er den meget begrænsede gruppe af administratorer, der har adgang til pc en der kan installere software. Der pågår en analyse af, hvilke tekniske tiltag der er mulige for at adressere dette, uden at øge risikoen for at nødvendige programmer til patientbehandling ikke kan afvikles korrekt. Kun godkendte programmer kan afvikles Under udbedring / vurdering. Systemet som kan sikre dette er pt. i læringsmode. Vurdering af om systemets whitelisting i praksis kan indføres tages ved udgangen af første kvartal 2018. Vurdering omfatter ligeledes vurdering af potentiel øget risiko for at nødvendige programmer til patient behandling ikke kan afvikles korrekt. Regionen kan hente sikkerhedsopdateringer fra Udbedret. producenter af relevante programmer Status er at regionen kan hente sikkerhedsopdateringer fra relevante producenter. Der er indført faste patchprocedure for servere og computere. Dato: 16. januar 2018 Rigsrevisionen vurderer desuden, at Region Hovedstaden kun delvist har sikret, at regionen modtager sikkerhedsopdateringer fra producenterne af relevante produkter, idet regionen fortsat har pc ere med Windows XP, som producenten ikke leverer sikkerhedsopdateringer til mere. Regionen ønsker at tilføje, at regionen kan hente sikkerhedsopdateringer fra relevante producenter og der er indført faste patchprocedurer for servere og computere. Regionen har desuden afviklet en betydelig del af sine XP-computere. Primo 2016 var det samlede antal XP-computere i Region Hovedstaden således 3500 XP-computere. I ultimo december 2017 var antallet reduceret til cirka 320. XP-computere udgør således under 1 % procent af regionens samlede antal pc ere. Side 2

Etablering af tiltag f.eks. segmenteret netværk, så en inficering i form af hackere eller malware ikke kan sprede sig ubegrænset Begrænset antal medarbejdere, der permanent har privilegerede rettigheder Regelmæssig kontrol af medarbejdere med privilegerede adgangsrettigheder De resterende XP-computere udfases hurtigst muligt. Der er dog helt specifikke grunde til, at de sidste pc ere er vanskelige at få afviklet. Herunder har en del af de resterende XP-computere softwareprogrammer installeret, som ikke findes i en udgave der kan afvikles på operativsystemer, der er nyere end Windows XP. Region Hovedstaden er i proces med at sikre de resterende XP-computere bag firewalls, indtil de kan opgraderes eller erstattes af nyere løsninger. Status er at der er macro segmentering i datacenteret. Derudover er der IP-segmentering på netværket. Derved vil det være begrænset hvor store områder en hacker kan få adgang til ved et eventuelt brud. Der arbejdes løbende med at minimere antal medarbejdere med privilegere rettigheder. Styregruppen for Informationssikkerhed godkender kvartalsvist antal brugere med privilegerede rettigheder og antal service- og systemkonti til skriftlig godkendelse. Der er inden da foretaget en konkret faglig vurdering af hver brugers rettigheds og relevans i de privilegerede grupper. Brugerne har disse rettigheder for at kunne udføre deres arbejde. Rigsrevisionen har fastlagt, at 10 er et rimeligt antal systemadministratorer uanset forretningens størrelse. Dette antal matcher ikke med Region Hovedstadens størrelse og behov, hvilket vi også har debatteret med Rigsrevisionen. Rigsrevisionens bemærkning hertil er, at så længe ledelsen er informeret og forholder sig til risikoen (hvilket løbende sker i regi af Styregruppen for Informationssikkerhed i CIMT), således at risiko er kendt og behandlet, hvilket anses som mitigerende. Udbedret. Styregruppen for Informationssikkerhed godkender kvartalsvist antal brugere med privilegerede rettigheder og antal service- og systemkonti til skriftlig godkendelse. Dato: 16. januar 2018 Side 3

Personlige password til konti med privilegerede rettigheder følger god praksis og er systemunderstøttede Begrænset antal system- og servicekonti Logfiler gennemgås regelmæssigt Medarbejdere med privilegerede rettigheder, der logges, ikke har adgang til loggen Der er inden da foretaget en konkret faglig vurdering af hver brugers rettigheds og relevans i de privilegerede grupper. Brugerne har disse rettigheder for at kunne udføre deres arbejde. Der arbejdes løbende på at nedbringe antallet af brugere med privilegerede rettigheder. Dette afrapporteres hver måned i månedens nøgletal. Udbedret. Udbedret. Styregruppen for Informationssikkerhed godkender kvartalsvist antal brugere med privilegerede rettigheder og antal service- og systemkonti til skriftlig godkendelse. Der er inden da foretaget en konkret faglig vurdering af hver brugers rettigheds og relevans i de privilegerede grupper. Brugerne har disse rettigheder for at kunne udføre deres arbejde. Der arbejdes løbende på at nedbringe antallet af brugere med privilegerede rettigheder. Dette afrapporteres hver måned i månedens nøgletal. Der er indført fast procedure for gennemgang af logfiler i SIEM-systemet. Det vurderes løbende hvilke systemer der skal være omfattet og indgår i logfil gennemgangen. For alle systemer, der overfører logs til SIEM-systemet er det ikke muligt for brugerne at redigere i de logs. Dato: 16. januar 2018 Side 4

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback