Bilag 1.Talepapir ved samråd i KOU den 8. oktober

Relaterede dokumenter
DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Center for Cybersikkerheds beretning Center for Cybersikkerheds beretning 2014

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Sundhedsministeren. Statsrevisorerne Sekretariatet Folketinget Christiansborg 1240 København K

Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Februar 2016

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:

Retsudvalget REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Torben Waage Partner

Nationale cybersikkerhedsinitiativer. Peter Munch Jensen, sektionsleder

Kommissorium for Dataetisk Råd 30. januar 2019

Rigsrevisionens notat om beretning om styring af it-sikkerhed hos it-leverandører

Forsvarsudvalget L 155 endeligt svar på spørgsmål 11 Offentligt

CYBER CRIME ET LEDELSESANSVAR MORTEN BØDSKOV, MEDLEM AF FOLKETINGET

Forslag til folketingsbeslutning om styrkelse af datasikkerhed

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

Evaluering af GovCERT-loven

National strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

Informationssikkerhedspolitik

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

Retsudvalget REU Alm.del endeligt svar på spørgsmål 1240 Offentligt

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Nationale sikkerhedsinitiativer

Notat til Statsrevisorerne om beretning om statens planlægning og koordinering af beredskabet for større ulykker og katastrofer.

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

STATUS PÅ IT-SIKKERHED 2017

Beretning. udvalgets virksomhed

National strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden

ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER

Kl Indledning v. Lone Strøm, Rigsrevisor

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

/2016. November Rigsrevisionens beretning om styring af it-sikkerhed hos it-leverandører

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Sikkerhedsvurderinger

Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Justitsministeriet. Hos hvilken minister ligger ansvaret placeret for, at der. så det sikres, at alle relevante elementer bliver

Vejledning i etablering af forretningsoverblik. Januar 2018

Faxe Kommune. informationssikkerhedspolitik

Aktuelt fra Danmark. Regeringens prioriteter for beredskabet

Rigspolitiet overvejer at melde CSC til politiet efter hacking - Politiken.dk

Overordnet It-sikkerhedspolitik

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

FSOR. Årsberetning 2016 FINANSIELT SEKTORFORUM FOR OPERATIONEL ROBUSTHED

Notat til Statsrevisorerne om beretning om handicapindsatsen på uddannelses- og beskæftigelsesområdet. Maj 2010

CPR-administrationen har en målsætning om, at datakvaliteten i CPR til stadighed skal opleves som værende høj blandt CPR-systemets brugere.

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

Ministeren bedes endvidere oplyse om det efter regeringens opfattelse er nødvendigt at indføre prøveperioder for nye systemer.

Ny lov for Center for Cybersikkerhed. En analyse blandt IDAs it-politiske panel

De første 350 dage med den nye databeskyttelsesforordning

Overordnet Informationssikkerhedspolitik

Erhvervs-, Vækst- og Eksportudvalget ERU Alm.del endeligt svar på spørgsmål 133 Offentligt

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Resultatplan KORA - Det Nationale Institut for Kommuners og Regioners Analyse og Forskning 2017

Hovedresultater: ISO modenhed i staten. December 2018

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Informationssikkerhedspolitik for Horsens Kommune

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Trusselsvurdering Cyberangreb mod leverandører

Økonomi- og indenrigsminister Simon Emil Ammitzbølls talepapir

Notat til Statsrevisorerne om beretning om fejludbetalinger af sociale ydelser. Juni 2014

Rigsrevisionens notat om beretning om brugervenlighed og brugerinddragelse. digitale løsninger

Samrådsspørgsmål V-Y. - Tale til besvarelse af spørgsmål V-Y den 2. februar 2017

Rigsrevisionen og Cybersikkerhed Revisordøgnet 9. september 2014

Rigspolitiet har imidlertid fundet anledning til at begrænse din adgang til aktindsigt i oplysningerne, som anført nedenfor.

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Hvad er Informationssikkerhed

Overordnet informationssikkerhedsstrategi

MedComs informationssikkerhedspolitik. Version 2.2

IT-sikkerhedspolitik S i d e 1 9

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Overordnet organisering af personoplysninger

Mål- og resultatplan

Et udkast til lovforslaget har i perioden fra 27. oktober 2017 til 24. november 2017 været sendt i høring hos:

Informationssikkerhedspolitik. Frederiksberg Kommune

> DKCERT og Danskernes informationssikkerhed

IT-SIKKERHEDSPOLITIK UDKAST

KOMBIT har på vegne af kommunerne gennemført en række komplekse it-indkøb til kommunerne.

Forsvarsudvalget L 192 endeligt svar på spørgsmål 3 Offentligt

Resultatplan SFI - Det Nationale Forskningscenter for Velfærd 2017

Digitaliseringsstyrelsens konference 1. marts 2018

Notat til Statsrevisorerne om beretning om styring af behandlingsindsatsen. September 2014

Assens Kommune Sikkerhedspolitik for it, data og information

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Rigsrevisionens notat om beretning om beskyttelse mod ransomwareangreb

Organisering og styring af informationssikkerhed. I Odder Kommune

[Det talte ord gælder]

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Samrådet i dag handler om ressourceforløb særligt om kommunernes arbejde med ressourceforløb og borgernes tilfredshed med indsatsen.

Maj Rigsrevisionens notat om beretning om. universiteternes beskyttelse af forskningsdata

Transkript:

Kommunaludvalget 2014-15 KOU Alm.del endeligt svar på spørgsmål 3 Offentligt Bilag 1.Talepapir ved samråd i KOU den 8. oktober Samrådsspørgsmål: Finansministeren bedes redegøre for kritikken af sikkerheden omkring offentlige myndigheders IT-systemer i den seneste rapport om emnet fra Center for Cybersikkerhed og Digitaliseringsstyrelsen om sikkerhed og udliciteret it-drift samt oplyse, hvad regeringen agter at gøre for at sikre borgernes personfølsomme data i offentlige myndigheders varetægt bedre. Svar: [Indledning] Jeg vil gerne takke udvalget for at give mig mulighed for at komme her i dag. Først har jeg tænkt mig at tale om rapporten fra Center for Cybersikkerhed og Digitaliseringsstyrelsen, og dernæst vil jeg redegøre for regeringens tiltag på området. [Afgrænse spørgsmålet] Der er spurgt ind til seneste rapport fra Center for Cybersikkerhed og Digitaliseringsstyrelsen med anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift. Rapporten er en opfølgning på CSC-sagen og giver generelle anbefalinger til myndighederne. CSC-sagen går helt kort ud på, at hackere i 2012 skaffede sig adgang til et mainframemiljø hos CSC. Der var tale om en kompromittering af de dele af CSC s mainframemiljø, som indeholder data fra politiet, CPR-kontoret, SKAT og Moderniseringsstyrelsen. Den igangværende retssag er nu ved at afklare de strafferetlige konsekvenser af sagen.

Side 2 af 7 Fra regeringen er der tidligere udarbejdet to andre rapporter om CSC-sagen, der er klassificeret til tjenestebrug. Derfor kan jeg ikke diskutere deres indhold på et åbent samråd. Både Retsudvalget og Kommunaludvalget blev på et møde d. 16. september i Justitsministeriet orienteret om indholdet i den anden rapport. Spørgsmål til disse to rapporter henvises til Justits- og Forsvarsministeren. [Redegøre for kritikken] Rapport 3, der også hedder Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift er udarbejdet af Center for Cybersikkerhed og Digitaliseringsstyrelsen efter ønske fra regeringen, for at sikre, at alle statslige myndigheder skal lære mest muligt fra CSC-sagen. Rapporten udgør således regeringens eget bud på, hvordan sikkerheden hos enkelte myndigheder i lyset af CSC-sagen kan styrkes. Rapportens centrale pointe i denne sammenhæng er, at det især er et potentiale til forbedring af håndteringen af sikkerheden i outsourcede it-løsninger. Anbefalingerne til styrkelse af sikkerheden i de outsourcede itløsninger skal ses i lyset af, at CSC-sagen illustrerer, at netop styringen af de eksterne leverandører kan udgøre et svagt punkt i itsikkerheden, hvis myndighederne ikke har fokus på denne opgave. Fra CSC-sagen fremgår det, at de angrebne outsourcede it-systemer på angrebstidspunktet var sårbare i en sådan grad, at det lykkedes angriberne at kompromittere fortroligheden af følsomme oplysninger, og at angriberne havde etableret et fodfæste i systemerne, så de potentielt kunne have forårsaget tab eller forvanskning af uerstattelige data. Rapport 3 har nu med baggrund i CSC-sagen også vist, at mere systematiske retningslinjer for, hvordan myndighederne skal arbejde med it-sikkerheden i outsourcede it-systemer, fremadrettet vil kunne sætte fokus på den type it-trusler, som CSC-sagen er et eksempel på.

Side 3 af 7 Jeg vil senere vende tilbage til at beskrive rapportens anbefalinger og regeringens øvrige fremadrettede indsats målrettet it-sikkerhed. Først er det dog væsentligt at pointere, at regeringen tager CSCsagen meget alvorligt. Udviklingen i it-relaterede trusler går stærkt, og det er derfor afgørende, at den offentlige sektor lærer af sager, hvor sikkerheden ikke har været god nok og generelt opruster indsatsen for at imødekomme udfordringer på området. Det er også vigtigt at pointere, at vi aldrig kan opnå 100 pct. sikkerhed, uanset hvor mange ressourcer, vi bruger på det, da den digitale verden udvikler sig kontinuerligt, og der hele tiden opstår nye sikkerhedstrusler. It-sikkerhed er dynamisk og en afvejning mellem sikkerhed, brugervenlighed og økonomi. Indsatsen bør derfor være risikobaseret og dermed fokuseres, der hvor den giver mest værdi og effekt i forhold til sikkerhed. Den centrale udfordring er derfor at sikre et mere systematisk beredskab blandt myndighederne til at håndtere it-sikkerhedsrisici, forbedre myndighedernes viden om det aktuelle trusselsbillede og sikre et kontinuerligt arbejde i myndighederne med at løbende risikovurdere og følge op på egen og outsourcet it-sikkerhed. [Regeringens hidtidige indsats] Arbejdet med at styrke it-sikkerheden har regeringen siden sin tiltrædelse prioriteret højt. Og en række af de tiltag, regeringen allerede har igangsat, er centrale for at få et billede af regeringens samlede indsats for at forbedre it-sikkerheden i staten. Helt konkret har regeringens fokus på sikkerheden resulteret i oprettelsen af Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste. Centeret arbejder med beskyttelse af samfundsvigtige funktioner mod avancerede cyberangreb gennem rådgivning og varsling. Centeret arbejder bredt med at understøtte en styrkelse af

Side 4 af 7 cybersikkerheden i den infrastruktur, som danner grundlag for samfundsvigtige funktioner. Centeret kan også udføre sikkerhedsmonitorering og bistå i tilfælde af sikkerhedshændelser fra cyberangreb. Under Center for Cybersikkerhed ligger GovCERT, der medvirker til, at der i staten er overblik over trusler og sårbarheder i tjenester, netværk og systemer relateret til internettet. Dette inkluderer en varslingstjeneste, der sørger for at varsle statens it-leverandører omkring kritiske sårbarheder, således at disse kan udbedres. Med oprettelsen af Center for Cybersikkerhed har regeringen således skabt et organ, der løbende giver offentlige myndigheder rådgivning omkring cybersikkerhed samt kendskabet til trusler og sårbarheder. Hvilket forbedrer de offentlige myndigheders muligheder for at imødegå disse trusler. Ligeledes er Nationalt Cyber Crime Center (NC3) blevet oprettet under Rigspolitiet. Dette nationale center har bl.a. til opgave at efterforske og opklare it-kriminalitet, men har også et forebyggelseselement med henblik på at sikre, at it-kriminalitet ikke sker, fx hvad angår krænkelse af børn på nettet. Endvidere er alle statslige myndigheder forpligtet til at følge sikkerhedsstandarden ISO27001. Standarden er en internationalt anerkendt standard for sikkerhed og omfatter krav til risikovurdering, organisering af sikkerhedsarbejdet samt dokumentation og ledelsesinddragelse. ISO27001 standarden giver således de offentlige myndigheder et redskab til at arbejde mere systematisk med sikkerhed i deres organisationer. Alle statslige myndigheder er pt. ved at implementere den nye standard med vejledning og rådgivning fra Digitaliseringsstyrelsen.

Side 5 af 7 [Regeringens fremadrettede tiltag] Udover de her gennemgåede hidtidige initiativer for at øge itsikkerheden i det offentlige har regeringen taget en række yderligere fremadrettede tiltag, som skal supplere og styrke det igangværende arbejde. Dette arbejde indeholder initiativerne beskrevet i rapport 3, som spørgsmålet vedrører, men også andre tiltag er relevante at nævne i denne sammenhæng. Jeg vil i beskrivelsen af det fremadrettede arbejde derfor fremhæve tre elementer: 1. Anbefalinger til statens outsourcede it-drift 2. Strategi for Cyber- og Informationssikkerhed 3. Arbejdsgruppe om beskyttelse af oplysninger ved elektroniske betalinger. [1. Anbefalinger til statens outsourcede it-drift] Som indledningsvist nævnt har Center for Cybersikkerhed og Digitaliseringsstyrelsen vurderet, at en styrket og mere systematisk sikkerhedsmæssig styring af eksterne leverandører vil kunne styrke statslige myndigheders it-sikkerhedsarbejde og derved sikkerheden omkring borgernes følsomme persondata i offentlige myndigheders varetægt. På baggrund af CSC-sagen er der opstillet konkrete anbefalinger til, hvad myndighederne skal have fokus på, og hvilke krav, de skal stille til sine leverandører. Jeg vil gerne på et overordnet plan fremhæve fire områder fra rapporten, hvor der skal arbejdes med at forbedre it-sikkerheden: [1] For det første skal myndighederne kende de trusler, de står over for, og de skal kende sårbarhederne i deres systemer. [2] For det andet skal myndighederne som nævnt stille krav til itsikkerheden hos leverandører og følge op på kravene.

Side 6 af 7 [3] For det tredje skal myndighedernes sikkerhedsorganisationer forankres i ledelsen. [4] For det fjerde skal ministerierne videndele på sikkerhedsområdet, så de kan lære af hinanden. [2. Strategi for Cyber- og informationssikkerhed] Ud over anbefalingerne i rapport 3 har regeringen taget initiativ til udarbejdelsen af en strategi for cyber- og informationssikkerhed. Strategiens formål er at sikre, at it-sikkerhedsarbejdet bliver strategisk forankret og koordineret på tværs af staten. Samt at styrke informations- og cybersikkerheden med yderligere initiativer. Netop fordi arbejdet med it-sikkerhed har tværgående egenskaber og betydning for alle områder i staten, er en samlet strategi og koordination væsentligt for at sikre systematik og tværgående læring. Derfor er der af regeringen nedsat en tværministeriel arbejdsgruppe, som skal udarbejde en national strategi for cyber- og informationssikkerhed. Strategien udformes med milepæle for årene 2015 og 2016 og vil følges op med konkrete handlingsplaner, om hvordan de enkelte ministerområder vil sikre implementeringen på egne områder. Strategien lanceres i år. [3. Arbejdsgruppe om beskyttelse af oplysninger ved elektroniske betalinger] Derudover ser regeringen på beskyttelse af oplysninger ved elektroniske betalinger. Dette sker i forlængelse af Se og Hør sagen, hvor der er blevet nedsat en arbejdsgruppe under Justitsministeriet, som har til opgave at kortlægge beskyttelsen af oplysninger om borgernes elektroniske betalinger mv. Arbejdsgruppen skal afklare, om der er grundlag for at gennemføre nye initiativer på området, herunder ændring af reglerne om behandlingssikkerhed (it-sikkerhed), skærpelse af straffen for

Side 7 af 7 overtrædelse af persondataloven og anden relevant lovgivning, styrkelse af reaktionsmuligheder og tilsynsbeføjelser for Datatilsynet eller andre tilsynsmyndigheder samt ændring af grænsedragningen mellem tilsynsmyndighedernes kompetencer. Området er relateret til arbejdet med it-sikkerhed i staten, men ser bredere på databeskyttelsen af borgere, særligt i relation til kontrollen med finansielle institutioners arbejde med følsomme personoplysninger. Arbejdsgruppen vil afrapportere i år. [Afslutning] Afslutningsvis vil jeg gerne runde af med at sige, at CSC-sagen indeholder en læring, som alle statslige myndigheder kan have nytte af. Regeringen har med rapport 3, som der spørges ind til, og med de øvrige initiativer, som jeg har gennemgået, iværksat en palette af initiativer, som samlet set skal sikre; At myndighederne fremover har bedre redskaber til at arbejde systematisk med it-sikkerhed. At de bedre kender det aktuelle trusselsbillede og har nemmere adgang til avanceret viden om, hvordan aktuelle trusler skal håndteres. At der stilles yderligere krav til og sker en løbende risikovurdering af og opfølgning med eksterne leverandørers it-sikkerhedsarbejde. Jeg håber, at dette besvarede spørgerens spørgsmål om sikkerheden omkring offentlige myndigheders it-systemer i den seneste rapport om emnet fra Center for Cybersikkerhed og Digitaliseringsstyrelsen. Ligeledes håber jeg, at jeg har givet et klart billede af, hvad regeringen gør og agter at gøre fremadrettet for at sikre borgernes følsomme persondata i offentlige myndigheders varetægt.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback