Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig it-organisation... 2 2.2. Årlig risikovurdering af SDN... 2 2.3. Dækkende beredskabsplan for SDN... 3 2.4. Relevante politikker, retningslinjer og procedurer... 3 2.5. Databehandleraftale indgået med dataansvarlige... 3 2.6. Databehandleraftale indgået med leverandør... 3 2.7. Relevante it-sikkerhedskrav til leverandører... 3 2.8. Sikring mod uautoriserede adgange til SDN... 4 2.9. Hensigtsmæssig ændringsstyring... 4 2.10. Tidssvarende teknisk løsning... 4 2.11. Tilstrækkelig backup af SDN... 4 2.12. Tilstrækkelig overvågning og logning af SDN... 4 2.13. Tilstrækkelig overvågning og logning af SDNs støttesystemer... 4 2.14. Identificerede risici i.f.b. med SDNs eksponering mod internettet... 5 3. Afslutning og handleplan... 5 1
1. Indledning MedCom har modtaget Rigsrevisionens rapport af 15. januar 2016. Rapporten peger på en række forhold, som skal forbedres for at opfylde it-sikkerhedskravene til det internetbaserede SDN. MedCom og MedComs styregruppe anerkender rapportens konklusioner og vil på den baggrund følge anbefalingerne og tage initiativ til en række aktiviteter til udbedring af de nævnte forhold. Dette ligger i naturlig forlængelse af det eksisterende arbejde med og igangsatte initiativer om it-sikkerhed for SDN. Endvidere er det i MedComs styregruppe besluttet, at en af de nye aktiviteter er, at relevante dele af ISO27001 indføres som generel ramme for it-sikkerhedsarbejdet for det internetbaserede Sundhedsdatanet (SDN). En overordnet og samlet tids- og handlingsplan vil fremgå af afsnit 3. ISO27001 er en ny standard for it-sikkerhedsarbejdet, som gælder i staten og regionerne. Det bemærkes, at Rigsrevisionen med anvendelse af ISO27001 sætter en ny standard for it-sikkerhed. Den vil MedComs styregruppe sætte som norm for det fortsatte arbejde hermed. Governance for SDN vil blive alignet med den styringsmodel for den fællesoffentlige systemforvaltning, som er aftalt i økonomiforhandlingerne 2016 mellem regeringen, KL og regionerne, og som aktuelt er under etablering. Slutteligt peger rapporten peger også på, at backup på og overvågning og logning af SDN er tilstrækkelig, samt at databehandleraftalen med leverandører er på plads. Hertil kommer, at driften af SDN er stabil med meget høj oppetid, hvilket dokumenteres med løbende afrapporteringer til MedComs styregruppe. 2. Kommentarer til de enkelte punkter 2.1. Hensigtsmæssig it-organisation MedCom er fællesoffentlig systemforvalter for SDN med ledelsesmæssig forankring i MedComs styregruppe. Styregruppen vil fremadrettet have et øget fokus på it-sikkerhedsarbejdet. Der vil i relation til systemforvaltningen og it-sikkerhedsarbejdet blive udarbejdet et årshjul, hvor styregruppen både periodevist og løbende vil blive orienteret og involveret. Styregruppen vil eksempelvis skulle godkende sikkerhedspolitik og it-revision, behandle den årlige risikovurdering og følge op på eventuelle iværksatte udbedringer af sårbarheder, behandle ændringer i det generelle trusselbillede med opdatering af beredskabsplan som eventuel konsekvens samt fortsat følge op på driften af SDN. Når styringsmodellen for den fællesoffentlige systemforvaltning er etableret, tager MedCom endvidere initiativ til at relancere brugergruppen for SDN, hvor bl.a. it-sikkerhed vil være et ansvarsområde. Kommissorium og mødekadence vil følge den kommende fællesoffentlige forvaltningsmodel. Denne forventes etableret sommeren 2016. 2.2. Årlig risikovurdering af SDN MedCom tager i foråret 2016 initiativ til en opdatering af risikovurderingen for SDN med anbefalinger. Disse forelægges MedComs styregruppe den 22. juni 2016 med henblik på beslutninger om igangsætning af eventuelle sikkerhedsinitiativer. Risikovurderingen inkl. anbefalinger vil herefter årligt blive opdateret og forelagt styregruppen som del af årshjulet for it-sikkerhedsarbejdet og systemforvaltningen af SDN. Forinden vil materialet blive kvalificeret af den kommende 2
brugergruppe. Risikovurderingen vil være koordineret med og bygge på eksisterende risikovurderinger fra SDNleverandørerne. Endvidere vil MedCom i 2016 etablere proces for risikostyring og -håndtering med løbende opfølgning på risici og på implementering af eventuelle tiltag. Styregruppen og brugergruppen vil blive involveret efter konkret vurdering. Driftsopfølgning indgår fast på MedComs styregruppemøder. 2.3. Dækkende beredskabsplan for SDN MedCom udarbejder i forlængelse af risikovurderingen en beredskabsplan for SDN. Forslag til beredskabsplan behandles på styregruppemøde den 22. juni 2016. Beredskabsplanen vil som risikovurderingen være koordineret med og bygge på allerede eksisterende beredskabsplaner fra SDN-leverandørerne. Beredskabsplanen vil primært have fokus på håndtering af kommunikationen i en krisesituation men vil også omfatte beredskab i forhold til tilgængelighed. Fremadrettet vil MedComs styregruppe årligt behandle behovet for at opdatere beredskabsplanen ud fra den aktuelle risikovurdering. Herudover vil beredskabsplanen blive justeret efter behov eksempelvis ved et eventuelt ændret trusselsbillede og ved skift af leverandører. 2.4. Relevante politikker, retningslinjer og procedurer MedCom indfører ISO27001 som ramme for arbejdet med informationssikkerhed for SDN. Ud over risikovurderingen og beredskabsplanen vil MedCom i efteråret 2016 udarbejde relevante politikker, retningslinjer og procedurer. Det drejer sig bl.a. om en sikkerhedspolitik samt retningslinjer og procedurer for leverandørstyring, risikostyring, håndtering af hændelser, adgangs- og aftalestyring og den daglige systemdrift med bl.a. kontroller og opfølgning. Disse vil samlet set udbygge den eksisterende praksis med involvering af de relevante parter - herunder styregruppen og den relancerede brugergruppe. 2.5. Databehandleraftale indgået med dataansvarlige Ikke alle relevante parter har indgået en databehandleraftale med MedCom om SDN. MedCom tager i foråret 2016 initiativ til igen at opfordre parterne til indgåelse af en fælles databehandleraftale. Status på antallet af indgåede aftaler vil blive forelagt MedComs styregruppe den 22. juni 2016 med henblik på drøftelse af eventuelle yderligere initiativer. 2.6. Databehandleraftale indgået med leverandør 2.7. Relevante it-sikkerhedskrav til leverandører MedCom vil tage initiativ til, at opfølgning på it-sikkerhed bliver et fast punkt på dagsorden for de månedlige leverandørmøder. Afsættet for opfølgningen vil være it-sikkerhedskravene i kontrakterne og databehandleraftalerne. Endvidere vil MedCom på baggrund af risikovurderingen opdatere og konkretisere it-sikkerhedskravene til leverandørerne og etablere en eventuel yderligere systematisk opfølgning heraf. Fremadrettet vil MedCom have et særligt fokus på veldefinerede sikkerhedskrav i forbindelse med det kommende udbud af SDN eventuelt via specifikke sikkerhedskrav i SLA og eventuelle krav til genstandsfeltet for den kommende leverandørs revisionserklæring. 3
2.8. Sikring mod uautoriserede adgange til SDN MedCom vil gennemføre dokumenterede og kvartalsvise gennemgange af institutionernes SDN-administratorer som del af årshjulet for systemforvaltning og sikkerhedsarbejdet. Samtidig vil MedCom følge op på, at de tilsluttede institutioners SDN-administratorer på tilsvarende vis fører dokumenteret kontrol med de lokale brugeres adgange. Endvidere vil MedCom forespørge leverandøren Netic om relevansen af det aktuelle antal medarbejdere, der har adgang til Aftalesystemet og i samarbejde med leverandøren aftale et passende og afgrænset arbejdsbetinget adgangsniveau. 2.9. Hensigtsmæssig ændringsstyring Det er aftalt, at MedCom altid bliver adviseret om ændringer på de virtuelle maskiner, der benyttes til støttesystemerne på SDN, finder sted i aftale med MedCom. Ofte sker ændringer også i et tæt samarbejde mellem leverandøren og MedCom.Endvidere dokumenteresæ ændringerne dokumenteres via et change management-system, som MedCom har adgang til. Ofte sker ændringer også i et tæt samarbejde mellem leverandøren og MedCom. MedCom bliver derudover altid adviseret ved ændringer på de underliggende netværks- og filsystemer. SDN-støttesystemerne afvikles fra en større shared VMware platform sammen med en række andre kunder. Denne platform er yderst vital for leverandøren og har en lang række kunder. Derfor er den under skærpet overvågning, ligesom der altid er høj fokus på sikkerhed og driftsstabilitet. SDN-støttesystemerne udgør en meget lille del af den samlede platform. Derfor vil MedCom ikke blive adviseret om alle ændringer på denne platform, da langt hovedparten aldrig vil have indflydelse på SDN. ÆndringerStørre ændringer på den delteshared platform med relevans for SDN meddeles MedCom. 2.10. Tidssvarende teknisk løsning MedCom har forventet, at nyanskaffet aktivt udstyr har en levetid svarende til mindst kontraktens løbetid, og at spørgsmål om at sikre en tidssvarende teknisk løsning behandles gennem periodiske udbudsprocesser, der sikrer en udskiftning af nødvendigt udstyr. I forhold til opgradering af software/firmware på både SDN, Aftalesystemet og støttesystemerne vil MedCom sikre, at kommende opgraderinger beskrives i forhold til eksisterende niveau med angivelse af anbefalinger til opgradering eller undladelse af opgradering - under hensyntagen til det forretningsmæssige behov og de sikkerhedsmæssige implikationer. Løsningens tekniske niveau behandles fremadrettet på de månedlige driftsmøder med leverandørerne. 2.11. Tilstrækkelig backup af SDN 2.12. Tilstrækkelig overvågning og logning af SDN 2.13. Tilstrækkelig overvågning og logning af SDNs støttesystemer MedCom vil på kort sigt og under nuværende kontrakt undersøge, om overvågning af støttesystemerne kan indpasses i den eksisterende smokeping-overvågning eller via Kiwi CatTools. I et kommende udbud vil det blive et krav, at der etableres et andet system (f.eks. Splunk) til at overvåge driften på interne systemer. Fremadrettet vil MedComs styregruppe ud fra risikovurderingen tage stilling til det nødvendige logningsniveau. MedCom vil igangsætte gennemgang af eksisterende logs og vurdere anvendeligheden i forhold til kontrol af 4
brugeradgange. På denne baggrund iværksættes logning/logopsamling (evt. via Splunk) for at kunne monitorere brugeradgange. MedCom vil udfordre leverandøren Netic på problemerne med funktionsadskillelse. 2.14. Identificerede risici i.f.b. med SDNs eksponering mod internettet MedCom tager initiativ til, at alle servere inkl. støttesystemerne, der kan tilgås, skal sårbarhedsscannes som en del af itrevisionen. De fundne risici vil indgår i risikovurderingen, som behandles af MedComs styregruppe. MedCom definerer de IP-adresser, der skal skannes. 3. Afslutning og handleplan MedCom og MedComs styregruppe vil følge op på Rigsrevisionens anbefalinger og har lavet en tids- og handlingsplan for dels at implementere anbefalingerne dels at indføre relevante dele af ISO27001 som rammeværktøj for itsikkerhedsarbejdet for SDN. De centrale elementer i handleplanen fremgår af nedenstående oversigt. Tidspunkt Handling 1. april 2016 MedCom informeres om changes i støttesystemerne af relevans for MedCom 1. april 2016 Behov for opgradering af software/firmware på SDN, Aftalesystemet og støttesystemer undersøges og iværksættes, hvis det er relevant. 1. maj 2016 Logopfølgning på SDN-systemadministratorer gennemført 1. maj 2016 Den ordinære it-revision af SDN for 2015 udarbejdet (Deloitte) 1. juni 2016 Opfølgning på tilsluttede parters databehandleraftaler 1. juni 2016 Opdateret risikovurdering inkl. anbefalinger udarbejdet 15. juni 2016 Beredskabsplan udarbejdet 22. juni 2016 Styregruppemøde med behandling af it-revision, risikovurdering og beredskabsplan samt opfølgning på databehandleraftale 1. september 2016 Brugergruppe for SDN relanceret (afhængig af principper for fællesoffentlig systemforvaltning) 31. december 2016 Sikkerhedspolitik samt relevante retningslinjer og procedurer udarbejdet Kommenterede [TGJ1]: Det er forslaget, at disse ikke medtages, da det allerede nu er præciseret og aftalt i samarbejde med leverandøren, og da det ikke umiddelbart vurderes at være centrale elementer i handleplanen. Hvis styregruppen vurderer, at det er centrale elementer, kan indsættes et tidspunkt for at vise, at det er indført 5