Digitalisering og sikkerhed i den offentlige sektor Sikkerhed & Revision 2012 6. september 2012
Digitalisering og sikkerhed i den offentlige sektor Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer 2
Digitaliseringsstyrelsen - oprettet 31. oktober 2011 Samling af digitaliseringsprojekter fra tidligere Økonomistyrelsen og IT- og Telestyrelsen. Operationalisering af Digitaliseringsstrategien 2011-2015. 3
Effektiv digitalisering Strategiske mål Bedre og billigere it-projekter 70 % af de offentlige itprojekter gennemføres til rette tid og sted. DIGST understøtter sikkerheden i offentlige løsninger. 80 % af al kommunikation mellem borgere og det offentlige skal foregå digitalt i 2015. 2012 80 % er tilfredse med it-projektrådets anbefalinger til håndtering af risici. 80 % af de store statslige it-projekter er tilfredse med business case-modellen og gevinstrealiseringsplanen. 80 % af borgerne udtrykker tillid til fællesoffentlige digitale løsninger. 4
Fællesoffentlig Digital infrastruktur Kommunikation Digital post NemSMS Fjernprint Betaling NemKonto NemHandel E-faktura Mellemværende-med -det-offentlige-konto Sikkerhed NemID NemLogin Brugerstyring Mobil login Fuldmagter Portaler Borger.dk Virk.dk Sundhed.dk Miljø.dk Datadistribution Datafordeler Grunddata Datakatalog 5
Digitaliseringsstyrelsen Fire centrale opgaveområder: 1. Fællesoffentlig digitalisering 2. Velfærdsteknologi 3. It-politik, herunder styring af it 4. Fællesoffentlig infrastruktur 6
Kontor for it-arkitektur og standardisering (KIS) Kontorets specifikke opgaver: Arkitektur og standardisering. Det elektroniske fakturingssystem NemHandel. Det fælleseuropæiske efaktureringssystem PEPPOL. Cloud computing og sourcing. Open source og åbne standarder. Business intelligence og master data management. Informationssikkerhed og privatlivsbeskyttelse i den offentlige sektor. 7
Ressortansvar it-, informations- og cybersikkerhed Ansvaret for it-politikken forankres med den kongelige resolution af 3. oktober 2011 i Finansministeriet. Finansministeriet har således ansvar for arbejdet med åbne standarder, open source-løsninger i det offentlige, it-tilgængelighed og tilgængelighed i forhold til offentlige data. IT- og Telestyrelsen nedlægges, og ansvaret for it-sikkerhedsområdet deles mellem Forsvarsministeriet, Erhvervs- og Vækstministeriet og Finansministeriet. Forsvarsministeriet har ansvar for statens varslings-tjeneste for internettrusler (GovCERT) og kritisk infrastruktur. Erhvervs- og Vækstministeriet har ansvar for persondatasikkerhed, opgaver vedr. privatlivsbeskyttelse på nettet, netneutralitet, DNSblokering af hjemmesider og logning. Finansministeriet har ansvar for informationssikkerhed og privatlivsbeskyttelse i den offentlige sektor. (Bjarne Corydon, 8. november 2011 i Kommunaludvalget, spørgsmål nr. 3) 8
SIKKERHED Hvordan skal vi forstå sikkerhed i den virtuelle kompleksitet, som internettet udgør, med de mennesker, organisationer og aktiviteter på alle slags teknologienheder, som er forbundet via nettet? 9
! net Det er centralt for brugen af offentlige it-løsninger, at der tilvejebringes et sikkerhedsniveau, som imødekommer hensytil borgerens tryghed. 10
Kategorier af sikkerhed Indbygget sikkerhed i infrastruktur og fællesoffentlige løsninger som fx NemLogin, NemHandel. Vurdering af løsninger, der kan bidrage til effektivisering af it-drift uden at give køb på sikkerhed - som fx Cloud Computing. Forbyggende sikkerhed udfordring af traditionelle sikkerhedsmodeller især i forbindelse med behandling af personoplysninger. Privatlivsbeskyttelse på mange fronter. Implementering af ISO 27001 i den offentlige sektor. 11
NemID til Antal borgere med NemID med offentlig digital signatur: 3,7 mio. Antal transaktioner i alt med NemID: over 800 mio. transaktioner. 75 % i netbankerne og omkring 25 % på offentlige og private hjemmesider. 300 private tjenester log-in med NemID. 12
NemID NemID til erhverv er sat i drift 21.06 for nye brugere. NemID medarbejdersignatur NemID virksomhedssignatur NemID funktionssignatur For eksisteren brugere sker overgang løbende. 150.000 virksomheder anvender digital signatur. 13
Forordningsudkast om eid og esignatur Gensidig anerkendelse af eid Er ansvarlig for entydig identifikation af personer og for autentifikation Pligt til at samarbejde om interoperabilitet Flere beføjelser og krav til nationale tilsyn Forordningen og NemID NemID er både eid og signatur NemID opfylder de fleste af kravene til anmeldelse af eid Bedre mulighed for, at NemID kan gøres kvalificeret Krav om gratis validering af digitale signaturer adskiller sig fra forretningsmodellen for NemID 14
borger.dk et eksempel på fællesoffentlig infrastruktur borger.dk baserer sig på den fællesoffentlige sikkerhedsinfrastruktur: Nem-ID og Nem-login. Rettighedsstyring. Seneste generation fra maj 2012 har fokus på handling. Mobiludgaven af borger.dk. 15
Det nye NemLog-in og den fællesoffentlige digitale infrastruktur NemLog-in er en hjørnesten i den offentlig digitale infrastruktur NemLog-in er et vigtigt led i modernisering og effektivisering af den offentlige sektor: Lettere for både kunder og medarbejdere. Lettere at arbejde på tværs af løsninger. Hurtigere og mere sikker at etablere digitale tjenester i den offentlige sektor. Sikkerhed: NemID NemLog-in Portaler: borger.dk virk.dk sundhed.dk Betaling: e-faktura NemHandel NemKonto e-indkomst Kommunikation: Digital Post NemSMS Fjernprint Datagenbrug: OIO åbne standarder arkitektur 16
Effektiv kommunikation digital post og NemSMS Den digitale postkasse skal være med til at sikre effektiv digital kommunikation mellem borgere, virksomheder og myndigheder. Den digitale postkasse er en sikker løsning. Borger.dk portalen Nem-Login Certifikater 17
Cloud Computing Effektivisering af drift og vedligehold Skalering op og ned medfører, at services kan tilbydes billigt. Øget fleksibilitet og innovation Cloud løsninger er fleksible og giver større muligheder for innovation. Kortere time to market. 18
Styrelsens arbejde med cloud løsninger Brug af cloud løsning til drift af NemHandel. Cloud computing vejledning om de juridiske rammer for anvendelse af cloud løsninger. Arbejdsgruppe vurdering af love og regler der unødigt vanskeliggør cloud computing. Rådgivning, support og opfølgning i implementering af cloud løsninger i offentlige organisationer. Kommissionen forventes at lancere en strategi for cloud computing i 2012. 19
To veje til sikkerhed i cloud computing Kontrol via revision og sikkerhedsdokumentation Via kontrakten og ved vurdering og revision af sikkerhedskontroller kan det sikres, at databehandleren overholder passende organisatoriske og tekniske sikkerhedskrav. Forebyggende sikkerhed Sikkerhed bygges ind i systemet/løsningen fra begyndelsen mindsker afhængighed af leverandørens sikkerhedsniveau. James Hamilton 20
Forebyggende sikkerhed Traditionelle sikkerhedsdesign er baseret på sikring af egne servere, data og netværk udadtil og indadtil. Dette udfordres af cloud computing. Ved at designe it-systemer på en ny måde kan man i nogen grad imødekomme udfordringen. Ved at minimere brugen af sensitive data kan det gøres nemmere og billigere at beskytte it-systemer og data. Supplerer kontroller via revisorerklæringer og sikkerhedsdokumentation. 21
Perspektiver Hvis løsningen kompromitteres, vil data ikke kunne henføres til fysiske personer, men kun til virtuelle identiteter. Data vedrører kun den lokale transaktion og kan ikke sammenkobles med øvrige data. Kontrollerne kan potentielt gøre det nemmere og billigere at beskytte data. Mindre afhængighed af cloudleverandørens sikkerhedsniveau. 22
Informations-/cybersikkerhed i statens organisationer 2004 Beslutning om, at statens organisationer følger DS 484. 2010 Som led i afbureaukratisering beslutning om, at de statslige institutioner skal anvende ISO 27001 i stedet for DS 484. Skiftet til ISO 27001 skal senest gennemføres, når revisionen af ISO 27001 er færdig, formentlig i 2013. 23
Hjælpepakke Forberedelse til organisationernes implementering af ISO 27001: Udvikling af self assessment-værktøj til styring af overgangen: hvor er vi nu, hvor skal vi hen, hvad mangler vi? Gennemgang og opdatering af eksisterende værktøjer på digst.dk. Koncept for it-beredskabsplanlægning: - It-drift hos Statens it/anden ekstern leverandør; - Drift in-house. Værktøj til konsekvensvurdering for privatlivet krav i den fællesoffentlige it-projektmodel og i den kommende forordning om behandling af personoplysninger. Formål Effektivisering af itsikkerhedsarbejdet. Håndtering af itsikkerhedsmæssige udfordringer med digitalisering af forvaltningen. Sikre efterlevelse af standarden. Sikre efterlevelse af lovgivningen. 24
Dilemmaer Sikkerhed >< brugervenlighed Sikkerhed >< omkostninger Sikkerhed >< effektivitet 25