IT-sikkerhedsrapport 2012 I henhold til Randers kommunes IT-sikkerhedspolitik gennemføres mindst én gang årligt, samt ved større tekniske eller organisatoriske ændringer, en sikkerhedsvurdering og kommunens ledelse orienteres om det aktuelle risikobillede. Status Generelt er it-sikkerheden højt prioriteret i Randers kommune, hvilket også afspejler sig i den udvidede itsikkerhedsrevision, samt i antallet af henvendelser fra medarbejdere om it-sikkerhedsmæssige spørgsmål og hændelser. Af hensyn til it-sikkerhedslederens organisatoriske placering har Randers kommune rekvireret udvidet itsikkerhedsrevision hos BDO/KR. Denne blev gennemført i november 2012 og har som den helt overordnede konklusion: Gennemgangen har vist, at Randers Kommunes administration af it-sikkerheden på de udvalgte områder er betryggende set ud fra et revisionsmæssigt synspunkt samt god it-skik. Endvidere, at der generelt er en fornuftig sammenhæng mellem kommunens retningslinjer (it-sikkerhedshåndbogen og bilag) og itafdelingens efterlevelse i praksis. De svagheder vi konstaterede ved sidste gennemgang, i foråret 2012, er rettet op eller er under udbedring. Hvor de er under udbedring, vil vi naturligt følge op på dette arbejde ved en kommende gennemgang. Vi har ved denne gennemgang ikke konstateret nye svagheder. Kommunens etablerede tilsyn med efterlevelse af it-sikkerheden i kommunen er udført som forudsat og har ikke ført til kritik fra vores side. I sidste halvdel af 2012 og primo 2013 blev Sb-Sys, SD-Løn og KMD-Sag EDH taget i anvendelse. Hermed har Randers kommune grundlaget for at overholde Sikkerhedsbekendtgørelsens krav om logning af elektronisk behandling af personfølsomme data. Den 7. november 2012 aflagde Datatilsynet besøg i Randers kommune. Inspektionens tema var Randers Kommunes ESDH-system (elektronisk sags- og dokumenthåndtering) med særlig fokus på tildeling og kontrol af autorisationer samt adgangen til personoplysninger i ESDH-systemet. Inspektionen gav anledning til bemærkninger, som der arbejdes på at få løst. I 2012 blev der gennemført 12 anmeldte og et mindre antal uanmeldte kontrolbesøg. Anmeldte kontrolbesøg foretages enten på baggrund af et uanmeldt tidligere besøg eller ved tilfældig udvælgelse. Her gennemgås en række it-sikkerhedspunkter ud fra et forud fremsendt skema. Uanmeldte kontrolbesøg foretages jævnligt tilfældigt eller på baggrund af konkrete hændelser, som f.eks. it-support har registreret. Herudover er der lagt vægt på mange spontane besøg uden et egentligt kontrolformål. Generelt er bevidstheden om it-sikkerhed og nødvendigheden heraf meget høj, hvilket giver sig udtryk i mange henvendelser om mulige og aktuelle trusler de enkelte brugere har observeret. Tilsvarende bekræfter trafikken på vores it-sikkerhedsportal også denne tendens. I løbet af året har 2.862 it-brugere således været inde på it-sikkerhedsportalen. Statusrapport pr. 1/3 2013 1 18. marts 2013
Sikkerhedshændelser Der er ikke registreret egentlige sikkerhedshændelser i denne kategori i 2012 1. Der er forekommet hændelser, som kunne have udviklet sig til dette, men hvor det kunne løses med uddannelse og omlægning af arbejdsmetode. Trusler Antallet af forsøg på at ramme it-systemerne eller enkelte brugere er generelt steget betydeligt på internationalt plan. Således også mod Randers Kommune. I januar måned 2012 registrerede/fangede kommunens firewall (Ironport) 983 angreb. I januar måned 2013 udgjorde tallet 2334. DKCERT 2 har jfr. deres årsrapport konstateret en stigning i antallet af sikkerhedshændelser på 45 % i forhold til 2011 og forventer at denne stigning fortsætter. Såvel hackerforsøg som i særdeleshed port scanninger er ifølge DKCERT steget voldsomt. It-afdelingen har opgraderet it-sikkerheden generelt og har udvidet brugen af ekstern sårbarhedsscanning af vores it-systemer. Seneste scanning i februar måned af en række udvalgte kritiske systemer viste kun få og mindre sårbarheder, som lader sig rette. Der blev således hverken fundet høje eller kritiske sårbarheder. Sårbarheder i Java, som bl.a. anvendes til at logge ind på netbank, Skat m.fl., har fyldt meget det sidste halve år, fordi hackere har kunnet udnytte disse sårbarheder til at få adgang til brugernes pc, hvis de kunne lokke brugeren til at klikke på et link, som derefter kunne placere forskellige hackerfiler på pc en. Bl.a. en keylogger som f.eks. aflæser brugerens password. Firmaet Oracle har imidlertid opgraderet vedligeholdelsen af denne applikation, så det er blevet vanskeligere for hackeren at udnytte Java til kriminelle aktiviteter. DanId arbejder også på at udvikle et alternativ til Java, men foreløbig taler de om en tidshorisont på 1 år. Udfordringer EU-forordning om persondatabeskyttelse: Et aktuelt udkast til en EU-Forordning om persondatabeskyttelse er udsendt til medlemslandene til udtalelse. I modsætning til et Direktiv tilsidesætter en Forordning de love og bestemmelser medlemslandet har på området. Med andre ord vil vores nuværende Persondatalov med tilhørende bekendtgørelser m.fl. udgå og blive erstattet af en fælles EU-lov. I forslaget skelnes der i øvrigt som udgangspunkt ikke mellem kommercielle virksomheder og offentlige myndigheder, og såvel kommuner som virksomheder med mere end 250 ansatte skal udpege en datasikkerhedsansvarlig som bl.a. skal indberette persondatatab til en myndighed. Ud fra en vurdering af tab og årsag vil der kunne idømmes bøde på en størrelsesorden op til 7,5 mill. Kr. Forslaget handler om at sikre ensartet og bedre beskyttelse af EU-borgernes data og databehandlinger, fordi der indsamles enorme mængder data om borgerne. 1 En sikkerhedshændelse kan eksempelvis være tab af data, servernedbrud eller kriminel handling mod Randers kommunes IT eller brug heraf. 2 DKCERT (Computer Emergency Response Team) er en tjeneste fra DeIC, DTU. DKCERT fungerer som CERT for Forskningsnettet. DKCERT varsler om akutte trusler mod it-sikkerheden på internettet. Statusrapport pr. 1/3 2013 2 18. marts 2013
Der er udvidede krav til udformning af Work flow, blanketter m.m., som kommunen skal anvende fremover. Disse krav fastsættes af EU. Et af kravene er eksempelvis, at borgeren aktivt skal tilkendegive, at han/hun er bekendt med hvilke data der indsamles og hvorfor. I dag er der kun krav om dokumentation af, at borgeren er orienteret herom, hvilket typisk sker i en fodnote i et brev til borgeren. I sit høringssvar til udkastet forudser KL store ressourcemæssige og økonomiske omkostninger for kommunerne til udviklingen af de selvbetjeningsløsninger, som er planlagt/planlægges i forbindelse med digitaliseringsplanen. På it-sikkerhedsområdet vil udfordringen være opfyldelse af udvidede kontrolkrav og regulær sagsbehandling i forhold til den enkelte borgers ønske om indsigt og sletning af egne data, jfr. nye rettigheder i forordningsudkastet. Det er endnu uklart, hvorledes disse rettigheder om sletning af egne data skal udmøntes, hvor sletning/arkivering i dag reguleres i Persondatalov og Arkivlov. Mobilitet Ønske om at kunne tilgå sine data fra hvor som helst og på mobile enheder er stærkt stigende, men de tekniske muligheder for at kunne imødekomme dette er også blevet bedre. Således kan IT-afdelingen i dag tilbyde løsninger som gør det muligt at tilgå Randers kommunes netværk på en sikker og betryggende måde fra eksempelvis skolernes elevnet eller et hvert andet netværk, som brugeren kan få adgang til. Ligeså kan gæster også hos os få adgang til internettet fra medbragt udstyr via vores gæstenet. De øgede muligheder for mobile adgange er netop reguleret i et nyt sikkerhedsbilag om distance- og mobile arbejdspladser, fordi brugen heraf også kræver at brugeren er særligt opmærksom på sikkerhedskrav og risici. Området kræver fortsat megen opmærksomhed. Brugen af ipad er øget betydeligt og ideerne til, hvad de kan bruges til ligeså. Dette har krævet et ikke ubetydeligt ressourceforbrug i årets løb og gør det fortsat, fordi det ofte handler om særdeles personfølsomme data, som kræver en høj grad af sikkerhed, logning m.m.. Ekstern databehandling Brug af Cloudløsninger 3 er ikke steget væsentligt og kun godkendt i tilfælde, hvor der er tale om data som hverken er personfølsom eller fortrolig. Brugen af Cloud er reguleret i et internt bilag som findes på itsikkerhedsportalen. Derimod er antallet af systemer, hvor data befinder sig på servere uden for Randers kommune, ændret fra få til flere databehandlere. KMD var og er stadig en af de store databehandlere, men også forhandlerne af SD- Løn, Prisme, E-dagsorden, Sb-sys m.fl. er kommet på banen. Udfordringen er at der indgås databehandleraftaler med leverandørerne, og at der årligt føres kontrol med, at disse overholder de gældende sikkerhedsbestemmelser i forhold til Randers Kommunes data. 3 Lagring af data på internettet hos eksterne udbydere. Statusrapport pr. 1/3 2013 3 18. marts 2013
Video Møder og kommunikation Ønsker og behov for løsninger på dette område er stigende. Især fordi der kan spares mange penge og tid på transport. Eksempel herpå er tolkebistand, der med brugen af video/audio kan ydes, selv om tolken sidder på en adresse et andet sted i landet. It-udfordringen er sikkerhed, når disse systemer anvendes til regulær sagsbehandling og/eller behandling af personfølsomme eller fortrolige data. Der skal være sikkerhed for, at kommunikationen foregår krypteret og sikkert mellem og kun mellem de berørte parter, ligesom logningskravet jfr. sikkerhedsbekendtgørelsen ikke er mindre blot fordi der er tale om video/audio, der på lige fod med det skrevne er data, som skal bevares. Ikke mindst for at vi kan dokumentere sagsbehandlingen. Også sagspartens ret til indsigt er væsentlig i den henseende. Når der anvendes ekstern udbyder, som eksempelvis et tolkebistandskontor er der også en særlig udfordring i at sikre at deres sagsbehandling og behandling af data er i overensstemmelse med en databehandleraftale, hvis de bånder møderne. Endelig er der også en udfordring i opbevaringen af videooptagelserne fordi de fylder utroligt meget. Video-optagelser Der laves en del video-optagelser på især børn- og unge området. Disse bruges f.eks. til dokumentation af et barns udvikling. Også her gælder at disse optagelser skal opbevares i et system som kan opfylde krav om kryptering og logning, ligesom en anmodning om aktindsigt skal kunne behandles efter gældende lov. Problemet er blot, at de gængse systemer, som f.eks. KMD Sag Edh, ikke kan håndtere så store filer. It-afdelingen arbejder på at finde løsninger også på dette område. Digitaliseringen Den 1. november 2013 skal alle virksomheder i Danmark kommunikere digitalt med det offentlige og 1. november 2014 skal 80 procent af danskere over 15 år kunne kommunikere digitalt med det offentlige. Digital kommunikation med det offentlige stiller især krav om kryptering, verificering, lagring og dokumentation. Det stiller ikke blot store krav digitale postløsninger, men også til selvbetjeningsløsninger hvor borgere og virksomheder kan skaffe sig adgang til egne og relevante data. Det betyder at kommunen skal have øget opmærksomhed på adgangskontroller. Altså at man er sikker på, at den rette borger eller virksomhed får adgang til de rette data, ligesom man, som hidtil, skal være sikker på, at kommunens medarbejdere ikke får adgang til data, som de ikke har lov til at se. Altså kun data som de har brug for arbejdsmæssigt og for at kunne foretage den konkrete sagsbehandling.. Statusrapport pr. 1/3 2013 4 18. marts 2013
Også logningskravene skal være overholdt, så kommunen kan dokumentere misbrug eller modbevise det modsatte. Hele dette område skal vægtes højt. Sikkerhedsstandard DS484, som Randers Kommunes it-sikkerhedspolitik læner sig op ad, er som sådan udgået og vedligeholdes ikke mere af Dansk Standard, som i stedet anbefaler ISO 27001 m.fl. herefter omtalt som 2700-standarden og er den nye internationale sikkerhedsstandard for informationssikkerhed. Den største forskel mellem de to standarder er især udgangspunktet for ansvar, hvor ISO 2700-standarden tager udgangspunkt i, at it-sikkerheden er ledelsens ansvar, mens DS484 tager udgangspunkt i de enkelte sikkerheds områder. Staten og flere andre myndigheder samt mange kommercielle og private virksomheder er gået over til 2700- standarden, mens kommunerne er ret tilbageholdende indtil videre. Formentlig fordi det vil kræve en del ressourcer at omlægge til 2700-standarden, eller at man skønner, at DS484-standarden er god nok endnu. I hvert fald er der ikke formelt krav om, at kommunerne skal overholde en bestemt standard. Sammenholdt med tidligere omtalte EU-forordning og de krav der stilles heri vil det være hensigtsmæssigt at skifte til 2700-standarden før eller senest samtidig med. Statusrapport pr. 1/3 2013 5 18. marts 2013