IT-SIKKERHED Michael Hald, konsulent, KL
Fælleskommunalt program for bedre datasikkerhed og implementering af EU s databeskyttelsesforordning EU s forordning om persondatasikkerhed Baseline Awereness ISO 27.001 Privacy by design
Baggrund 1 Trusselbilledet ændrer sig Vi bruger digitale værktøjer på stadig flere (velfærds)områder Vi bruger stadig flere platforme Vi inddrager borgerne mere i sagsbehandlingen Flere medarbejdere får adgang til borgernes data Antallet af uvenlige handlinger vokser Markedet for svindlere og hackere vokser
Baggrund 2 Et fælles initiativ vil spare ressourcer i den enkelte kommune Et fælles initiativ kan sikre at alle kommuner når i mål Det er væsentligt at der er et ensartet (bund)niveau i alle kommuner For at undgå forhastede reaktioner i tilfælde af sikkerhedsbrud, skal vi sikre at kommunerne har fælles højt sikkerhedsniveau økonomisk: hvis vi har samme niveau kan vi stille ens krav til tredjepart, hvad enten de er leverandører eller andre myndigheder Et mere ensartet sikkerhedsniveau vil forbedre samarbejdet med andre offentlige myndigheder og med private leverandører
0: Forberedelse og baseline Der skal gennemføres en analyse af status for kommunernes arbejde med datasikkerhed Analysen skal dels give den enkelte kommune en baseline der kan arbejdes ud fra, og dels give et samlet overblik over status i kommunerne, der kan bruges til at prioritere den fælleskommunale indsats Bl.a. på baggrund af analysen skal de øvrige projekter planlægges og de forskellige indsatser skal prioriteres Der skal løbende (årligt) følges op på analysen for at sikre, at det samlede niveau bliver løftet Analysen skal efterfølgende kunne gennemføres af den enkelte kommune, flere kommuner eller alle kommuner, så man kan evaluere om de afviklede indsatser har haft den ønskede effekt
1a: Awareness hos medarbejderne Øge kendskabet til databeskyttelse hos ledere og medarbejdere (og borgere generelt) Samarbejde med stat og regioner, og gerne med private organisationer Danne et overblik over hvilke informationsmaterialer vi råder over, afdække rettighedsproblematikker, og stille materiale til rådighed for andre kommuner, enten gratis eller, hvis nødvendigt, med afregning til rettighedsindehaver Udarbejde fælles informationsmateriale Fælles kampagner Dele af denne indsats gennemføres i regi af den fællesoffentlige digitaliseringsstrategi.
1b: Awareness hos kommunen Har kommunen de rigtige kompetencer? Organisatoriske, juridiske, tekniske? Hvad skal DPOen lave? Hvilke kompetenceforløb skal udvikles? Vi skal arbejde for, at alle kommuner har adgang til de rigtige kompetencer: Der er/kommer kurser i persondataforordningen Der er kurser i ISO 27.001 Der skal etableres et sikkerhedsnetværk for kommunale sikkerhedsmedarbejdere/pdoer Der skal laves funktionsbeskrivelser for en PDO Der skal (måske) laves et revisionsprodukt der fokuserer på datasikkerhed Der skal laves input til sikkerhedskrav ved ansættelser (input til kontrakter)
2: Implementering af ISO 27.001 ISO 27.001 er et godt redskab til at sikre at kommunen overholder den nye databeskyttelsesforordning Obligatorisk i Staten, KL anbefaler kommunerne at anvender den Vi har brug for et ensartet (højt) sikkerhedsniveau i kommunerne Alle kommuner har samme forretningsmodel, samme opgaver og, stort set, samme risikoprofil = basis for samarbejde Fælles uddannelse Udarbejde fælles materiale, ex. Fælles databehandleraftaler Samarbejde om risikovurderinger Fælles krav til sikkerhed hos tredjeparts leverandører Fælles krav til revision af datasikkerhed Kompetenceudvikling af DPO
3a: Security by design (fremad) Analysere og anbefale sikkerhedskrav og -principper der skal indgå i rammearkitekturen Koordinere principper og anbefalinger med andre offentlige myndigheder og med leverandører Sikre at al nyudvikling overholder principperne Planlægge hvordan eksisterende systemer kommer til at gøre det Fælles projekt om adgangsstyring Løsningerne skal i større grad understøtte kontrol af f.eks. logning
3b: Privacy by design i eksisterende portefølje Finansministeriet er optaget af at sikre, at både nye og gamle it-systemer har et passende sikkerhedsniveau, men finder, at et krav med tilbagevirkende kraft om at ændre eksisterende it-systemer, så de lever op til principperne bag privacy-bydesign vil være særdeles omkostningstung (svar til folketinget fra JM januar 2016) Hvad gør programmet? Gap-analyse af den eksisterende portefølje i forhold til den nye rammearkitektur Hvor stort er gabet mellem det vi har, og det vi gerne vil? Analyse af konsekvenserne af gabet og prioritering af hvilke gab der bør/skal lukkes på kort og lang sigte Udarbejde plan for hvordan gabet
Implementering af EU s forordning om persondatabeskyttelse Et parallelprojekt i KL med samme styregruppe, og et tæt praktisk samarbejde KL deltager samme med en lang række andre offentlige institutioner i et samarbejde med JM, om at beskrive de lokale tilpasninger på en måde, der er i overensstemmelse med den danske forvaltningstradition Samarbejdet skal tilstræbe, at så meget som muligt af Databeskyttelsesforordningen (DBF), kan overvåges kontrolleres af en godt implementeret ISO 27. 001 Der skal udvikles løsninger der kan kontrollere/dokumentere de dele af databeskyttelsesforordningen, der ikke hensigtsmæssigt kan placeres i ISO 27. 001-standarden
Sammenhæng mellem DBF og ISO 27. 001 Standarden er den mest effektive måde at sikre sammenhæng mellem forordning og datasikkerhed Standarden er international, og der arbejdes på at kode sammenhængen mellem de to
KONTAKT Michael Hald, konsulent, KL (mih@kl.dk)