Sikker digitalisering som vækststrategi sikkerhedsudfordringer og muligheder i kommuner Anette Holck Nielsen, Major Account Manager, Dubex A/S Dubex A/S, den 5. maj 2015
Den digitale fremtid ændrer verden omkring os Security Trails the Nexus of Forces Muligheder (eksempler) Scientists 3D-print bionic ear that hears beyond human range Gregg Pasquarelli realized a childhood dream by 3-D printing his own curved pieces. Wow. Photo: Gregory Reid Internet of Things World s first 3D-printed metal gun Smart cities 3D Printing Opportunities Bedre borgerservice Nærhed til borgerne Mere sammenhægende indsats Bedre information Højere kvalitet Bedre arbejdsmiljø Bedre pleje og omsorg ressourcer til flere varme hænder Mindre forurening Software Defined Anything BYOx Webscale IT Internet time
Digital sikkerhed Informationssikkerhed It-sikkerhed ICS-Sikkerhed Fysisk sikkerhed IoTsikkerhed Cybersikkerhed Digital sikkerhed
Hvorfor digitaliseringsstrategi? En digitaliseringsstrategi beskriver, hvordan digitaliseringen skal understøtte den forretningsmæssige udvikling og drift af kommunen Digitaliseringsstrategiens scope er, hvordan digitaliseringen skal bidrage til, at kommunen når sine forretningsstrategiske mål, herunder hvordan teknologiske trends og muligheder giver nye muligheder for at udvikle kommunen It-strategien beskriver den strategiske udvikling af kommunens itinfrastruktur, it-arkitektur og it-drift. Det kan fx være, om it-driften skal outsources eller varetages i et kommunalt it-driftsselskab Forretningsstrategi Digitaliseringsstrategi It-strategi Eksempel: Alle borgeres ressourcer skal bruges bedst muligt uanset borgerens situation (empowerment) Kommunen skal i videst mulige omfang udvikle apps til smartphones og tablets til at hjælpe handicappede og socialt udsatte i deres hverdag. Kommunens it-miljø skal kunne håndtere apps, herunder sikre integration af data fra mobile devices til etablerede fagsystemer app Kilde: KL, Digitaliseringsstrategi http://www.kl.dk/imagevaultfiles/id_65754/cf_202/gevinstrealiser ing -_Digitaliseringsstrategi_0_5.PDF
It-udfordringer for kommunerne Interne krav - organisation Reduktion af omkostninger Effektivitet og produktivitet Grøn it Fleksibilitet Tilgængelighed og performance Teknologisk udvikling Trådløse teknologier og mobile enheder Båndbredde, netværk og IPv6 Tele presence Open source Interne krav - brugere Adgang til sociale netværk Mobil adgang overalt Anvendelse af cloud-løsninger Work/life balance Consumerization og user empowerment Applikationer Web- og Apps-baserede applikationer Peer-to-peer applikationer Web 2.0 (sociale, wiki, blogs) Nye mobile operativsystemer og applikationer Eksterne krav - lovgivning Lovgivning - persondataloven Compliance ISO27001 Forventninger fra borgerne Krav fra regeringen - digitaliseringsstrategi Eksterne krav borgere Digitale løsninger Tilgængelighed Sociale medier Databeskyttelse Højt serviceniveau
Hændelser - Danmark GovCERT: 250 alvorlige angreb mod ministerier og virksomheder på tre år Siden 2010 har GovCERT registreret flere hundrede alvorlige angreb på de ministerier, styrelser og virksomheder, der er en del af netsikkerhedstjenesten. Nu vil GovCERT have loven ændret. Af Christian Loiborg Torsdag, 6. februar 2014-6:29 Mere end 1.000 sikkerhedshændelser er blevet registreret af GovCERT siden 2010. Det fremgår af et udkast af en evaluering af GovCERT-loven. GovCERT er det danske forsvars it-sikkerhedsorganisation og opererer den såkaldte netsikkerhedstjeneste, som statslige organisationer og myndigheder og styrelser frivilligt kan tilslutte sig. Herudover kan kommuner samt private virksomheder med kritisk infrastruktur tilslutte sig. Eksempelvis har 16 ud af 19 ministerier, Region Hovedstaden, Hillerød Kommune og Odense Kommune meldt sig til, ligesom Dong, KMD og TDC også er en del af netsikkerhedstjenesten. Ifølge GovCERT er en fjerdedel af de 1.000 sikkerhedshændelser alvorlige. Det omfatter bl.a. overbelastningsangreb, som eksempelvis DDoS-angreb, og APT-angreb - Advanced Persistent Threat. GovCERT er en del af Center for Cybersikkerhed. Centeret har tidligere vurderet, at APT-angreb er den største trussel mod dansk cybersikkerhed. De resterende angreb omfatter fund af tegn på virusinfektioner - eksempelvis med malware. http://www.version2.dk/artikel/govcert-250-alvorlige-angreb-modministerier-og-virksomheder-paa-tre-aar-56148 Menneskelig fejl kan være årsag til cyberangreb mod kommuner Angreb som det, der har ramt Gribskov kommune, skyldes oftest menneskelig men Danmark kan være i sigtekornet netop nu, mener ekspert. Af Mads Allingstrup / 22. JAN. 2015 KL. 12.27 Mens Gribskov, Nordfyns og måske endnu flere kommuner netop nu kæmper med a fri af et nedrigt angreb mod deres IT-systemer, er der sansynligvis en eller flere ansa kommunerne, der går rundt med røre øren Ransomware-angreb skyldes nemlig oftest menneskelige fejl, hvor folk kommer til he fil, de ikke skulle have hentet, eller klikker på et link eller en vedhæftet fil i en mail, de
Udfordringer i kommunerne eksempler For mange brugere har adgang til personfølsomme data Manglende opfølgning på brugernes adgange Manglende gennemgang af logfiler Manglende opfølgning og opdatering af sikkerhedspolitikker Fremsendelse af fortrolige og følsomme personoplysninger via ukrypteret e- mail Fejlagtig offentliggørelse af personnumre på hjemmesider Videregivelse af personoplysninger i strid med persondataloven Manglende kontrol med eksterne samarbejdspartnere, der modtager og behandler fortrolige og følsomme personoplysninger Manglende awareness omkring it-sikkerhed og Persondataloven
Hvorfor bliver vi angrebet & konsekvenser? Terrorisme Politiske Cyberkrig & Spionage Kriminelle Angreb Interne Kompromittering af personfølsomme data Tab af troværdighed & mistet tillid - Borgerne har krav på fortrolighed og integritet Angreb på tilgængelighed Sabotage & DDoS Tabt arbejdstid & produktivitet Berigelseskriminalitet Økonomiske tab Fejl og utilsigtede handlinger
It-sikkerhed som enabler for digitalisering Cloud Mobility Big Data Sociale medier Private Cloud, Public Cloud, Hybrid Cloud Smartphones og tablets Consumerization Vækst i datamængder Analyseværktøjer Facebook og Twitter Private Cloud Computing is among the highest interest areas across all cloud computing, with 75% of respondents saying they plan to pursue a strategy in this area by 2014. By 2013, 80 percent of businesses will support a workforce using tablets. Big data in 2-5 years will have a transformative impact on the organization and to give appropriate feedback; by 2015 it will allow companies who have mastered the technology to beat competitors by 20 percent for all existing financial metrics. 78% of IT organizations are concerned about the risks of employee driven, unsanctioned use of Web 2.0 tools and technologies Sikkerhed som enabler
Krav og udfordringer Avanceret infrastruktur og øget kompleksitet Compliance - ISO27001 og lovgivning Udfordrende trusselsbillede Forretningskrav Information er blevet strategisk Medarbejdere og kompetencer
Prioritering af sikkerhed sikkerhed i balance INFORMATION er blevet organisationens vigtigste asset Managing risk Beskytte følsomme oplysninger for at opretholde borgernes tillid og sikre overholdelse af regulativer samtidig med en kontrol af omkostningsniveauet CIO Enabling growth Forbedre og sikre forretningens agilitet ved at give hurtig og intuitiv adgang til de rigtige informationer, værktøjer og applikationer It er grundlaget for alle forretningsprocesser Ledelsen skal beskytte værdierne i organisationen Udfordring: Synliggørelse af den risiko som itanvendelsen medfører Risikostyring skal bruges til at beskytte værdierne i organisationen
Risikostyret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces
Tak!