DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed

Relaterede dokumenter
Bilag 1.Talepapir ved samråd i KOU den 8. oktober

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

National strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden

National strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Forsvarsudvalget L 155 endeligt svar på spørgsmål 11 Offentligt

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

Lov om ændring af lov om Center for Cybersikkerhed - høringssvar - deres sagsnummer 2018/006599

Sikkerhedsprogrammet - Agenda

Nationale sikkerhedsinitiativer

Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt

Forslag til folketingsbeslutning om styrkelse af datasikkerhed

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Center for Cybersikkerheds beretning Center for Cybersikkerheds beretning 2014

Et udkast til lovforslaget har i perioden fra 27. oktober 2017 til 24. november 2017 været sendt i høring hos:

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

Mål- og resultatplan. December 2018

IT-sikkerhedspolitik S i d e 1 9

Tillid og sikkerhed om data

Implementering af NIS-direktivet IXP

ANBEFALING: En mærkningsordning for it-sikkerhed

Vejledende tekst om tilsyn med databehandlere og underdatabehandlere

Notat til Statsrevisorerne om beretning om fejludbetalinger af sociale ydelser. Juni 2014

Nationale cybersikkerhedsinitiativer. Peter Munch Jensen, sektionsleder

Rigsrevisionens notat om beretning om brugervenlighed og brugerinddragelse. digitale løsninger

For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:

Sikkerhedsvurderinger

H AC K ING OG D ATASIKKERHED I SU N DHEDSVÆSENET

Rigsrevisionens notat om beretning om styring af it-sikkerhed hos it-leverandører

Internetdagen 2016 NIS-direktivet. Afdelingschef Thomas Kristmar

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Maj Rigsrevisionens notat om beretning om. universiteternes beskyttelse af forskningsdata

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

En mærkningsordning for it-sikkerhed

ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel

Aftale om digitaliseringsklar lovgivning

CFCS Beretning Center for Cybersikkerhed.

- for forretningens skyld

Digitaliseringsstyrelsens konference 1. marts 2018

Samlenotat vedrørende dop 5 - Rådsmødet (GAC) den

Trusselsvurdering Cyberangreb mod leverandører

Kl Indledning v. Lone Strøm, Rigsrevisor

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Nyhedsbrev om de politiske aftaler med vækstinitiativer samlet i pakken Danmark som vækstnation

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

e êáåö=îéçêk=içî=çã=`éåíéê=ñçê=`óäéêëáââéêüéç=

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Hackertruslen mod Danmark. En analyse blandt IDAs it-professionelle

CYBER CRIME ET LEDELSESANSVAR MORTEN BØDSKOV, MEDLEM AF FOLKETINGET

De første 350 dage med den nye databeskyttelsesforordning

Nye mål. for digital velfærd

ARBEJDSDOKUMENT FRA KOMMISSIONENS TJENESTEGRENE RESUME AF KONSEKVENSANALYSEN. Ledsagedokument til

Kommissorium for Dataetisk Råd 30. januar 2019

Sundhedsministeren. Statsrevisorerne Sekretariatet Folketinget Christiansborg 1240 København K

KONKURRENCE- OG forbrugerstyrelsens STRATEGI

Datatilsynet og Rigsrevisionen har meddelt, at de ikke har bemærkninger til bekendtgørelsesudkastet.

DI s høringssvar til udkast til forslag til en ny dansk udbudslov

Mål- og resultatplan

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Afsluttende rapport for initiativ 1.1: Digital post til alle borgere i 2014

FORSLAG TIL BESLUTNING

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

IT-SIKKERHED. Michael Hald, konsulent, KL INFORMATIONSDAG OM DEN FÆLLESKOMMUNALE HANDLINGSPLAN OG DEN FÆLLESOFFENTLIGE DIGITALISERINGSSTRATEGI

Høring over bekendtgørelser om net- og informationssikkerhed

ANALYSE Informationssikkerhed blandt DI s medlemmer

Fælleskommunal digitaliseringsstrategi

VEDTAGNE TEKSTER Foreløbig udgave

Faxe Kommune. informationssikkerhedspolitik

Kommissorium for Finans Danmarks Rådgivende Forum for Bæredygtig Finans

Forslag. Lov om ændring af lov om Center for Cybersikkerhed

Talepapir til besvarelse af samrådsspørgsmål S og T i samråd d. 16. august Spørgsmål S:

FSOR. Årsberetning 2016 FINANSIELT SEKTORFORUM FOR OPERATIONEL ROBUSTHED

FORSLAG TIL BESLUTNING

Erhvervs-, Vækst- og Eksportudvalget ERU Alm.del endeligt svar på spørgsmål 133 Offentligt

Målrettet arbejde med persondataforordningen for

Informationssikkerhedspolitik. for Aalborg Kommune

Notat til Statsrevisorerne om beretning om brugerinddragelse og brugervenlighed i offentlige digitale løsninger. Februar 2014

Status for den nationale strategi for digitalisering af sundhedsvæsenet ++ Lisbeth Nielsen Direktør for Sundhedsdatastyrelsen

Beredskab i el- og gassektoren

Samråd i SAU den 28. april 2016 Spørgsmål Å-Ø stillet efter ønske fra Jesper Petersen (S) og Peter Hummelgaard Thomsen (S).

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Besvarelse af spørgsmål nr. 202 fra Folketingets Retsudvalg (Alm. del bilag 689).

UDSPIL Strategi for digital læring

National strategi for cyber- og informationssikkerhed. Finansministeriet

U d k a s t. Forslag til Lov om ændring af lov om Center for Cybersikkerhed

Formand for Finans Danmark og koncernchef i Nykredit Michael Rasmussens tale til Finans Danmarks årsmøde, mandag d. 3.

Socialtilsyn Afrapportering af auditforløb

Retsudvalget REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

/2016. November Rigsrevisionens beretning om styring af it-sikkerhed hos it-leverandører

Resultatplan for CPR-administrationen 2019

Mål- og resultatplan

Ny lov for Center for Cybersikkerhed. En analyse blandt IDAs it-politiske panel

Säker Digital Post från myndigheterna

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Transkript:

Den 18. december 2014 DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed 1. Overordnet vurdering En række sager med store datatab fra vigtige danske dataejere, som f.eks. CPR, SSI, Rigspolitiet og Nets har præget mediebilledet i den senere tid. I det lys har regeringen sat fokus på sikkerhedsområdet og lavet en strategi indeholdende 27 konkrete initiativer, som skal bidrage til højne det danske sikkerhedsniveau. Strategien indeholder desuden sikkerhedsanbefalinger fra vækstplanen. Strategien vil i 2015 blive fulgt op af lovgivning, der bl.a. vil implementere en række af de tiltag, som EU Kommissionens forslag til Network Information Security Directive lægger op til. Dårlig sikkerhed i den offentlige sektor er en trussel mod danske virksomheder. DI ITEK har udarbejdet et debatoplæg, der indeholder en række anbefalinger om konkrete initiativer, som vil kunne hæve sikkerhedsniveauet i det den offentlige sektor. Regeringens nye strategi indeholder en lang række af de efterspurgte initiativer, og DI ITEK hilser det derfor velkommen, at regeringen nu sætter fokus på, hvordan sikkerheden kan løftes i den offentlige sektor. Det er nødvendigt med bedre sikkerhed, hvis vi i Danmark skal forblive et digitalt foregangsland. Overordnet vurderes det, at regeringens strategi er ambitiøs og indeholder elementerne til et løft af sikkerheden. Der er dog enkelte reservationer at fremføre. For det første er der flere af initiativerne, som vi afventer at se mere konkrete detaljer på, inden deres effekter kan vurderes. For det andet kunne det have været ønskeligt, at erhvervslivet i højere grad havde været involveret i strategiens tilblivelse. For det tredje kunne strategien have haft et større fokus på sikkerheden i regioner og kommuner, end det er tilfældet. For det fjerde kunne man have lagt større vægt på beskyttelse af personoplysninger herunder Datatilsynets rolle.

For det femte er det centralt, at strategiens tiltag ikke får den negative effekt, at private sikkerhedsleverandører presses ud af markedet, fordi staten selv vil håndtere sin sikkerhed og måske endda udnytte denne i kommercielle sammenhænge. For det sjette afsættes der ikke nye midler til området - strategien skal finansieres som en omlægning af eksisterede midler inden for de berørte ministeriers ressortområder. Endelig er Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste (FE) udpeget til at spille en betydelig rolle i strategiens udførelse. Man kan undre sig over, at det skulle være nødvendigt, at så mange sikkerhedstiltag behøver at skulle foregå i regi af efterretningstjenesten med de konsekvenser, det har for gennemsigtighed og retssikkerhed. DI ITEK vil følge virkeliggørelsen af strategiens initiativer tæt. 2. Gennemgang af initiativerne Bedre implementering af ISO27001 og tilsyn hermed Professionalisering og styrket it-tilsyn Staten skal blive bedre til at implementere sikkerhedsstandarden ISO27001, og en række forskellige initiativer sættes i søen for at understøtte en bedre implementering. I tilknytning hertil skal der laves et statsligt tilsynskoncept, som kan understøtte ministeriers eget it-tilsyn med, at standarden efterleves. Der skal yderligere udarbejdes risikovurdering af offentlige it-projekter og arbejdes med privacy by design. Endelig skal der arbejdes med en styrkelse af de sikkerhedsmæssige kompetencer dels hos statens egne medarbejdere og dels i uddannelsessystemet. Der lægges op til, at der sker en styrket fællesoffentligt samarbejde med kommuner og regioner på it-sikkerhedsområdet, og at det i forbindelse med en kommende digitaliseringsstrategi skal vurderes, om der er behov for en yderligere indsats i forhold til ISO270001 DI ITEK bakker op bag de skitserede tiltag. Vi har peget på, at ISO27001 ikke implementeres i tilstrækkeligt omfang, og at kontrollen med implementeringen er utilstrækkelig. Der er derfor behov for at stramme op på disse punkter for at undgå datatab. Ligeledes har vi peget på, at der er behov for flere kompetencer på dette område, og vi har opfordret til, at der arbejdes med privacy impact assessment, som leder op til privacy by design. DI ITEK bakker op om et styrket fokus på it-sikkerhed i det fællesoffentlige samarbejde om digitalisering, men der er behov for, at en række af initiativerne på det statslige område også gennemføres i kommuner og regioner. I forårets drøftelser af en kommende fællesoffentlig digitaliseringsstrategi for perioden 2016-2020 anbefaler DI ITEK, at regeringen gør det til en prioritet, at også kommuner og regioner skal anvende ISO27001 i deres it-sikkerhedsarbejde på linje med staten. 2

Det er vigtigt, at de kompetencer, som skal udvikles, bruges til at gå i dialog med private sikkerhedsleverandører frem for at tage markedsandele fra private leverandører. De private leverandører er ikke begrænset til at indhente erfaringer fra det danske marked. En del af dem er globale virksomheder, der får internationale efterretninger om sårbarheder, nye former for ondsindet kode m.v. Den viden er meget nyttig, og det vil være et tab for den offentlige sektor ikke at kunne få adgang til den. Sikkerhedskrav til leverandører og opfølgning Viden om cybersikkerhed Klare krav til leverandører Myndighederne vil stille klare sikkerhedskrav til leverandørerne og løbende følge op på, at de overholdes. Dette skal bl.a. ske ved at give inspiration til, hvilke sikkerhedsmæssige krav der skal stilles ved indgåelse af it-kontrakter. Det skal også ske ved, at der skal udarbejdes en helt ny standardkontrakt for it-driftskontrakter. Opfølgningen skal følge CFCS anbefalinger i Styrkelse af sikkerheden i statens outsourcede it-drift, som bl.a. inkluderer bruger og rettighedsstyring, effektive sikkerhedsprocesser og test., at det er positivt, at myndighederne gør sig klart, hvilket sikkerhedsbehov de har brug for, og dermed bliver i stand til at indgå i en fornuftig dialog med leverandørerne. Vi har selv påpeget at det er vigtigt at der udarbejdes præcise kontrolmål, for at kunne kontrollere, at sikkerheden har et niveau, der afspejler risici. Det er imidlertid vigtigt, at der gives mulighed for dialog i udbudsprocesserne, således at der ikke blot kommer en maksimal liste med sikkerhedskrav, som der ikke er reflekteret over. De sikkerhedskrav der stilles, bør afvejes efter en konkret risikovurdering. Styrket cybersikkerhed og mere viden på området Der kvitteres i strategien for det bidrag til informationssikkerheden, som private sikkerhedsleverandører bidrager med. Af hensyn til konsekvenser mod samfundet ved cyberangreb tillige med efterretningstjenernes muligheder for adgang til visse typer af efterretninger, lægges der imidlertid op til, at den offentlige sektor selv skal have en styrket viden på dette område. Blandt de konkrete tiltag fremhæves, at vurdering af cybertrusler skal forbedres. Desuden skal der ske en styrkelse af sikker kommunikation i staten. Erhvervslivet skal inddrages i disse processer f.eks. gennem etablering af et særligt kompetencecenter på SCADA-sikkerhed, der bl.a. skal servicere energibranchen og gennem etablering af et virksomhedsråd. Overordnet er det vigtigt, at de aktiviteter, som den offentlige sektor iværksætter, ikke trænger de private sikkerhedsleverandører ud af markedet. Der findes på en række af de foreslåede områder stærke kompetencer hos de private sikkerhedsleverandører, som ville kunne bidrage til at løfte de skitserede arbejdsopgaver. DI ITEK har haft meget fokus på sikkerhed i produktionssystemer, herunder SCADA-sikkerhed. Vi er derfor glade for, at re- 3

geringen sætter fokus på dette område. Vi vil dog opfordre meget stærkt til, at erhvervslivet inddrages i de foreslåede SCADA-aktiviteter - gerne gennem etablering af erfa-grupper om emnet på tværs af sektorerne. Desuden er beskrivelsen af det kommende virksomhedsråd for it-sikkerhed ganske luftig. Vi ser frem til at få præciseret Rådets arbejdsområder. Lovgivning for tele-, el- og naturgassektoren Danmark skal være mere aktiv internationalt Viden til borgere og virksomheder og styrkelse af politiet Robust infrastruktur i energisektoren og telesektoren Der lægges i strategien op til at indføre ny lovgivning i tele-, elog naturgassektorerne. Det forventes, at det kommende lovforslag på området vil give CFCS meget stor kompetence til at få indblik i teleselskabernes infrastruktur og data. Desuden kan der stilles konkrete krav til telesektorens sikkerhed. Med strategien lægges der desuden op til at gennemføre en styrkelse af kravene til cyber- og informationssikkerhed i el- og naturgassektoren. DI ITEK er enig i, at det er vigtigt med en god beskyttelse af kritisk infrastruktur i det danske samfund. Imidlertid er det også vigtigt, at regeringen ikke stiller virksomheder, som opererer i Danmark, værre end de øvrige europæiske kolleger. Det er også vigtigt, at regeringen nøje opstiller rammer for, hvad de data, som myndighederne får adgang til, kan bruges til, og hvordan de skal beskyttes. Danmark som international medspiller Cyber- og informationssikkerhed fylder til stadighed mere på den internationale dagsorden. På flere forskellige fronter er der lagt op til, at internationalt samarbejde og international regulering bliver styrket. Danmark skal bidrage til og sætte sit fingeraftryk på disse internationale diskussioner. DI ITEK er enig i, at det vil være godt for danske interesser, dersom Danmark gør en styrket indsats i det internationale arbejde. Stærk efterforskning og klar information Regeringen understreger borgernes og virksomhedernes ansvar for egen situation. Samtidig skal der gøres en indsats for at tilvejebringe den fornødne viden for, at disse grupper kan beskytte deres udstyr og data. Der gennemføres en informationsindsats for borgerne, og borger.dk styrkes. Samtidig skal der tages initiativ til at styrke viden om cyber- og informationssikkerhed i folkeskolen. Til virksomhederne vil der blive udviklet et sikkerhedstjek i samarbejde mellem CFCS og erhvervsorganisationerne. Politiets muligheder skal styrkes gennem en udbygning af Rigspolitiets NC3 og PET. DI ITEK er enig i, at der er behov for at styrke viden til borgere og virksomheder. Vi har selv peget på at uddannelse er helt centralt - herunder uddannelse i folkeskolen. Undervisning i folkeskolen kan dog ikke stå alene, og vi opfordrer til at også de videregående uddannelser bringes i spil. 4

Det omtalte virksomhedstjek er ganske luftigt beskrevet, og vi ser frem til en dialog om, hvordan det skal udformes. DI ITEK er enig i behovet for at styrke såvel Rigspolitiet som PET. Der kunne dog godt ønskes et mere internationalt fokus på politiets arbejde, således at der kommer forbedrede muligheder for at bekæmpe international it-kriminalitet. Opfølgning og det fremadrettede arbejde Strategiens elementer skal alle være gennemført inden udgangen af 2016. 5

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback