STATUS PÅ IT-SIKKERHED 2017 Økonomiudvalgsmøde den 13. marts 2018 IT & Digitaliseringschef Jørgen Brolykke Rasmussen
BAGGRUND Odense Kommune havde i 2016 besøg af Datatilsynet, der udtalte kritik af dele af kommunens IT-sikkerhed. IT & Digitalisering har sammen med forvaltningerne efterfølgende arbejdet med de punkter, som Datatilsynet påpegede. Under afrapporteringen af arbejdet til Økonomiudvalget den 7. december 2016 blev det lovet, at IT & Digitalisering giver en årlig status for kommunens arbejde med IT-sikkerhed til udvalget. Dette er status for 2017.
EMNER Trusselsbilledet i 2017 Antal registrerede IT-sikkerhedshændelser i 2017 IT-sikkerhedsarbejdet i 2017 Forberedelserne til EU s nye persondataforordning Afslutning
TRUSSELSBILLEDET I 2017 Udefra Identitetstyveri Økonomisk kriminalitet Ondsindet kode Chikane / Spammails Indefra Medarbejdere bevidst og ubevidst Fejl i IT-løsninger / Dårlig kode IT & Digitalisering og forvaltningerne arbejder løbende med risikominimering og professionel opfølgning på sikkerhedshændelser.
ANTAL REGISTREREDE IT-SIKKERHEDSHÆNDELSER I 2017 Hændelser Beskrivelse Antal Udefra Identitetstyveri Man har elektronisk udgivet sig for en anden 9 Økonomisk kriminalitet Ved brug af IT er det lykkedes at få overført penge fra Odense Kommune 1 Ondsindet kode Internetsider, sociale medier og mails mv. som installerer ulovlige programmer på Odense Kommunes netværk 6 Chikane / Spammails Medarbejdere som bliver chikaneret af udefra kommende 2 Indefra Personoplysninger lækket Personoplysninger, som er vist til uvedkommende 5 Uberettiget adgang til data IT-løsninger, hvor der er givet adgang til personer, som ikke har haft et arbejdsrelevant behov 3 Fejl i IT-løsninger / Dårlig kode Programmer som let giver mulighed for adgang til brugernavn og kodeord 2
IT-SIKKERHEDSARBEJDET I 2017 I 2017 har der været fokus på: Administrative foranstaltninger Opfølgning på Datatilsynets besøg i 2016: Etablering af egenkontrol Databehandlingsaftaler med eksterne leverandører Opfølgning på sundhedsautorisationer Retningslinjer for opfølgning på brugerlogs Opmærksomhedskampagnen - De 10 Bud Initiativer til bekæmpelse af cyberkriminalitet blandt borgere - primært børn, unge og ældre Forberedelse af EU s nye persondataforordning Tekniske foranstaltninger Opgradering til Windows 10, med bl.a. sikkerhedsgodkendelse af IT-programmer projektet fortsætter i 2018 Nyt anti-virus program Opfølgning på ondsindet kode, identitetstyveri og spammails mv.
DE 10 BUD
BEKÆMPELSE AF CYBERKRIMINALITET Byrådet besluttede i oktober 2016 at styrke indsatsen mod cyberkriminalitet rettet mod borgere i Odense Kommune med særlig fokus på børn, unge og ældre. I 2017 er der arbejdet med:
FORBEREDELSERNE TIL EU S NYE PERSONDATAFORORDNING Forordningen træder i kraft den 25. maj 2018. Den danske følgelovgivning og vejledningerne fra Justitsministeriet er endnu ikke helt på plads (bl.a. udestår spørgsmålet om bødestraf til offentlige myndigheder). I Odense Kommune er der etableret et tværgående implementeringsprojekt med styregruppe, central projektgruppe, juridisk arbejdsgruppe og decentrale organiseringer i de enkelte forvaltninger. Der er ansat projektleder og kommende Databeskyttelsesrådgiver. Implementeringsprojektet er delt op fire overordnede opgaver: Juridisk tolkning af forordningen, politikker, retningslinjer, blanketter mv. Organisering af Databeskyttelsesrådgiver og informationssikkerhedsudvalg mv. Udarbejdelse af fortegnelser af persondataregistreringer samt risiko- og konsekvensanalyser Opmærksomhedskampagner for ledere og medarbejdere
AFSLUTNING 2017 viste, at der fortsat er et stort behov for fokus på IT-sikkerhed i Odense Kommune. Anvendelsesgraden og kompleksiteten af kommunens IT-løsninger øges til gavn for borgere, virksomheder og medarbejdere. Antallet af angreb mod kommunen stiger, og bliver mere avancerede. EU Persondataforordningen stiller nye krav ikke mindst til risikovurdering, dokumentation og kontakten til borgere.