Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 1
Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 2
Introduktion til de 2 beretninger (1) Fælles for beretningerne: Belyser væsentlige udfordringer for den statslige digitalisering Baserer sig på vores it-revisioner som led i årsrevisionen It-revisionerne er igangsat på eget initiativ Resultaterne kan være gældende for en større kreds af statslige virksomheder. 3
Introduktion til de 2 beretninger (2) Beretning om statens behandling af fortrolige oplysninger om personer og virksomheder baserer sig på: 60 revisionskriterier opstillet ud fra persondataloven, sikkerhedsbekendtgørelsen, ISO 27001 og god praksis på området. Beretningen afrapporterer de væsentligste revisionsresultater 11 revisionskriterier fra sikkerhedsbekendtgørelsen og 7 revisionskriterier fra ISO 27001. Beretning om forebyggelse af hackerangreb baserer sig på: Revisionskriterier har omfattet 3 effektive sikringstiltag mod hackerangreb baseret på udenlandske sikkerhedstjenesters erfaringer (Dept. of Defence of Australia, det amerikanske SANS Institute og det britiske CESG). Effekten af sikringstiltagene i en dansk kontekst er bekræftet af Center for Cybersikkerhed: Hackerangrebene kunne være undgået, eller konsekvenserne af hackerangrebene ville have været væsentligt mindre. 4
Beretning om statens behandling af fortrolige oplysninger om personer og virksomheder Fortrolige oplysninger om personer: 8 statslige institutioner 8 systemer: Arbejdsskadestyrelsen, Danmarks Statistik, Forsvarskommandoen, Institut for Menneskerettigheder, Rigspolitiet, SKAT, Socialstyrelsen og Sundhedsstyrelsen. Fortrolige oplysninger om virksomheder: 3 statslige institutioner 3 systemer: SKAT, Socialstyrelsen og Sundhedsstyrelsen. Systemer, antal registrerede personer og virksomheder og antal brugere fremgår af beretningen, s. 4-5. 5
Beretning om statens behandling af fortrolige oplysninger om personer og virksomheder Persondata: Undersøgelsen viser, at ingen af de undersøgte institutioner efterlever alle de krav til behandling af fortrolige personoplysninger, som fremgår af sikkerhedsbekendtgørelsen, og som er en uddybning af persondatalovens bestemmelser. Virksomhedsdata: Der er ikke fastsat særlig lovgivning for at beskytte fortrolige virksomhedsoplysninger, som det gør sig gældende for fortrolige personoplysninger. Rigsrevisionen finder, at institutionerne bør forbedre sikkerheden for de oplysninger, de behandler om private virksomheder, fordi læk af disse oplysninger fx kan skade virksomhedernes konkurrenceevne. 6
Beretningen om statens behandling af fortrolige oplysninger om personer og virksomheder viste, at 7
Beretningen om statens behandling af fortrolige oplysninger om personer og virksomheder viste, at 1. Er retningslinjerne opdateret årligt? Sikkerhedsbekendtgørelsens 5, stk. 2: De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden. 8
Beretningen om statens behandling af fortrolige oplysninger om personer og virksomheder viste, at 2. Kontrolleres brugeradgange halvårligt? Sikkerhedsbekendtgørelsens 17, stk. 1 og 2: Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne (arbejdsbetinget behov). Kontrol heraf skal foretages mindst én gang hvert halve år. 9
Beretningen om statens behandling af fortrolige oplysninger om personer og virksomheder viste, at 3. Slettes logregistreringerne? Sikkerhedsbekendtgørelsens 19, stk. 1: Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. 10
Beretningen om statens behandling af fortrolige oplysninger om personer og virksomheder viste, at 4. Følges der op på databehandleraftalen? Persondatalovens 42: Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. 11
Beretningen om statens behandling af fortrolige oplysninger om personer og virksomheder viste, at 5. Er der retningslinjer for tilsyn? Føres der tilsyn med sikkerhedsforanstaltningerne? Sikkerhedsbekendtgørelsens 5, stk. 1: Den dataansvarlige myndighed skal fastsætte retningslinjer for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. 12
Beretning om forebyggelse af hackerangreb De udvalgte statslige virksomheder: Energistyrelsen Behandler fortrolige data via myndighedsopgaver. Statens It Er driftscenter for 8 ministerier og ca. 60 virksomheder. De 60 virksomheder behandler tilsammen store mængder af fortrolige data, herunder persondata. Digitaliseringsstyrelsen Har opgaver vedrørende informationssikkerhed i staten. Fører tilsyn med it-sikkerheden på ministerområdet. Behandler fortrolige data. Klima-, Energi- og Bygningsministeriet Ministerbetjeningen er fortrolig. Alle ovennævnte virksomheder håndterer persondata, fx i Outlook, og personalesager. 13
Beretning om forebyggelse af hackerangreb Revisionskriterier baseret på udenlandske sikkerhedstjenester Strategies to Mitigate Targeted Cyber Intrusions, Australian Government, Department of Defence 10 steps to Cyber Security, British Government Communications Headquarters, Communications-Electronics Security Group Critical Controls for Effective Cyber Defense, SANS Institute Vi udvalgte 3 sikringstiltag, som alle 3 organisationer fandt basale og væsentlige. Herudover undersøgte vi, om de statslige virksomheder havde overvejet til- og fravalg i en risikovurdering. Sikringstiltagene var: Download af eksekverbare filer Begrænsning af lokaladministratorer Patchning 14
Beretning om forebyggelse af hackerangreb Hvad viste Rigsrevisionens undersøgelse? Rigsrevisionen fandt, at de data, som de undersøgte statslige virksomheder var ansvarlige for, ikke var tilstrækkeligt beskyttede på undersøgelsestidspunktet. Der var med det konstaterede sikkerhedsniveau en unødig stor risiko for hackerangreb og misbrug af it-systemer og fortrolige data. Det var Rigsrevisionens vurdering, at undersøgelsens resultater kunne være gældende for en større kreds af statslige virksomheder end de netop undersøgte. Statens It havde ikke i tilstrækkelig grad undersøgt risikoen for, at et hackerangreb på én virksomhed med utilstrækkelige sikringstiltag kunne sprede sig til andre virksomheder. 15
Beretning om forebyggelse af hackerangreb Rigsrevisionen anbefalede: At alle statslige virksomheder i deres risikovurdering forholder sig til risikoen for et hackerangreb, herunder om de i tilstrækkelig grad teknisk har begrænset download af programmer fra internettet og brugen af lokaladministratorer, og om anvendte programmer mv. systematisk sikkerhedsopdateres. 16
Hvad er status? Initiativer, som er undervejs: National strategi: Cybertrusler skal indgå i grundlaget for myndighedernes risikoledelse fra 2015, etablering af enhed for vurdering af cybertrusler, analyse af statens forbindelser til internettet, analyse vedrørende styrkelse af sikker kommunikation i staten, enhed til undersøgelse af større cybersikkerhedshændelser og etablering af virksomhedsråd for it-sikkerhed. Beretning fra Folketingets Retsudvalg. EU-forordning. Status hos jer kan have ændret sig siden beretningens udgivelse. 17
18