Anbefalinger - offentlig it-sikkerhed

dhgyldenkaerne

Anbefalinger - offentlig it-sikkerhed

ANBEFALINGEROffentlige sikkerhedstiltagder gør en forskelDI ITEK1787 København V.3377 3377itek.di.dkitek@di.dkDI ITEK – et branchefællesskabi Dansk Industri for virksomhederinden for it, tele, elektronik ogkommunikation


BEHOV FOR STYRKELSE AF DEN OFFENTLIGEINFORMATIONSSIKKERHEDDårlig informationssikkerhed i den offentlige sektor er en trussel mod digitaliseringeni Danmark. Den dårlige offentlige sikkerhed er også en trussel mod de data,som virksomhederne skal afgive til det offentlige. Derfor ønsker DI, at Regeringensætter fokus på at forbedre sikkerheden.Der er grund til bekymring. Rigsrevisionen har kritiseret, at basale sikkerhedskravikke efterleves. Datatilsynet kritiserer løbende tab af data hos forskellige offentligeaktører, og offentlige systemer og registre hos både offentlige og private leverandørerer blevet kompromitteret. Analyser af implementeringen af sikkerhedsstandardenISO27001 hos forskellige offentlige aktører viser, at der er rum til forbedring.Samtidig øges truslerne i disse år. Undersøgelser peger på, at målrettede angrebfylder mere i trusselsbilledet end tidligere. En del af disse angreb kommer ifølgeForsvarets Efterretningstjeneste fra statslige aktører, der bruger internettet til atspionere. Samtidig stiger mængden af kendte sårbarheder, der er stor stigning ikompromittering af digitale identiteter, og mange borgere og virksomheders computereer inficerede med såkaldte BOTS. 1Derfor har DI samlet en række bud på, hvilke indsatser regeringen skal tage for atstyrke informationssikkerheden i samfundet.Der er grundlæggende for lidt fokus på sikkerhed hos topledelsen. Ledelsen har ansvaretfor, at den digitalisering, der iværksættes, behandler data på en sikker måde.Derfor skal der skabes incitamenter i form af KPI’er og bøder, som sikrer, at ledernefår den fornødne opmærksomhed på problemstillingen.Ledernes midler til at opnå dette er at sikre, at sikkerhedsstanden, ISO27001, efterlevesved at gennemgå og følge op på den tjekliste med konkrete kontroller, somstandarden anbefaler. Pointen er ikke, at der altid skal vælges et meget højt sikkerhedsniveautil at beskytte alt. Pointen er, at ledelsen skal forstå risici og sørge for atder bliver valgt et sikkerhedsniveau, der svarer til risikoen. Der følges op på, atdette sikkerhedsniveau efterleves ved at gennemgå kontrollerne.Foruden kontrollerne anbefaler DI også, at der anvendes moderne metoder og teknologiertil at beskytte data. Beskyttelse af data skal designes ind i systemerne, derskal anvendes teknologier, som beskytter data, og vi skal have en ny fleksibel digital1 FE, Center for Cybersikkerhed: Truslen i cyberspace, http://feddis.dk/cfcs/CFCSDocuments/Center%20for%20Cybersikkerhed%20trusselsvurdering.pdfFE, Efterretningsmæssig risikovurdering 2013, http://fe-ddis.dk/SiteCollectionDocuments/FE/EfterretningsmaessigeRisikovurderinger/Risikovurdering2013.pdf.Symantec Internet Security Threat Report, http://www.symantec.com/security_response/publications/threatreport.jsp.IBM, X-Force, http://securityintelligence.com/cyber-attacks-research-reveals-toptactics-xforce/.ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 2


signatur. Med ledelsesforankring, anvendelse af standarden og anvendelse af modernemetoder og teknologier kan data placeres overalt i verden ud fra en konkretvurdering af risici.Vi håber, at regeringen vil begynde at tage sikkerhed seriøst og indarbejde en rækkeaf disse foreslåede tiltag i de digitaliseringsudspil, som vil udkomme det næstehalve år: Moderniseringsudspillet, Digitaliseringsstrategien,Regeringen har allerede taget vigtige skridt med Vækstplan for Digital Vækst og Cybersikkerhedsstrategien,der begge er udkommet i december 2014.ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 3


OPSTIL OPERATIONELLE SIKKERHEDSTILTAG OG FØLG OPRegeringen bør sikre, at ejerne af de offentlige it-systemer operationaliserer deressikkerhedstiltag således, at der kan kontrolleres på sikkerhedsniveauet, og såledesat Datatilsynet, Rigsrevisionen og andre relevante myndigheder kan følge op påuregelmæssighederne.Hvad er problemet?Når den offentlige sektor iværksætter it-projekter, stilles der på sikkerhedsfrontensom regel kun overordnede krav om overholdelse af ISO27001 og persondataloven.Dette er uanset om systemerne hostes in-house, eller om der vælges en leverandør iden private sektor. Kravene til informationssikkerhed operationaliseres ikke i kontrolmålog kontroller.Der foretages ikke i fornødent omfang en systematisk opfølgning af kontrollerne fraISO27001, ligesom der ikke i tilstrækkelig grad tages hensyn til eventuelle anmærkningerfra revisorer. Der tænkes heller ikke nok på sikkerhed i de indledende faseraf it-projektarbejdet.Hvad er løsningen?Der skal med udgangspunkt i de tiltag, som nævnes i ISO27001,stilles konkrete kontrolmål til sikkerheden i en it-løsning og til demennesker og processer, som omgiver den. Kontrolmålene skaloperationaliseres i kontroller, som bl.a. bør inkludere risikoanalyse,dataklassifikation, udarbejdelse af sikkerhedspolitikker ogretningslinjer, adgangskontrol og autorisation, to-faktor autentifikation,mulig anvendelse af kryptering, penetrationstests, funktionsadskillelseog logning.Der skal foretages opfølgning og indhentes dokumentation for, atkontrollerne virker. Kontrolmål, procedurer, kontroller og opfølgning skal afspejlerisiko. Der bør lægges vægt på, om leverandørerne er proaktivt transparente medhensyn til dokumentation af den informationssikkerhed, de kan tilbyde. Kravene tilsystemerne og implementeringen af kontrollerne bør specificeres så tidligt i et itprojekt,som muligt, således at sikkerhed ikke bliver et fordyrende add-on til endårligt designet løsning. Rigsrevisionen eller Datatilsynet bør få til opgave mindstén gang årligt at gennemgå kontrollerne ved større offentlige it-systemer.INFORMATIONSSIKKERHED SKAL FORANKRES HOSTOPLEDELSENRegeringen skal gennem incitamenter som KPI’er og evt. bøder sikre, at ansvaretfor organisationens informationssikkerhed forankres hos topledelsen.Hvad er problemet?FAKTADer er generelt ikke tilstrækkelig forankring af informationssikkerheden hos topledelsen.Herunder er topledelsen ikke tilstrækkeligt opmærksom på at sikre, at dersker en operationalisering af sikkerheden i kontrolmål, kontroller og tilvejebringelseaf en sikkerhedskultur.Kontrolmål er de overordnede sikkerhedsmål,der opstilles - f.eks. atder skal være adgangskontrol.Kontroller er en operationaliseringaf kontrolmålet på en form, hvorman kan tjekke op på om målet erimplementeret - f.eks. at brugere,der har forladt organisationen ikkelængere kan tilgå systemerne.ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 4


Informationssikkerhed betragtes i mange sammenhænge som en teknisk disciplin.Sikkerhed omhandler imidlertid også mennesker og processer, og for at få en helhedsorienterettilgang til sikkerhed skal disse forhold også adresseres.Hvad er løsningen?Standarden skal forankres hos topledelsen, som skal sikre, at kontrolmålene operationaliseresi konkrete kontroller og procedurer. Der skal laves incitamenter til lederne,så det bliver en del af deres KPI. Der kan også evt. introduceres administrativebøder til organisationer, som ikke har implementeret ISO27001 og persondatalovenpå en fornuftig måde.Kontrolmål og kontroller skal ikke alene forstås som en teknisk disciplin. Der skaljf. ISO27001 også etableres kontroller i forhold til mennesker og processer.OBLIGATORISK SIKKERHEDSSTANDARD I HELE DENOFFENTLIGE SEKTORRegeringen skal sørge for, at sikkerhedsstandarden, ISO27001 bliver obligatoriskat anvende i kommuner og regioner, ligesom den er i staten.Hvad er problemet?Sikkerhedsstandarden ISO27001 er obligatorisk at anvende i staten. Imidlertid erden frivillig at bruge i kommuner og regioner. Det betyder, at ikke alle aktører i denoffentlige sektor er forpligtet til at bruge standarden. Standarden sikrer, at brugernekommer rundt om alle aspekter af sikkerhed. Uden en standardiseret tilganger det sandsynligt, at der er sikkerhedshuller i it-systemerne.Hvad er løsningen?ISO27001 bør gøres obligatorisk overalt i den offentlige sektor – også hos kommunerog regioner. Standarden er indrettet således, at ledelsen skal tage stilling til alletænkelige sikkerhedskontroller, der er omtalt i standarden. Man skal imidlertidkun implementere de kontroller, som er relevante. Derfor er ISO27001 nyttig at anvendefor alle.ANVEND MODERNE METODER OG TEKNOLOGIER TIL ATBESKYTTE DATARegeringen må kræve, at der ved alle offentlige it-projekter laves en risikovurdering,og at der på baggrund af denne inddrages de nødvendige moderne metoder ogteknologier til at beskytte data. Rigsrevisionen eller Datatilsynet bør vurdere og vejledeom hvilke moderne metoder og teknologier, som bør tages i anvendelse.Hvad er problemet?Når der tages initiativ til it-projekter, laves der ofte en juridisk vurdering af, omprojektet er i overensstemmelse med fortolkningen af lovgivningen. Der tages somhovedregel ikke stilling til de konkrete risici, som eksisterer på et givent tidspunkt.Der tages heller ikke stilling til, om projektet kan designes på en måde, som er mindreindgribende for borgerens ret til privatliv. Det er relevant, når it-projektet gælderet system, hvori der behandles personoplysninger. På denne baggrund bliverANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 5


sikkerhedselementet i it-projekter bagudskuende og hænger fast i historiske fortolkningeraf ældre lovgivning fremfor at få bragt moderne metoder og teknologier ispil.DI har igennem flere år arbejdet for, at man i højere grad begynder at anvende privacyimpact assessment, privacy by design og privacy enhancing technologies for athøjne sikkerheden, når der behandles personoplysninger. Der er kun sket i megetbegrænset omfang. En af årsagerne er, at der er tilbageholdenhed hos bl.a. Datatilsynetmed at stille obligatoriske krav om at bruge disse redskaber.Hvad er løsningen?Moderne metoder og teknologier skal anvendes til at sikre data.Anvendelsen af metoderne og teknologierne skal tage udgangspunkti en risikovurdering. Dette vil give en langt bedre sikkerhed,end vi opnår i dag. En række af de datatab, som har væretmeget omtalt i offentligheden på det seneste, ville kunne haveværet udgået. Der skal være rum til, at eksisterende lovgivningsmæssigfortolkningspraksis kan justeres, således at der kan skabeset incitament til at tage metoderne og teknologierne i anvendelse.Der er behov for, at Rigsrevisionen eller Datatilsynet vurderer ogvejleder om hvilke metoder og teknologier, som kan anses for atvære tilstrækkeligt modne til, at skulle gøres obligatoriske at anvendeeller kan anbefales at anvende ved fremtidig anskaffelse ellerudvikling af eksisterende it-systemer. Krav og kontroller samtmetoder og teknologier skal løbende justeres i takt med udviklingenaf trusselsbilledet og de teknologiske muligheder. På denmåde vil man sikre, at der løbende stilles nye tidssvarende kravtil it-systemer.FAKTAModerne metoder og teknologierdækker især tre elementer:Privacy Impact Assessment, som eren risikoanalyse ved at en organisationbehandler personoplyser – setfra den registreredes synspunkt.Privacy by Design, som betyder atman designer beskyttelse af data indi it-systemet.Privacy Enhancing Technologies,som dækker over en gruppe af teknologier,der kan designes ind i itsystemet.Teknologierne inkludererbl.a. rollebaseret adgangskontrol,anonymisering og kryptering.DATA SKAL KUNNE PLACERES OVERALT I VERDENRegeringen bør arbejde for, at der ikke opstilles begrænsninger på, hvor i verdendata kan placeres. På baggrund af risikoanalyser og anvendelse af teknologier kandata principielt ligge sikkert overalt.Hvad er problemet?Der har i offentligheden været en del afsløringer af forskelligeformer for overvågning på internettet tillige med omtale af forskelligestatssponserede gruppers og organiserede kriminellesforsøg på uretmæssigt at tilegne sig data. På den baggrund har viset en forstærket international politisk tendens til at stille kravom, at data skal lokaliseres inden for et bestemt geografisk område.Dette vil begrænse mulighederne for at anvende it-løsningersom f.eks. cloud computing. En sådan begrænsning vil ikkenødvendigvis give en bedre sikkerhed.FAKTAKryptering er en teknologi, som sikrerat data ikke umiddelbart kan læsesaf dem der får adgang til data.Kun de betroede personer, som haradgang til den nøgle der har krypteretdata, kan læse dem.ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 6


Hvad er løsningen?Data og systemer ligger bedst der, hvor deres beskyttelse svarer til de risici, som destår overfor. Derfor er løsningen ikke at lægge begrænsninger på den geografiskeplacering. Geografi har sikkerhedsmæssigt alene betydning for tilgængeligheden.Løsningen er på baggrund af en risikovurdering at stille krav om anvendelse afstærke sikkerhedstiltag, som beskytter fortrolighed on integritet. Nogle af de sikkerhedstiltag,som har størst effekt i denne sammenhæng er kryptering. Krypteringhar den effekt, at kun personer med adgang til krypteringsnøglen kan læse data.BAK OP BAG EU-KOMMISSIONENS FORSLAG TILPERSONDATAFORORDNINGRegeringen bør bakke op om EU-Kommissionens forslag til ny persondataforordning,som sikrer harmonisering af reglerne og stiller krav om anvendelse af modernemetoder og teknologier til at beskytte it-systemer og data.Hvad er problemet?Den nuværende lovgivning for beskyttelse af personoplysninger er lavet på et tidspunkt,hvor der ikke var den store anvendelse af digitale personoplysninger, som viser i dag. Lovgivningen har derfor vanskeligt ved at blive fortolket i forhold tildenne udvikling. Bl.a. stilles der som nævnt ikke krav om anvendelse af privacy impactassessment, privacy by design og privacy enhancing technologies.Fortolkningspraksis i de forskellige lande er forskellig, og det betyder store omkostningerfor virksomheder, som opererer i forskellige EU-lande. For borgerne skaberdet usikkerhed om, hvilke regler der gælder.Det er vigtigt, at forordningen adresserer de områder, som kan harmonisere reglerneog give reel bedre sikkerhed. I det nuværende forordningsudkast er der enrække tiltag, som er meget byrdefulde i forhold til deres forventede effekt.Hvad er løsningen?Regeringen bør bakke op bag EU Kommissionens forslag til ny persondataforordning.Forordningen indeholder en række positive tiltag vedrørende privacy impactassessment, privacy by design og privacy enhancing technologies, som netop ernogle af de moderne metoder og teknologier, som DI ønsker bliver bragt i anvendelse.Forordningen vil også sikre den nødvendige harmonisering på tværs af landegrænserne,dels fordi der er tale om en forordning, og dels fordi der gennem den foreslåedesammenhængsmekanisme sikres en fælles bindende fortolkningspraksis i landene.Det bør dog bemærkes, at teksten i forordningen bør justeres på en række områder,særligt i forhold til bødestørrelser, informationsforpligtelsen, dokumentationsforpligtelsenog den obligatoriske data protection officer. DI har uddybet sine bemærkningertil forordningens indhold i vores høringssvar.ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 7


MERE FLEKSIBEL DIGITAL SIGNATURDigitaliseringsstyrelsen bør sikre, at næste generation digital signatur bliver langtmere fleksibel at bruge og således giver adgang til forskellige grader af identifikation.Hvad er problemet?Den nuværende digitale signatur er en ufleksibel alt eller intet løsning, som ikke giverborgere og virksomheder muligheder for at styre de forskellige egenskaber (attributter),der er tilknyttet signaturen. Samtidig har signaturen ikke mulighed for atfastsætte forskellige grader af sikkerhed på baggrund af et konkret behov og enkonkret risikoprofil. Det betyder, at signaturen har en række begrænsninger i sinanvendelse, og dermed ikke forløser det potentiale, en sådan signatur kunne havesom infrastrukturkomponent.Det forhold, at signaturen alene udbydes af én leverandør, betyder også, at der ikkeer konkurrence på området – dette på trods af at mange aktører internationaltkæmper om at blive identity provider på tværs af tjenester og platforme.Hvad er løsningen?Næste generation digital signatur bør give borgere og virksomhedstørre fleksibilitet med hensyn til anvendelse af signaturens egenskaber(attributter).For det første er det oplagt, at borgerne kan bruge signaturenuden at identificere sig, således at man kan oprette et pseudonymeller rækker af afledte identiteter fra signaturen som f.eks. ”over18 år”, ”gyldigt kørekort” eller ”dækket af sygesikring”.FAKTAEn digital signatur vil typisk indeholdeeller kunne tilknyttes enrække egenskaber om den person,som signaturen vedrører – f.eks.køn og alder. Signaturen kan imidlertidtilknyttes alle mulige egenskaber– f.eks. gyldigt kreditkort og renstraffeattest.For det andet bør signaturen for virksomheder kunne indrettes såfleksibelt, at man kun behøver én signatur, og at der til denne kantilknyttes forskellige roller på tværs af forskellige CVR-numre.For det tredje bør signaturen indrettes således, at den kan afspejleflere sikkerhedsniveuaer, der fastlægges på baggrund af en konkret risikovurderingi de forskellige tjenester.For det fjerde bør den fremtidige løsning indrettes således, at den kan inkorporerede grupperinger af egenskaber (attribut-ontologier), som standardiseres af markedsaktørerne.Dette vil sikre muligheder for samarbejde på tværs af nationalegrænser.For det femte er det vigtigt, at der sikres fleksibilitet med hensyn til opbevaring afnøgler, således at man kan vælge den opbevaring, som man har mest tillid til.Endelig bør man sikre, at der er flere udbydere af digital signatur, således at derskabes konkurrence på området, og således at brugerne kan vælge den leverandør,de har mest tillid til.Markedet er i gang med at udvikleen række kombinationer af egenskaber,som kan tilknyttes signaturer ogmere generelt digitale identiteter.ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 8


FREMTIDSSIKRING AF CPR-SYSTEMETIndenrigsministeriet bør arbejde for, at CPR-nummeret fremtidssikres og aldrig isin nuværende form bruges til autentifikation og autorisation.Hvad er problemet?Det nuværende CPR-system har fungeret glimrende til at identificere borgere ogsammenkoble data på tværs i it-systemer. Imidlertid er der med tiden sket et skred,hvor man foruden at identificere sig også autentificerer og autoriserer borgere påbaggrund af CPR-nummeret. Det er nummeret ikke lavet til, da nummeret i sig ikkeudgør en sikkerhedsforanstaltning.Det forhold, at nummeret bruges til autentifikation og autorisation,gør, at it-kriminelle ser fordele i at bemægtige sig andremedborgeres CPR-nummer med henblik på at begå identitetstyveri.I løbet af 2014 har der været gentagne eksempler, som viser,hvor let det er at få adgang til andre menneskers CPR-nummer.Det er lettere at gætte et CPR-nummer, når nummeret indeholderkøn og alder. CPR-nummerets anvendelse er dermed med til atunderminere tilliden til digitaliseringen.Hvad er løsningen?CPR-nummeret må aldrig bruges til autentifikation og autorisation.Når man skal autentificere og autorisere kan man passendeforlade sig på et af sikkerhedsniveauerne i den næste generationdigitale signatur – jf. anbefalingen ovenfor.CPR-systemet skal videreudvikles og fremtidssikres, således atdet fortsat kan fungere som et sikkert fundament for digitaliseringenaf Danmark, samtidig med at borgernes data beskyttes bedstmuligt. En videreudvikling betyder bl.a., at køn og alder bør fjernesfra CPR-nummeret, således at disse to parametre ikke kanbruges til at gætte på en persons identitet.FAKTAIdentifikation er et postulat om, atman er en bestemt fysisk person.Postulatet kan fremføres f.eks. vedat nævne et CPR-nummer eller vedat vise et pas.Autentifikation er den proces, somgennemgås for at verificere, at detfremsatte postulat er korrekt. Vedmundtligt at nævne et CPR-nummerer det ikke muligt at verificere, mendet sker ofte alligevel.På baggrund af verifikationen kanman opnå rettigheder til noget,f.eks. ved fremvisning af pas kanman få lov til at rejse ind i Danmark.Dette kaldes autorisation.INFORMATIONSSIKKERHED OG PRIVACY IND IUDDANNELSESSYSTEMETUndervisningsministeriet samt Uddannelses- og Forskningsministeriet skal arbejdefor, at informationssikkerhed bliver bedre integreret på alle niveauer i uddannelsessystemet.Hvad er problemet?Unge mennesker agerer agilt i den digitale verden og bruger online tjenester til atlege, være sociale, købe ind og bygge og udvikle deres identitet. Det er godt. Men enstor gruppe unge får også dårlige oplevelser på nettet i form af mobning, tyveri ellermisbrug af data og immaterielle aktiver. De kommer også jævnligt til at profileresig på en uheldig måde – en måde, som de senere fortryder, men ikke kan gøreugjort. En stor gruppe har ikke de nødvendige forudsætninger for at vurdere, hvadder er sikkert, og hvordan de beskytter deres personlige oplysninger.ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 9


På de videregående uddannelser er det nødvendigt, at der også tilvejebringes mereviden om informationssikkerhed og beskyttelse af personoplysninger. I forhold tilde tekniske uddannelser er der et stort behov for at få flere eksperter uddannet tiljobs i it-sektoren, it-sikkerhedssektoren og til offentlige myndigheder. I forhold tilandre uddannelser er det også nødvendigt at tænke sikkerhed – f.eks. jurister, somskal omgå deres klienters data, læger, som skal omgås deres patienters data ogjournalister, som skal omgås data fra deres kilder.Hvad er løsningen?Sikkerhed skal gøres til et obligatorisk element i Folkeskolen. Hvis unge ikke får videnom demokratiet, ved de ikke, hvorfor demokratiet er værd at støtte, og hvordande kan indgå i den demokratiske beslutningsproces. Hvis unge ikke får viden omsikkerhed, ved de ikke, hvordan de skal beskytte deres udstyr og data, og de får dermedmåske dårlige oplevelser ved og manglende tillid til digitaliseringen. Der børudarbejdes undervisningsværktøjer, som lærerne kan bruge i undervisningen forogså selv at komme på niveau med udviklingen og tackle trusselsbilledet bedst muligt.Forankring af viden om informationssikkerhed og værdien af privatlivsbeskyttelsei folkeskolen vil måske også kunne bidrage til større interesse for dette områdeog dermed forhåbentlig i større interesse for at tage en uddannelse på detteområde.Også på de videregående uddannelser bør informationssikkerhed have større fokus.Der skal laves en målrettet indsats for at få tekniske studerende til at tage fag indenfor informationssikkerhed. Desuden skal informationssikkerhed enten integreres ieksisterende fag på de videregående uddannelser, eller også skal der udbydes et obligatorisktværfagligt sikkerhedsmodul af f.eks. 10 lektioners varighed, som forklarer,hvordan man beskytter udstyr og data.MERE VIDEN OM INFORMATIONSSIKKERHED TIL BORGERNERegeringen skal bibringe borgerne mere viden om informationssikkerhed gennemkampagner og konkret rådgivning.Hvad er udfordringen?På trods af den omfangsrige digitalisering og forventninger om, at borgerne tageroffentlig digitalisering til sig, er der alt for lidt fokus på at sikre borgernes udstyrteknisk og på at bibringe borgerne viden om, hvordan de opfører sig fornuftigt pånettet og foretager deres egne risikovurderinger. Der har eksempelvis været flerehistorier fremme om, at borgeres brugernavn og password til forskellige online tjenesterer blevet opsnappet, og deres indhold fra tjenesterne lagt ud på det åbne internet.Dette sker på trods af, at de pågældende tjenester ikke i sig selv var blevetkompromitteret.Hvad er løsningen?Borgerne skal have adgang til tilstrækkelig viden om, hvordan de sikrer deres computere,de tjenester de bruger, og hvordan de opfører sig fornuftigt på nettet. Konkretindebærer dette kampagner for at borgerne installerer sikkerhedspakker medbl.a. antivirus og firewall. Det indebærer også, at brugerne får gode råd til at udformeog opbevare passwords og stille krav om evt. ekstra faktorer af sikkerhed, ide tjenester de ønsker at bruge. Endelig indebærer det, at borgerne formår at laveANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 10


deres egne risikovurderinger af, om de vil anvende en given tjeneste, og i givet faldhvilke data det er rimeligt at afgive til tjenesten. Der bør ske en styrket indsats i forholdtil at rådgive borgerne om informationssikkerhed. En borgerrettet rådgivningstjenestekunne bidrage til at løfte behovet for mere viden hos borgerne.MERE VIDEN OM TILLID TIL HÅNDTERING AFPERSONOPLYSNINGERDer er behov for at der tilvejebringes mere viden om, hvordan offentlige myndighedersikrer borgere og virksomheders tillid til håndtering af data. Ligeledes skaldenne viden formidles og bruges i praksis.Hvad er problemet?Anvendelse af nye teknologiske muligheder er noget af det, som har det størstevækstpotentiale for danske virksomheder og for det danske samfund. Anvendelsenaf personoplysninger eller andre følsomme data kan imidlertid resultere i modstandmod og manglende tillid til teknologierne hos dem, der registreres, desuagtetat data kunne anvendes til det fælles bedste.Der er ikke tilstrækkelig viden om, hvordan man skaber tillid. Kendskabet, til denviden der er, er ikke særlig udbredt. Anvendelsen af denne viden er heller ikke særligudbredt.Hvad er løsningen?Der er behov for mere viden om, hvordan man kan designe løsninger og anvendepersonoplysninger og andre følsomme data, uden at tilliden til digitale løsningersættes over styr. Denne tillid kan påvirkes via f.eks. gennemsigtighed, gennem anvendelseaf pseudonymisering, anonymisering m.v., samt ved at tillade borgernekontrol med, hvornår de kan tillade anvendelse af deres data, og hvornår de ikkekan.DI opfordrer til, at der afsættes midler til forskningsprojekter om, hvordan mankan forbedre tillid til håndtering af personoplysninger. Resultaterne skal formidlesoffentligt, så de kan bruges både i den offentlige og i den private sektor. Resultaterneskal indgå i arbejdet med fremtidige digitaliseringsløsninger, herunder alleredeved udbuddet af sådanne.ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 11


AFSKAFFELSE AF RETSFORBEHOLDET SKAL MULIGGØREØGET BEKÆMPELSE AF GRÆNSEOVERSKRIDENDEKRIMINALITETRegeringen bør arbejde for en afskaffelse af retsforbeholdet således, at Danmarkkan indgå i et forbedret internationale samarbejde om bekæmpelse af it-kriminalitet.Hvad er problemet?Meget af den it-kriminalitet, som rammer danske interesser, har rod i udlandet.Selv om der eventuelt foretages anmeldelse til politiet, kan det være næsten umuligtat fange bagmændene. Samarbejdet mellem de forskellige landes politi er fordårligt.Anmeldelser til politiet betragtes desuden af mange virksomheder som bøvlet, ogmed minimal chance for at de skyldige fanges. Når man foretager anmeldelse tilden lokale politikreds, vil det typisk være vanskeligt at finde nogen, som har derette kompetencer til at behandle anmeldelsen.Skulle en sag endelig føres ved danske domstole, er det vanskeligt for anklagemyndighedenog for domstolen selv at forestå og forstå de ofte meget tekniske beviser,der fremlægges.Hvad er løsningen?Der skal ske en forbedring af det internationale samarbejde mellem politimyndigheder.Dette vil bl.a. kunne styrkes ved, at Danmark afskaffer retsforbeholdet påEU-området, så vi fuldt ud kan indgå i politisamarbejdet vedr. it-kriminalitet i EU.Tilsvarende bør der ske et forbedret samarbejde mellem cybersikkerhedsmyndigheder,således at de kan dele early warnings med hinanden, som der er lagt op tilEU Kommissionens forslag i Network Information Security Directive. Regeringenbør bakke op bag dette forslag til direktiv.Kompetencerne i de enkelte politikredse skal forbedres, eller også skal systemet foranmeldelse af it-kriminalitet ændres. Formålet er at give en oplevelse af, at sagenbehandles, at der er en vis chance for at fange forbryderen, og dermed at det hæverrisikoen ved at være kriminel.Desuden skal der ske en forbedring af de informationssikkerhedsmæssige kompetencerhos anklagemyndigheden og hos dommerne gennem målrettede universitetsuddannelser.ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 12


EUROPÆISK FOKUS PÅ SIKRING AFPRODUKTIONSSYSTEMERRegeringen bør, som en hjælp til erhvervslivet og sikkerheden i det danske samfund,arbejde for en europæisk fokusering på sikkerhed i produktionssystemer.Hvad er problemet?Danske virksomheder har rimelig fokus på sikkerhed i de administrativesystemer. Tilsvarende har de mulighed for på det privatemarked at købe løsninger til at håndtere de trusler, de står overfori overensstemmelse med deres risikovurdering. I forhold tilproduktionssystemer (Industrielle Kontrol Systemer, ICS) er derimidlertid ikke nødvendigvis tilstrækkelig fokus. Da ICS kontrollerervæsentlige dele af de produktionssystemer, som udgør denkritisk infrastruktur (f.eks. elektricitet og varme), vil det være megetnyttigt at få sat fokus på dette område.Hvad er løsningen?Der er behov for, at regeringen arbejder for, at EU får større fokuspå dette område. Det foreslås, at regeringen laver en målsætningom at få etableret en fælleseuropæisk organisation, der kan udsendeearly warnings om ICS-sårbarheder og –angreb (EU ICSCERT). Tilsvarende bør regeringen sikre, at der sker en koordinationmellem USA og EU i forhold til udvikling og promovering afICS-sikkerhedsstandarder som f.eks. NIST800-82, således at regionerneikke går enegang og laver hver deres sæt af standarder.Endelig ville det være nyttigt, hvis man på europæisk plan kunne etablere et ICSsikkerhedstrænigscenter,hvor sikkerhedsteams kunne modtage træning i at beskyttesig mod hackerangreb efter forbillede fra University of Idaho.NATIONAL VARSLINGSTJENESTEFAKTAIndustrielle kontrolsystemer, ICS, eren bestemt type it-systemer beståendeaf SCADA-systemer og PLC’er,som bruges til at styre produktion.ICS-systemer adskiller sig væsentligtfra de administrative systemer, sominformationssikkerhed normalt ermålrettet. F.eks. er de designet til athave en meget lang levetid og enmeget høj tilgængelighed. Der haromvendt hidtil ikke været fokus påintegritet og fortrolighed i disse systemer.Denne type systemer, kræverderfor en særlig tilgang for atman kan opnå god sikkerhed i dem.Center fra Cybersikkerhed skal sikre, at deres viden kommer danske virksomhedertil nytte.Hvad er problemet?Etableringen af Center for Cybersikkerhed med tilhørende lovgrundlag har betydet,at Danmark nu får adgang til efterretninger, som vi ikke tidligere havde mulighedfor. Virksomhederne har imidlertid en oplevelse af, at der kun i begrænset tilfældetilflyder virksomhederne information om aktuelle trusler og hjælp.Hvad er løsningen?Den nationale cybersikkerhedsstrategi bør implementeres, så det præciseres, hvilkeroller PET, FE med CFCS og N3C har. Herunder bør det sikres, at der kan tilflydevirksomheder og myndigheder informationer om sikkerhedstrusler, som det privatemarked ikke i forvejen tilvejebringer.Blandt konkrete tiltag kan det fremhæves, at der er behov for sammen med Centerfor Cybersikkerhed at lave en erfa-gruppe for vidensdeling og early warnings omANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 13


ICS-sikkerhed, således at virksomheder og leverandører også kan få øget fokus påproblemstillingen.FAKTA: DI HJÆLPER VIRKSOMHEDERNEDI har gennem mange år arbejdet med informationssikkerhed. Vi udgiver bøger,hæfter, vejledninger og nyhedsbreve om informationssikkerhed. Vi afholdernetværksarrangementer for egne og andre organisationers medlemmer. Vihar bidraget til at trække nogle af de største kompetencer i verden til Danmarkfor at fortælle om informationssikkerhed. Endelig har vi været aktive i den offentligedebat om sikkerhed for såvel borgere som myndigheder. Alle aktiviteterneer stilles gratis til rådighed. Der er således masser af tilbud til virksomhedernefor at håndtere god informationssikkerhed.ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel 14

Similar magazines