Status på informationssikkerhedsområdet 2018
Styrelsesvedtægten for Københavns Kommune fastsætter, at Økonomiudvalget varetager den umiddelbare forvaltning af kommunens overordnede og tværgående it-forhold, herunder informationssikkerhed. Økonomiforvaltningen forelægger derfor årligt en status til Økonomiudvalget om arbejdet indenfor informationssikkerhedsområdet. Hertil kommer, at Økonomiforvaltningen hvert andet år skal afrapportere til Borgerrepræsentationen om kommunens samlede risikobillede.
Dette års status fokuserer særligt på det arbejde, der følger af Københavns Kommunes fokus på en styrket it-governance og implementeringen af databeskyttelsesforordningen. Herudover indeholder status en redegørelse for resultaterne af Økonomiforvaltningens tilsyn med informationssikkerhed, risikovurdering af it-systemer mv.
Indstilling
Indstilling om,
- at status på informationssikkerhedsområdet, herunder det samlede risikobillede, for 2018 tages til efterretning.
(Økonomiudvalget)
Problemstilling
Et øget og skiftende trusselsbillede, nye krav som følge af databeskyttelsesforordningen, besvigelsessager andre steder indenfor den offentlige forvaltning mv. stiller til stadighed større krav til Københavns Kommunes (KK) informationssikkerhedsarbejde og medfører et stigende ressourcetræk i forvaltningerne. Senest har en ekstern konsulentvirksomhed i en rapport af 18. juni 2018 (bilag 1) vurderet, at det er sandsynligt, at KK i meget høj grad kan blive udsat for angreb, hvor der er fokus på økonomisk berigelse gennem afpresning, bedrageri eller anden form for økonomisk kriminalitet.
Denne status redegør for kommunens risikobillede samt de væsentligste aktiviteter, der adresserer de øgede krav til informationssikkerheden, og som er gennemført i 2018.
Løsning
1. Styring og databeskyttelse
Informationssikkerhedsområdet har i 2018 været præget af, at databeskyttelsesforordningen trådte i kraft den 25. maj 2018. Borgerrepræsentationen besluttede bl.a. den 21. juni 2018 at godkende kommunens nye Informationssikkerhedspolitik og Informationssikkerhedsregulativ, som efterfølgende skulle udmøntes i seks forretningscirkulærer. Økonomiudvalget har vedtaget fem af forretningscirkulærerne på udvalgets møder den 23. oktober 2018, den 8. januar 2019 og den 19. februar 2019.
For at sikre fortsat efterlevelse af lovgivningen på databeskyttelsesområdet efter den 25. maj 2018 er der nedsat et Legal Compliance Forum (LCF) på tværs af forvaltningerne med forvaltningernes respektive juridiske chefer/chefjurister. LCFs formål er bl.a. at koordinere styring og drift af kommunens fortsatte efterlevelse af lovgivningen vedrørende EU databeskyttelsesforordningen, herunder så vidt muligt at koordinere forvaltningernes ansvar for varetagelse af opgaverne på databeskyttelsesområdet og deres ansvar som dataansvarlige som en del af governancestrukturen på området i relation til databeskyttelsesrådgiverfunktionen. Endvidere har størstedelen af KKs relevante medarbejdere gennemført et nyt e-læringsprogram om informationssikkerhed (bilag 2).
KK har en intern proces for indberetning og registrering af (potentielle) brud på informationssikkerheden og på databeskyttelsesområdet. Efter Databeskyttelsesforordningens ikrafttræden registrerer og indberetter KK endvidere særskilt persondatabrud til Datatilsynet. I 2018 registrerede KK 136 persondatabrud, hvoraf 130 persondatabrud vedrører utilsigtet videregivelse eller utilsigtet adgang til oplysninger. De syv forvaltninger har i alt anmeldt 61 brud til Datatilsynet på grund af karakteren af bruddet, herunder risikoen for de registreredes rettigheder (se uddybende i bilag 3). KK stod i 2018 for ca. 8,5% af alle de brud, der er indberettet af landets kommuner. Til sammenligning er ca. 10,6% af Danmarks borgere bosat i KK (pr. 1/1-2018). Persondatabrud i KK er i vidt omfang begrundet i menneskelige fejl hos kommunens medarbejdere. Det opgjorte antal svarer til, at der for hver ca. 475 medarbejdere i kommunen årligt begås én fejl, som fører til indberetning til Datatilsynet
2. Risikovurderinger af it-systemer og det tilknyttede risikobillede
KK foretager årligt risikovurderinger af it-systemer med henblik på at identificere risici for, at kommunen ikke kan udføre sine opgaver, eller for at oplysninger kommer til uvedkommendes kendskab.
I en risikovurdering skal antallet af sikringsforanstaltninger afspejle de aktuelle trusler mod et system og skal afstemmes ift. f.eks. hvor kritisk systemet er for den fortsatte drift af ’forretningen’. Valg og fravalg af sikringsforanstaltninger skal være velovervejede og kan således være forskellige fra system til system, hvilket en risikovurdering understøtter. I 2018 er der foretaget risikovurderinger af 65 it-systemer:
Tabel 1: Antal vurderede it-systemer fordelt på systemrisiko
|
Samlet it-systemrisiko |
Antal it-systemer |
|
Lav (bedst) |
23 |
|
Middel |
41 |
|
Høj (dårligt) |
1 |
Det system, der er vurderet med en høj risiko, er et system, der bl.a. udbetaler tilskud. For at sænke risiciene i systemet overvejes det hvorvidt, der skal ske en udfasning og erstatning af systemet.
Økonomiforvaltningen (ØKF) afgav ved vurderingerne af de 65 systemer 333 anbefalinger og 62 henstillinger om implementering af yderligere sikringsforanstaltninger i en rapport til forvaltningernes ledelse. Anbefalingerne er frivillige at implementere alt efter forvaltningernes risikovillighed, men henstillingerne knytter sig primært til egentlige lovkrav og er obligatoriske at implementere (bilag 4).
Tabel 2: Oversigt over henholdsvis de tre hyppigst afgivne anbefalinger og henstillinger
|
De tre hyppigste anbefalinger og henstillinger |
Antal |
|
|
Mangelfuld logopfølgning |
Anbefaling |
41 |
|
Manglende test af evnen til at genetablere data efter et nedbrud |
Anbefaling |
22 |
|
Manglende eller mangelfuld it-beredskabsplan |
Anbefaling |
20 |
|
Manglende fastsættelse af slettefrister |
Henstilling |
28 |
|
Manglende eller mangelfuld indgåelse af databehandleraftale |
Henstilling |
18 |
|
Manglende evne til at kunne opfylde en indsigtsbegæring på behørig vis |
Henstilling |
10 |
Det er ØKFs vurdering, at forvaltningerne rent systemteknisk på en række parametre lever op til væsentlige it-sikkerhedskrav. Der ses imidlertid et potentiale i, at forvaltningerne på tværs af kommunen har fokus på de daglige opgaver, der knytter sig til informationssikkerhedsarbejdet, f.eks. opfølgning på logning i systemer. På baggrund af resultaterne fra risikovurderingerne er de enkelte forvaltninger pt. i gang med at vurdere, i hvilket omfang der skal iværksættes yderligere sikkerhedsforanstaltninger.
For så vidt angår henstillingerne i tabel 2 bemærkes det bl.a., at der på tværs af KK er nedsat arbejdsgrupper, som skal sikre, at der på udvalgte områder indgås databehandleraftaler.
ØKF har i øvrigt forelagt rapporterne for it-direktørkredsen, som har besluttet, at forvaltningerne arbejder videre med it-risikovurderingerne i 2019, og at ØKF i andet kvartal 2019 i øvrigt udarbejder et samlet overblik over forvaltningers opfølgning på risikovurderingerne.
Ekstern revision (Deloitte) påpegede i sin revisionsrapport for revisionsåret 2017, at kommunens arbejde med it-risikovurderinger var mangelfuld. KK modtog som følge heraf en kritisk (rød) revisionsbemærkning. Efterfølgende har ØKF i 2018 udbygget it-risikovurderingerne i overensstemmelse med revisionens anbefalinger. Således er revisionsbemærkningen for revisionsåret 2018 fjernet, dog henstiller ekstern revision til, at det sikres, at it-risikovurderingerne drøftes og godkendes af forvaltningernes topledelser.
3. Tilsyn med informationssikkerheden
Det følger af kommunens informationssikkerhedsbestemmelser, at Koncern IT (KIT) fører tilsyn med forvaltningernes håndtering af informationssikkerhed. I 2018 har KIT ført tilsyn indenfor fem informationssikkerhedsemner, som er vurderet særligt relevante og som i øvrigt er udvalgt efter dialog med intern revision. Tilsynets overordnede konklusioner fremgår af tabel 3 og bilag 5. Det overordnede billede inden for de pågældende tilsynsområder er, at kommunen på væsentlige områder lever op til kommunens informationssikkerhedsregler. Der ses imidlertid et potentiale i, at forvaltningerne på tværs af kommunen har fokus på de daglige opgaver, der knytter sig til informationssikkerhedsarbejdet, f.eks. logning med eksterne konsulenters aktiviteter.
Tabel 3: Det overordnede resultat fra KIT’s interne tilsyn med informationssikkerheden i 2018
|
Tilsynsemne |
Resultat |
|
Tv- og videoovervågning |
Enkelte bemærkninger |
|
Databærende medier |
Få eller ingen bemærkninger |
|
Eksterne konsulenters udvidede adgange til it-systemer mv. |
Enkelte bemærkninger |
|
Uddelegeret brugerstyring |
Få eller ingen bemærkninger |
|
Sikre kommunikationsløsninger |
Få eller ingen bemærkninger |
For tv- og videoovervågning (typisk overvågning af kommunens bygninger og offentligt tilgængelige arealer) knyttede bemærkningerne sig primært til specifikke lokale forhold, f.eks. manglende skiltning eller manglende sletning. For så vidt angår eksterne konsulenters udvidede adgange til it-systemer mv. var praksis i forvaltningerne meget forskellige, og der udarbejdes derfor pt. ensartede retningslinjer for håndteringen af dette område på tværs af kommunen.
4. Øvrige sikkerhedsområder
I tilknytning til de ovennævnte tre afsnit har 2018 været kendetegnet ved, at der også på øvrige sikkerhedsområder er gennemført større initiativer. Et udsnit af både de tekniske og organisatoriske initiativer fremgår af bilag 6.
Økonomi
Indstillingen har ingen økonomiske konsekvenser.
Peter Stensgaard Mørch /Mads Grønvall
Oversigt over politisk behandling
Økonomiforvaltningen indstiller, at Økonomiudvalget over for Borgerrepræsentationen anbefaler,
- at status på informationssikkerhedsområdet, herunder det samlede risikobillede, for 2018 tages til efterretning.
Økonomiudvalgets beslutning i mødet den 19. marts 2019
Indstillingen blev anbefalet over for Borgerrepræsentationen uden afstemning.
Beslutning
Borgerrepræsentationens beslutning i mødet den 28. marts 2019
Indstillingen blev godkendt uden afstemning.