Status og risikovurdering af informationssikkerhedsområdet 2019

Se alle bilag

Med denne sag orienteres Økonomiudvalget om sikkerhedsbrud og om status på informationssikkerhedsarbejdet i kommunen. Dette sker mindst en gang årligt. I 2019 er der gennemført en række indsatser, der skal imødekomme truslerne mod kommunens generelle drifts- og datasikkerhed. Arbejdet med at sikre en høj informationssikkerhed tager bl.a. afsæt i konklusionerne fra de tilsynsaktiviteter og risikovurderinger, som Databeskyttelsesrådgiveren og Koncern IT gennemfører.

Det er Økonomiforvaltningens vurdering, at de kendte sikkerhedsrisici mod kommunens it-systemer at befinder sig på et acceptabelt niveau, samt at det nuværende beskyttelsesniveau af kommunens IT-infrastruktur generelt ligger på et passende beskyttelsesniveau. Konklusionerne og vurderingerne forelægges til Økonomiudvalgets efterretning.

Indstilling

Økonomiforvaltningen indstiller, at Økonomiudvalget over for Borgerrepræsentationen anbefaler,

at status på informationssikkerhedsarbejdet i 2019 tages til efterretning.

Problemstilling

Indsatsen på informationssikkerhedsområdet skal afspejle de sikkerhedsmæssige risici op mod kommunens behov for effektivitet og høj borgerservice (risikovurdering). Dette skal bl.a. sikre, at enhver håndtering af personoplysninger og værdioplysninger i Københavns Kommune sker på en betryggende og tillidsvækkende måde i forhold til kommunens borgere og virksomheder, og at kommunen følger de regler for behandling af personoplysninger, der er fastsat i databeskyttelsesforordningen (GDPR) og databeskyttelsesloven.

Løsning

Trusselsvurderinger
Koncern IT (KIT) udarbejder årligt en vurdering af de generiske trusler mod kommunen. Trusselsvurderingen er udarbejdet med input fra flere eksterne parter bl.a. Center for Cybersikkerhed. Sammen med anerkendte standarder danner trusselsvurderingen udgangspunktet for kommunens arbejde med informationssikkerhed.

Trusselsvurderingen viser bl.a., at truslen fra cyberterrorisme vurderes for usandsynlig, og truslen for cyberspionage og -aktivisme er på samme moderate niveau, som det hidtil har været. Vurderingen viser også, at de største trusler kommer fra organiserede kriminelle og fra kommunens egne medarbejdere, hvor der er risiko for, at der sker utilsigtede informationslæk eller virusangreb f.eks. gennem phishingmails - eller tilsigtede forsøg på ulovlig økonomisk berigelse.

Informationssikkerhedshændelser
På området for informationssikkerhedshændelser (bilag 4) relaterer ca. 74% af kommunens konstaterede brud på persondatasikkerheden sig til, at data er videregivet uautoriseret. Det kan f.eks. være, når en medarbejder sender en mail/sag til en forkert modtager.

Herudover har enkelte og mere alvorlige brud på persondatasikkerheden relateret sig til manglende aftestning af nye it-systemer forinden idriftsættelse.

KK har anmeldt 61 persondatabrud i 2018 (for perioden 25. maj 2018 - 21. december 2018) og 179 persondatabrud i 2019. Stigningen skyldes primært en større awareness og fokus på undervisning inden for området. KK’s andel af den kommunale sektors samlede anmeldte persondatabrud til Datatilsynet er faldet fra ca. 8,5% i 2018 til 7,5% i 2019. Til sammenligning udgør befolkningen i Københavns Kommune ca. 10,9% af den samlede befolkning i Danmark.

Resultater af tre større tværgående initiativer
Der gennemføres årligt en række aktiviteter, der skal understøtte kommunens prioritering af, hvilke indsatser der skal sikre en høj informationssikkerhed. I tabel 2 nedenfor er gengivet de overordnede resultater fra tre af de større tværgående aktiviteter.

Aktivitet	Resultat	Kommende fokusområder
Databeskyttelses-rådgiverens statusrapport (bilag 1)	Den samlede vurdering er, at kommunen har et godt udgangspunkt i forhold til at efterleve reglerne for behandling af personoplysninger	- Kulturel forankring - Uddannelse - Forbedret implementering - Koordinering af indsatser
KIT’s tilsyn med informationssikkerhed (bilag 2)	32 henstillinger og 26 anbefalinger til forvaltningerne særligt rettet mod processer i forvaltningerne	Processer der følger op og går på tværs af den enkelte forvaltning
KIT’s risikovurdering af 61 it-systemer (bilag 2)	148 henstillinger og 356 anbefalinger fordelt på 12 kontrolområder	- Opbevaring og sletning af data - Bruger- og adgangsstyring

Forvaltningerne har udarbejdet handleplaner på baggrund af resultaterne, som udrulles i 2020.

Initiativer til forbedring af informationssikkerheden

Hvert år gennemføres en række centrale initiativer til sikring af informationssikkerheden. Initiativerne retter sig mod:

initiativer, der styrker de organisatoriske forhold i kommunen gennem styring-, databeskyttelse- og medarbejderindsatser
initiativer, der styrker de tekniske forhold i kommunens infrastruktur og it-systemer.

Af bilag 3 fremgår en oversigt over centrale initiativer, der er gennemført i 2019.

Samlet risikovurdering

Kommunens trusselsbillede indikerer, at de største trusler kommer fra tilsigtede eller utilsigtede hændelser knyttet til medarbejderne. For at sikre et højt uddannelsesniveau af medarbejderne i Københavns Kommune på området for informationssikkerhed og GDPR, har kommunens DPO (Data Protection Officer) ført tilsyn med og har fokus på, at alle nye medarbejdere gennemgår kommunens e-læringsforløb, og at der desuden stilles krav til, at eksisterende medarbejdere løbende opdaterer deres uddannelse på området.

Hvor databeskyttelsesområdet generelt vurderes at befinde sig på et godt niveau, er det vurderingen, at varetagelsen af systemejeropgaven i nogle tilfælde kan forbedres. Desuden viser risikovurderinger af de større it-systemer, at området for implementering af slettefrister og bruger- og adgangsstyringsområdet bør være i fokus i handleplaner for 2020.

Økonomi

Sagen har ingen økonomiske konsekvenser.

Videre proces

Sagen forelægges Borgerrepræsentationen til efterretning.

Søren Hartmann Hede /Mads Grønvall

Beslutning

Dagsordenspunkt 7: Status og risikovurdering af informationssikkerhedsområdet 2019 (2020-0011605)

Økonomiudvalgets beslutning i mødet den 5. maj 2020

Indstillingen blev anbefalet over for Borgerrepræsentationen med 11 stemmer mod 0. 2 medlemmer undlod at stemme.

For stemte: A, Ø, Å, B, F og V.

Imod stemte: Ingen.

Undlod at stemme: C og O.

Venstre afgav følgende protokolbemærkning:

”Venstre er bekymrede over de mange brud på persondatasikkerheden. Særligt i denne tid, hvor kriselovgivning betyder, at vores private oplysninger er under pres, opfordrer vi til skærpet opmærksomhed på håndtering og beskyttelse af persondata.”

Det Radikale Venstre, Det Konservative Folkeparti og Dansk Folkeparti afgav følgende protokolbemærkning:

”Vi savner en afklaring af, hvordan der føres kontrol med ureglementerede opslag i bl.a. CPR og andre ureglementerede opslag i kommunens systemer med personfølsomme oplysninger.”

Bilag

Bilag 1 - Statusrapport om Københavns Kommunes arbejde med databeskyttelse

Bilag 2 - Uddybende konklusioner fra tilsyn med informationssikkerheden og risikovurderinger 2019

Bilag 3 - Centrale initiativer til sikring af informationssikkerheden i 2019

Bilag 4 - Informationssikkerhedshændelser 2019

Til top