Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

NKOR 2015 – Spor 3 - Datasikkerhed 5. november 2015 - Kontorchef Michael Kubel.

Offentliggjort afTorben Nissen Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "NKOR 2015 – Spor 3 - Datasikkerhed 5. november 2015 - Kontorchef Michael Kubel."— Præsentationens transcript:

1 NKOR 2015 – Spor 3 - Datasikkerhed 5. november 2015 - Kontorchef Michael Kubel

2 2 Agenda – 3 spørgsmål 1. Er datasikkerheden omkring borgernes følsomme oplysninger god nok? 2. Hvordan sikres balancen mellem brugervenlighed og datasikkerhed? 3. Aktuelle udfordringer ved datasikkerhed i de centrale offentlige systemer?

3 Spørgsmål 1 (1) Beretning om statens behandling af fortrolige oplysninger om borgere og virksomheder 1/2014 8 institutioner, 8 systemer med persondata (Sikkerhedsbek.) og 3 med virksomhedsdata (Arbejdsskadestyrelsen, Danmarks Statistik, Forsvarskommandoen, Institut for Menneskerettigheder, Rigspolitiet, Skat, Socialstyrelsen og Sundhedsstyrelsen). Revisionsresultater, eksempler (ikke gældende for alle) : Retningslinjer for beskyttelse af persondata ikke opdateret årligt Brugeradgange kontrolleres ikke halvårligt Manglende eller utilstrækkelig opfølgning på afviste adgangsforsøg Manglende registrering af medarbejdernes opslag på enkeltpersoner Logregistreringer slettes ikke Der mangler en aftale med databehandleren Der følges ikke op på databehandleraftalen Der mangler retningslinjer for tilsyn. Risiko/konsekvens: Krænkelse af borgernes privatliv, virksomheder kan miste konkurrencefordele. 3

4 Spørgsmål 1 (2) Beretning om forebyggelse af hackerangreb 3/2013 4 institutioner udvalgt: Statens It, Digitaliseringsstyrelsen, Energistyrelsen og Klima- og Energi-ministeriets departement. Revisionsresultater: Alle 4 institutioner: Ingen begrænsning af download af programmer fra internettet (el. whitelisting) Ingen begrænsning af brugen af lokaladministratorer Ingen systematisk sikkerhedsopdatering af operativsystemer, browsere og 3. partsprogrammer (fx Internet E, Adope Reader, Flash Player og Java). Statens It: Statens It havde en udbredt af anvendelse af domæneadministratorer, hvilket medfører en høj risiko ved et evt. internt misbrug eller hackerangreb. Statens It havde ikke overvejet risikoen for spredning af hackerangreb via delte services. Risiko/konsekvens: Misbrug af it-systemer og fortrolige data. 4

5 Spørgsmål 1 (3) Beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver 1/2015 6 institutioner udvalgt: Energinet.dk, Banedanmark, National Sundheds-it, Statens It, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT. Revisionsresultater, eksempler på hvor god praksis ikke følges: Medarbejdere samt system- og servicekonti med udv. adm. rettigheder: Antallet af konti ikke begrænset, ingen regelmæssig kontrol, kontiene benyttes til at logge på computere, servere og tilgå internettet m. adm. rettigheder, svagheder i password kompleksitet og manglende skift af password v. fratrædelse.. Logning af udv. adm. rettigheder: Logning af brugere i AD ikke følger god praksis, ikke alle computere logges, administratorer har adgang til loggen, logfiler opbevares ikke i en tilstrækkelig lang periode, manglende regelmæssig gennemgang af AD-logfiler samt ingen overvågning af anomalier. Risiko/konsekvens: True løsningen af samfundsvigtige opgaver og kompromittere fortrolige data. 5

6 6 Klip fra medier 2014-2015

7 Hvordan sikres balancen mellem brugervenlighed og datasikkerhed? (1) Digital service Borgernes ønsker og behov sættes i fokus. Dette kan gøres ved, at institutionerne tilstræber, at løsningen (den digitale service) skal være: - nem at lære og forstå - nem at huske - effektiv - pålidelig - tilfredsstillende Krav til datasikkerhed er fx fastlagt i persondata-lovens § 41, stk. 3. Virksomheder skal etablere de fornødne tekniske og organi- satoriske sikkerhedsforanstalt- ninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. 7 Brugervenlighed Datasikkerhed

8 Hvordan sikres balancen mellem brugervenlighed og datasikkerhed? (2) Hvordan kan vi sikre en bedre balance? Digitaliser for brugerne- involver dem – og lad dem også teste. Brugervenlighed og -orientering er et fokuspunkt, som der skal tages udgangspunkt i allerede i designfasen. Anvend bedste praksis og benyt fx vejledninger om brugervenlighedstest mv. Efter idriftsættelse: Revurdere og forbedre løsningen Andre forhold som kan påvirke balancen: Økonomiske hensyn Særlig lovgivning på de forskellige områder, fx om følsomme data. 8

9 Aktuelle udfordringer ved datasikkerheden i centrale offentlige systemer? Ledelsen går forrest og tager ansvar System- og dataklassifikation – hvilke har vi? Risikovurdering – brug den! Manglende forståelse af proces-, system- og dataejerskab Sikkerhedsbevidsthed hos medarbejdere It-leverandørstyring – er service og sikkerhed i orden? It-teknisk gæld (forældede systemer) Sikkerhedsopdatering Beskyttelse af persondata (databeh.aftaler, sikk.bek.) Udv. administratorrettigheder / system- og servicekonti Logning og overvågning 9

10

11 Links Rigsrevisionen: www.rigsrevisionen.dk Beretning om forebyggelse af hackerangreb: www.rigsrevisionen.dk/publikationer/2013/32013 Beretning om statens behandling af fortrolige oplysninger om personer og virksomheder: www.rigsrevisionen.dk/publikationer/2014/12014 Beretning om adgangen til it-systemer, der understøtter samfunds- vigtige opgaver: www-rigsrevisionen.dk/publikationer/12015 11

12 Kontaktoplysninger Rigsrevisionen Landgreven 4 DK- 1301 Købehavn K Kontorchef Michael Kubel (miku@rigsrevisionen.dk)miku@rigsrevisionen.dk +45 33 92 86 17 12

Download ppt "NKOR 2015 – Spor 3 - Datasikkerhed 5. november 2015 - Kontorchef Michael Kubel."

Lignende præsentationer

Talsmandsseminar september 2010

Talsmandsseminar september 2010
Fortolkning af AMO reformen

Fortolkning af AMO reformen
Samspil med den offentlige sektor er afgørende

Samspil med den offentlige sektor er afgørende
Søren Sandfeld Jakobsen 20091 IT-retlige nyheder marts – oktober 2009.

Søren Sandfeld Jakobsen IT-retlige nyheder marts – oktober 2009.
Datatilsynets hjemmeside:

Datatilsynets hjemmeside:
Medarbejderen i den Digitale Verden

Medarbejderen i den Digitale Verden
Beskyt din computer og dine data!

Beskyt din computer og dine data!
Digital post på Virk.dk Siden 2010 I dag ca brugere

Digital post på Virk.dk Siden 2010 I dag ca brugere
Innovation 2011 16-06-11 OECD definerer innovation som implementeringen af et nyt eller væsentligt forbedret produkt (vare eller tjenesteydelse), en ny.

Innovation OECD definerer innovation som implementeringen af et nyt eller væsentligt forbedret produkt (vare eller tjenesteydelse), en ny.
Psykoedukation for unge i OPUS-behandling

Psykoedukation for unge i OPUS-behandling
E-dag 2 Netikette Persondatalov

E-dag 2 Netikette Persondatalov
Grunddataprogrammet.

Grunddataprogrammet.
Hvordan påvirker NemKonto din hverdag…?. NemKonto, hvornår?

Hvordan påvirker NemKonto din hverdag…?. NemKonto, hvornår?
HVAD ER SIKKERHED PÅ NETTET? Confidentiality (Fortrolighed) A message must not be read/understood by anybody else than the sender and the receiver. Authentication.

HVAD ER SIKKERHED PÅ NETTET? Confidentiality (Fortrolighed) A message must not be read/understood by anybody else than the sender and the receiver. Authentication.
Befolkningens it-parathed Kilde: Danmarks Statistik 2011. De 16 til 89-åriges internetbrug. Har aldrig prøvet og vil ikke kunne Har sjældent.

Befolkningens it-parathed Kilde: Danmarks Statistik De 16 til 89-åriges internetbrug. Har aldrig prøvet og vil ikke kunne Har sjældent.
Demokratisk underskud i informationssamfundet?

Demokratisk underskud i informationssamfundet?
IT – sikkerhed Fysisk sikkerhed Logisk sikkerhed

IT – sikkerhed Fysisk sikkerhed Logisk sikkerhed
Datafordeleren.

Datafordeleren.
Offentlige data i spil d. 24. juni 2009 Christian Lanng, Kontorchef, Videnskabsministeriet, ITST Kontoret for it-infrastruktur og implementering

Offentlige data i spil d. 24. juni 2009 Christian Lanng, Kontorchef, Videnskabsministeriet, ITST Kontoret for it-infrastruktur og implementering
Hvilke regler skal iagttages, når man behandler personoplysninger i whistleblower-systemer Professor, dr.jur. Henrik Udsen henrik.udsen@jur.ku.dk.

Hvilke regler skal iagttages, når man behandler personoplysninger i whistleblower-systemer Professor, dr.jur. Henrik Udsen

Lignende præsentationer

Annoncer fra Google