NKOR 2015 – Spor 3 - Datasikkerhed 5. november 2015 - Kontorchef Michael Kubel.

Slides:



Advertisements
Lignende præsentationer
Talsmandsseminar september 2010
Advertisements

Fortolkning af AMO reformen
Samspil med den offentlige sektor er afgørende
Søren Sandfeld Jakobsen IT-retlige nyheder marts – oktober 2009.
Datatilsynets hjemmeside:
Medarbejderen i den Digitale Verden
Beskyt din computer og dine data!
Digital post på Virk.dk Siden 2010 I dag ca brugere
Innovation OECD definerer innovation som implementeringen af et nyt eller væsentligt forbedret produkt (vare eller tjenesteydelse), en ny.
Psykoedukation for unge i OPUS-behandling
E-dag 2 Netikette Persondatalov
Grunddataprogrammet.
Hvordan påvirker NemKonto din hverdag…?. NemKonto, hvornår?
HVAD ER SIKKERHED PÅ NETTET? Confidentiality (Fortrolighed) A message must not be read/understood by anybody else than the sender and the receiver. Authentication.
Befolkningens it-parathed Kilde: Danmarks Statistik De 16 til 89-åriges internetbrug. Har aldrig prøvet og vil ikke kunne Har sjældent.
Demokratisk underskud i informationssamfundet?
IT – sikkerhed Fysisk sikkerhed Logisk sikkerhed
Datafordeleren.
Offentlige data i spil d. 24. juni 2009 Christian Lanng, Kontorchef, Videnskabsministeriet, ITST Kontoret for it-infrastruktur og implementering
Hvilke regler skal iagttages, når man behandler personoplysninger i whistleblower-systemer Professor, dr.jur. Henrik Udsen
Niveau af Autenticitetssikring PIP ERFA møde 4. juni 2008.
ODAs Årsmøde 14. november 2014 Hvad efterspørger kommunen? - fremfinding af digitale sager i arkiveringsversioner og søgning i MiNEA Mie Andersen Emilie.
Hvad kan borgerne på sundhed.dk?
Den digitale kløft Professor Birgit Jæger Institut for Samfund og Globalisering Roskilde Universitet.
Digital Signatur Hvad er Digital Signatur?
Informationssamfundet Dansk Statistisk Forening 30. maj 2005.
Internetbaseret spørgeskemaer ved Center for Spiseforstyrrelser
Seminar 6 – Arbejdsmiljøledelse
20. maj Datatilsynet og forskningsregistrering – Forskernetværk SHS.
Fællesoffentlig brugerstyring Brugerstyringssekretariatet i Økonomistyrelsen v/ Ellen Syberg.
Kontaktlærersamtale på fredag. Digital dannelse  Digital dannelse handler i høj grad om etik, når man er på internettet og de sociale medier.
Avis elbil plug and play Avis gør det nemt og billigt at være miljørigtig.
Bekæmpelsen af økonomisk kriminalitet – set fra Danske Bank København den 7. april 2016 Head of Group Financial Crime Jes Vinther Jørgensen.
IT SIKKERHED I ALMEN PRAKSIS. Niels Ulrich Holm..
Fokus på revision af økonomistyring og digitalisering.
Fællesoffentlig brugerstyring Brugerstyringssekretariatet i Økonomistyrelsen v/ Ellen Syberg.
Servicestyrelsen og Sundhedsstyrelsens fælles indberetningsportal – hvordan? Sven-Åge Westphalen Chef for Analyse & Data, Servicestyrelsen.
Bestyrelsesmøde 26. august 2016 Peter Fugmann. Finansiel politik Forsikringspolitik IT-sikkerhedspolitik Alle indgår som integreret del af ”regulativ.
Anden lovgivning afsætning.
Persondata – kortlægning af skolens behandling
Beskyt din virksomhed- Workshop
Datakonsulent Bo Christensen
Private opholdssteder Alle typer døgninstitutioner
Tilfredshedsundersøgelse
Anne Kjølhede Revald, Vejdirektoratet
Erfaringer fra Aalborg Kommune
Modul 8: ”Sådan bruger du digital post og e-boks”
Fælleskommunale arkitekturmål 2018
Hvorfor er vi her i dag?. Databeskyttelsesforordningen (GDPR) og Databeskyttelsesrådgiveren (DPO)
Persondata-forordningen
Persondata Kursus for administrationsfolk 16/5
Persondataforordningen Hvad betyder den i praksis for foreningerne?
Digitalisering i den offentlige sektor
Foreningsliv & Persondataforordning
Persondataforordningen
Principper for drifts-og datasikkerhed i Rejsekort
Tak for invitationen Bambora online betaling Persondataforordningen.
IT undersøgelse på Breum Skole
Databehandleraftaler
Sikker adfærd er vigtig I det offentlige arbejder vi ofte med personoplysninger, som er følsomme eller skal behandles fortroligt Sikkerhedspakken.
Sikker adfærd er vigtig - Som sundhedspersonale arbejder vi med personoplysninger og oplysninger der skal behandles fortroligt, og dem skal vi passe godt.
Sikker adfærd er vigtig Som lærere arbejder vi med væsentlige og ofte fortrolige eller følsomme informationer, og dem skal vi passe godt på Sikkerhedspakken.
Adgang til egne data IT-Arkitekturrådet d It-Arkitekturrådet
– hvordan får vi de ansatte med?
Fælleskommunale arkitekturmål 2018
Information om Aula til forældre
Præsentation af IT-sikkerhedsfunktionen
Information om Aula til forældre
Præsentation af IT-sikkerhedsfunktionen
Velfærdsteknologisk netværksmøde
Præsentationens transcript:

NKOR 2015 – Spor 3 - Datasikkerhed 5. november Kontorchef Michael Kubel

2 Agenda – 3 spørgsmål 1. Er datasikkerheden omkring borgernes følsomme oplysninger god nok? 2. Hvordan sikres balancen mellem brugervenlighed og datasikkerhed? 3. Aktuelle udfordringer ved datasikkerhed i de centrale offentlige systemer?

Spørgsmål 1 (1) Beretning om statens behandling af fortrolige oplysninger om borgere og virksomheder 1/ institutioner, 8 systemer med persondata (Sikkerhedsbek.) og 3 med virksomhedsdata (Arbejdsskadestyrelsen, Danmarks Statistik, Forsvarskommandoen, Institut for Menneskerettigheder, Rigspolitiet, Skat, Socialstyrelsen og Sundhedsstyrelsen). Revisionsresultater, eksempler (ikke gældende for alle) : Retningslinjer for beskyttelse af persondata ikke opdateret årligt Brugeradgange kontrolleres ikke halvårligt Manglende eller utilstrækkelig opfølgning på afviste adgangsforsøg Manglende registrering af medarbejdernes opslag på enkeltpersoner Logregistreringer slettes ikke Der mangler en aftale med databehandleren Der følges ikke op på databehandleraftalen Der mangler retningslinjer for tilsyn. Risiko/konsekvens: Krænkelse af borgernes privatliv, virksomheder kan miste konkurrencefordele. 3

Spørgsmål 1 (2) Beretning om forebyggelse af hackerangreb 3/ institutioner udvalgt: Statens It, Digitaliseringsstyrelsen, Energistyrelsen og Klima- og Energi-ministeriets departement. Revisionsresultater: Alle 4 institutioner: Ingen begrænsning af download af programmer fra internettet (el. whitelisting) Ingen begrænsning af brugen af lokaladministratorer Ingen systematisk sikkerhedsopdatering af operativsystemer, browsere og 3. partsprogrammer (fx Internet E, Adope Reader, Flash Player og Java). Statens It: Statens It havde en udbredt af anvendelse af domæneadministratorer, hvilket medfører en høj risiko ved et evt. internt misbrug eller hackerangreb. Statens It havde ikke overvejet risikoen for spredning af hackerangreb via delte services. Risiko/konsekvens: Misbrug af it-systemer og fortrolige data. 4

Spørgsmål 1 (3) Beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver 1/ institutioner udvalgt: Energinet.dk, Banedanmark, National Sundheds-it, Statens It, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT. Revisionsresultater, eksempler på hvor god praksis ikke følges: Medarbejdere samt system- og servicekonti med udv. adm. rettigheder: Antallet af konti ikke begrænset, ingen regelmæssig kontrol, kontiene benyttes til at logge på computere, servere og tilgå internettet m. adm. rettigheder, svagheder i password kompleksitet og manglende skift af password v. fratrædelse.. Logning af udv. adm. rettigheder: Logning af brugere i AD ikke følger god praksis, ikke alle computere logges, administratorer har adgang til loggen, logfiler opbevares ikke i en tilstrækkelig lang periode, manglende regelmæssig gennemgang af AD-logfiler samt ingen overvågning af anomalier. Risiko/konsekvens: True løsningen af samfundsvigtige opgaver og kompromittere fortrolige data. 5

6 Klip fra medier

Hvordan sikres balancen mellem brugervenlighed og datasikkerhed? (1) Digital service Borgernes ønsker og behov sættes i fokus. Dette kan gøres ved, at institutionerne tilstræber, at løsningen (den digitale service) skal være: - nem at lære og forstå - nem at huske - effektiv - pålidelig - tilfredsstillende Krav til datasikkerhed er fx fastlagt i persondata-lovens § 41, stk. 3. Virksomheder skal etablere de fornødne tekniske og organi- satoriske sikkerhedsforanstalt- ninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. 7 Brugervenlighed Datasikkerhed

Hvordan sikres balancen mellem brugervenlighed og datasikkerhed? (2) Hvordan kan vi sikre en bedre balance? Digitaliser for brugerne- involver dem – og lad dem også teste. Brugervenlighed og -orientering er et fokuspunkt, som der skal tages udgangspunkt i allerede i designfasen. Anvend bedste praksis og benyt fx vejledninger om brugervenlighedstest mv. Efter idriftsættelse: Revurdere og forbedre løsningen Andre forhold som kan påvirke balancen: Økonomiske hensyn Særlig lovgivning på de forskellige områder, fx om følsomme data. 8

Aktuelle udfordringer ved datasikkerheden i centrale offentlige systemer? Ledelsen går forrest og tager ansvar System- og dataklassifikation – hvilke har vi? Risikovurdering – brug den! Manglende forståelse af proces-, system- og dataejerskab Sikkerhedsbevidsthed hos medarbejdere It-leverandørstyring – er service og sikkerhed i orden? It-teknisk gæld (forældede systemer) Sikkerhedsopdatering Beskyttelse af persondata (databeh.aftaler, sikk.bek.) Udv. administratorrettigheder / system- og servicekonti Logning og overvågning 9

Links Rigsrevisionen: Beretning om forebyggelse af hackerangreb: Beretning om statens behandling af fortrolige oplysninger om personer og virksomheder: Beretning om adgangen til it-systemer, der understøtter samfunds- vigtige opgaver: www-rigsrevisionen.dk/publikationer/

Kontaktoplysninger Rigsrevisionen Landgreven 4 DK Købehavn K Kontorchef Michael Kubel

Feedback: Fortrolighedspolitik Feedback
Om projektet: SlidePlayer Brugsbetingelser

© 2024 SlidePlayer.dk Inc. All rights reserved.