Digitaliseringsstyrelsen 2012 Digitaliseringsstyrelsens it-/informationssikkerhedsmæssige opgaver Rådet for Større IT-Sikkerhed 29. februar 2012

Ny digitaliseringsstyrelse Fire centrale opgaveområder: Fællesoffentlig digitalisering Velfærdsteknologi It-politik, herunder styring af it Fællesoffentlig infrastruktur Direktion Center for strategi og styring Center for borgervendt digitalisering Center for infrastruktur og implementering Kontor for strategi og analyse (LFP) Kontor for velfærdsteknologi (CMU) Ministeriernes projektkontor Kontor for bedre selvbetjening (CMU) Kontor for digital kommunikation og borger.dk Kontor for borgervendt udvikling, grunddata og NemID (LFP) Kontor for arkitektur og standardisering (LFP) Kontor for digital post og betaling Ledelsessekretariat/direktionssekretariat (CMU)

Digitaliseringsstrategi 2011 - 15

Fuld digital Omfattende forandringsprogram der løber over de kommende 4 år: Høring på to lovforslag (fremsættelse marts 2 og vedtagelse inden sommer): Digital Post – sidestilling af analog og digital post og lovpligtigt dokumentboks i 2014 Første samlelov på selvbetjening mhp obligatorisk selvbetjening ultimo 2012 Baseline på selvbetjening og digital post – omfattende opfølgning på fremdrift Scorecard-model for måling af digitaliseringsgrad Modenhedsmodel for selvbetjeningsløsninger. Redesign og ambitiøs plan for mere succesfuld borger.dk Målrettet arbejde på at hjælpe de ikke-digitale Borgerrettede kampagner

Digitaliseringsstyrelsen – it-sikkerhed ’Ansvaret for it-politikken forankres med den kongelige resolution af 3. oktober 2011 i Finansministeriet. Finansministeriet har således ansvar for arbejdet med åbne standarder, open source-løsninger i det offent-lige, it-tilgængelighed og tilgængelighed i forhold til offentlige data. … IT- og Telestyrelsen nedlægges …, og ansvaret for it-sikkerhedsområdet deles mellem Forsvarsministeriet, Erhvervs- og Vækstministeriet og Finansministeriet. Forsvarsministeriet har ansvar for statens varslings-tjeneste for internettrusler (GovCERT) og kritisk infrastruktur. Erhvervs- og Vækstministeriet har ansvar for persondatasikkerhed, opgaver vedr. privatlivsbeskyttelse på nettet, netneutralitet, DNS-blokering af hjem-mesider og logning. Finansministeriet har ansvar for informationssik-kerhed og privatlivsbeskyttelse i den offentlige sektor. (Bjarne Corydon, 8. november 2011 i Kommunaludvalget, spørgsmål nr. 3) 6

Privatlivsbeskyttelse – på mange fronter Disposition: ’Indbygget’ sikkerhed i infrastruktur og fællesoffentlige løsninger som fx NemLogin, NemHandel Vurdering af løsninger, der kan bidrage til effektivisering af it-drift – uden at give køb på sikkerhed - som fx Cloud Com- puting Forbyggende sikkerhed – udfordring af traditionelle sikker- hedsmodeller især i forbindelse med behandling af person- oplysninger Privatlivsbeskyttelse – på mange fronter Implementering af ISO 27001 i den offentlige sektor 7 7

Fællesoffentlig Digital infrastruktur Betaling Sikkerhed Meddelelse NemKonto NemID Digital post NemHandel NemLogin NemSMS E-Faktura Brugerstyring Fjernprint En konto for mellemværende med det offentlige Mobil login Fuldmagter Datadistribution Portaler Portaler Borger.dk Eksisterende Datafordeler Virk.dk Planlagt/under udvikling Sundhed.dk Grunddata Miljø.dk Datakatalog Services Portaler Øvrige Sektorportaler Arkitekturmønstre & standarder Sourcing (incl Cloud) Projektmodellen Risikovurdering og review i IT-projektrådet DS 484/ISO 2700x FORM, STORM, OIOEA Integrationsmodellen (portal) Softwarebørsen Vejledning i brug af åben API, standarder, kildekode og data i infrastrukturen

NemID til mobile enheder Krav: et sikkerhedsniveau svarende til den nuværende løsning Igangværende analyse af forskellige mulige modeller Valg af teknisk løsningsmodel og handlingsplan inden sommerferien Ambition om etablering i 2012

NemID til mobile enheder NemID blev udbudt i 2007 - 4 måneder efter den første iPhone kom på markedet Internet er snart større på mobiler end på traditionelle computere Naturlig forventning om at kunne bruge netbank, offentlige service mv. mobilt Fælles mobil løsning derfor mere og mere vigtig

borger.dk et eksempel på fællesoffentlig infrastruktur borger.dk baserer sig på den fællesoffentlige sikkerhedsinfrastruktur: Nem-ID og Nem-login Rettighedsstyring sker indenfor rammerne af løsningen Næste generation lanceres maj2012 med fokus på handling Mobiludgaven af borger.dk vil også baserer sig på den fælles sikkerhedsinfrastruktur, lanceres ultimo 2012

Det nye NemLog-in og den fælles-offentlige digitale infrastruktur Sikkerhed: NemID, NemLog-in NemLog-in er en hjørnesten i den offentlig digitale infrastruktur Vigtigt led i modernisering og effektivisering af den offentlige sektor: Lettere for både kunder og medarbejdere Lettere at arbejde på tværs af løsninger Hurtigere og mere sikker at etablere digitale tjenester i den offentlige sektor Portaler: Borger.dk, virk.dk, sundhed.dk Betaling: e-Faktura, NemHandel,NemKonto e-Indkomst Kommunikation: Digital Post,NemSMS,fjernprint Datagenbrug: OIO, åbne standarder, arkitekturkrav

Hvad er det nye NemLog-in? Konsolidering af nuværende NemLog-in og Virk.dk/BRS samt ny funktionalitet ”NemLog-in”-løsningen er samlebetegnelsen for følgende komponenter NemLog-in/SSO NemLog-in/Brugeradministration NemLog-in/Signering NemLog-in/Tilslutning Konsoliderer log-in, brugeradministration og signering Der er SSO mellem tilsluttende service provider Understøtter medarbejder i virksomheder og offentlige institutioner når de skal tilgå offentlige webservices og webapplikationer 13 13

Effektiv kommunikation - Digital post & NemSMS Den digitale postkasse skal være med til at sikre effektiv digital kommunikation mellem borgere, virksomheder og myndigheder. Den digitale postkasse er en sikker løsning.

Digital post benytter eksisterende struktur. Digital post benytter Borger.dk portalen Digital post benytter Nem-Login Digital post benytter certifikater Kommunikation: Digital Post,NemSMS,fjernprint

Hvad er cloud computing It som en service: Leveres og betales efter behov og forbrug. Tilgås via internettet. Leveres fra en platform af fælles computerressourcer. Kan let skaleres op og ned efter behov.

Potentialer Effektivisering af drift og vedligehold Den store skala gør, at services kan tilbydes billigt. Øget fleksibilitet og innovation Cloud er fleksibelt og giver derved mere plads til innovation. Kortere ”time to market”.

Styrelsens arbejde med sikkerhed i cloud computing Brug af cloud – f.eks. Nemhandel. Cloud computing og de juridiske rammer. Arbejdsgruppe om love og regler der unødigt vanskeliggør cloud computing. Kommissionen forventes at lancere en strategi for cloud computing i 2012.

To veje til sikkerhed i cloud computing Kontrol via revision og sikkerhedsdokumentation Via kontrakten og ved vurdering og revision af sikkerhedskontroller kan det sikres, at databehandleren overholder passende organisatoriske og tekniske sikkerhedskrav. 2. Forebyggende sikkerhed Hvor sikkerheden bygges ind i systemet fra start af. Derved bliver man mindre afhængig af cloudleverandørens egen sikkerhed.

Forebyggende sikkerhed Udfordring: Traditionelle sikkerhedsmodeller er baseret på en stærk perimetersikkerhed. Perimeteren udfordres bl.a. af cloud computing. Ved at designe it-systemer på en ny måde kan man i nogen grad imødekomme udfordringen. Minimere brugen af sensitive data. Dette kan gøre det nemmere og billigere at beskytte it-systemer. Dette er noget vi arbejder generelt med, men det er stadig i de indledende stadier. Erstatter ikke den anden tilgang, men kan supplere den.

Perspektiver Ved at anvende disse principper i sikkerhedsdesignet minimeres konsekvenserne ved kompromittering af data: Hvis løsningen kompromitteres vil data ikke kunne henføres til fysiske personer, men kun til virtuelle identiteter. Data vedrører kun den lokale transaktion og kan ikke sammenkobles med øvrige data. Kan potentielt gøre det nemmere og billigere at beskytte data. Man bliver mindre afhængig af cloudleverandørens sikkerhed.

Informationssikkerhed i statens institutioner Beslutning om, at statens organisationer følger DS 484 2010 Som led i afbureaukratisering beslutning om, at de statslige institutioner kan anvende ISO 27001 i stedet for DS 484. Skiftet til ISO 27001 skal senest gennemføres, når revisionen af ISO 27001 er færdig, formentlig i 2013

Formål med hjælpeprogram Effektivisering af it-sikkerhedsarbejdet Håndtering af it-sikkerhedsmæssige udfordringer med digitalisering af forvaltningen Sikre efterlevelse af standarden Elementer i ’hjælpeprogrammet’ Kampagner rettet mod statens institutioner Vejledninger og værktøjer Seminarrække og workshops Benchmarkaktiviteter 23

 Privatlivsbeskyttelse (i den offentlige sektor) Netsikker nu! kampagnerne – netop nu om e-handel Site om identitetstyveri Vejledning om model til konsekvensanalyse for privatlivet Rådgivning og vejledning til organisationer og borgere